[résolu]antivirus Gold vérification d'erradication

[megataupe]

Normalement, il est à télécharger ici (à gauche, clic sur downland et clic sur l'icone Antivir) :

 

http://www.free-av.com/

Modifié le 13 juillet 2005 par megataupe

[ipl_001]

Bonsoir romain75002, bonsoir à tous,

 

Téléchargement -> http://www.avup.de/personal/en/avwinsfx.exe

(cette page http://www.free-av.com/antivirus/allinonen.html )

 

megataupe, le lien que tu donnes est le lien de la Home page : l'URL ne change pas à cause des frames !

[romain75002]

ok, cela démarre mal ... mais bon.

J'ai fait le truc simple : cliquer sur le lien, le recopier. La page Antivir me propose sur le bandeau de gauche 7 fonctions dont "download".

Quand j'y vais ... il y a une demi page sur le téléchargement de Windows 98 et autre Windows...

Et là je choisis lequel ?

 

Sinon, pas vu dans la page d'accueil de bouton Antivir simple à appuyer.

 

Rom

[romain75002]

EUREKA...

 

Ah le manche à balai que je suis...

 

Je télécharge.

 

Rom.

[romain75002]

tout d'abord merci de vos conseils... bon je vous affiche mon log.

 

concernant Antivir, c'est ok, mais je n'avais pas la même présentation pour antiGuard, donc je ne suis pas sûr que tout soit ok.

Antivir n'a rien trouvé ( il semble que mon spybot et ad ware aient eu leur utilité).

 

Merci de prendre le temps de regarder mon log. ( d'ailleurs c'est quoi ce "log" ??)

Je vais me coucher ( il est tard pour moi ). Donc je ne suis pas spécialement pressé.

 

voici le log tant attendu.

 

Logfile of HijackThis v1.99.1

Scan saved at 01:19:45, on 14/07/05

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Matrox Control Center] C:\Program Files\Matrox MGA PowerDesk\mgactrl.exe

O4 - HKLM\..\Run: [Matrox Color Control] C:\Program Files\Matrox MGA PowerDesk\Color\hgcctl95.exe

O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Program Files\Matrox MGA PowerDesk\diag\mgadiag.exe -s

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [LexStart] lexstart.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min

O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [scriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"

O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Program Files\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe

O11 - Options group: [Accessibilité] Accessibilité

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab

 

 

 

Et maintenant , que faire ?

[Thanos]

salut romain

 

il me semble incomplet ton log,non? je vois pas de ligne 23!!

 

juste un doute sur ca(mais je dois être parano)=>"MPREXE.EXE" est ce le légitime

 

ou pas?

 

Et ca c'est quoi comme version ,bidouillée?=>"Platform: Windows 98 Gold"

 

sinon je ne vois pas grand chose...

[Invité Stonangel]

Bonjour le rapport est propre. As-tu toujours des problèmes?

[ipl_001]

Bonjour charles ingals, romain75002, ngchrist, KennyCain, Stonangel, megataupe, bonjour à tous,

... il me semble incomplet ton log,non? je vois pas de ligne 23!!...

Il n'y a pas de ligne O23 dans un rapport HJT Windows 9x !

 

Windows 98 Gold est, selon moi, une version piratée !

[romain75002]

Bonjour et merci de votre analyse.

Je suis surpris de n'avoir rien à effacer de plus ... mais il est vrai que j'avais fait un peu de menage avant de vous contacter.

 

Sinon Il est possible que cela soit une version piratée puisque cet ordi a été confié à un réparateur il y a quelques mois car le programme Windows buggait à mort ( suite à trop de ménage de printemps de ma part ) . Mais alors comment se fait il que j'ai pu télécharger sur le site de Microsoft les "update" classiques ?

 

Le jour de l'attaque a été circonscrit, mais il reste des points que je vous soumets ( suite à une recherche de fichier en jour et heure ) qui ne me paraissent pas catholique.

Ma question est : Dois je les effacer manuellement ?

 

Voici la liste :

 

Threxcl.dat dans C:\Program Files\Norton Antivirus

Thrlexcl.dat dans C:\Program Files\Norton Antivirus

13155d5a dans C:\Program Files\Norton Antivirus\Quarantine

Dfjo.lgc dans C:\Windows\Applog

Hookdump.lgc dans C:\Windows\Applog

Lexstart.lgc dans C:\Windows\Applog

687340044.dll dans C:\Program Files\Norton Antivirus\Quarantine

 

merci de votre analyse .

 

Rom

[ipl_001]

Rebonjour romain75002, rebonjour à tous,

Bonjour et merci de votre analyse. 

Je suis surpris de n'avoir rien à effacer de plus ... mais il est vrai que j'avais fait un peu de menage avant de vous contacter.

 

Sinon Il est possible que cela soit une version piratée puisque cet ordi a été confié à un réparateur il y a quelques mois car le programme Windows buggait à mort ( suite à trop de ménage de printemps de ma part ) . Mais alors comment se fait il que j'ai pu télécharger sur le site de Microsoft les "update" classiques ?

Tu as néanmoins avoir tous les documents nécessaires à la validation de ta version de Windows !!!

Tu n'as plus beaucoup de mises à jour système pour Windows 9x.

Par le passé, il n'y avait pas de problèmes pour les WindowsUpdates des versions illégales car MicroSoft préférait que les "pirates" viennent effectuer les maj plutôt que d'entendre dire que le programme Windows était une passoire !

Le jour de l'attaque a été circonscrit, mais il reste des points que je vous soumets ( suite à une recherche de fichier en jour et heure ) qui ne me paraissent pas catholique.

Ma question est : Dois je les effacer manuellement ?  

 

Voici la liste :

 

Threxcl.dat dans C:\Program Files\Norton Antivirus

Thrlexcl.dat dans C:\Program Files\Norton Antivirus

13155d5a  dans C:\Program Files\Norton Antivirus\Quarantine

Dfjo.lgc dans C:\Windows\Applog

Hookdump.lgc dans C:\Windows\Applog

Lexstart.lgc dans C:\Windows\Applog

687340044.dll dans C:\Program Files\Norton Antivirus\Quarantine

 

merci de votre analyse .

 

Rom 

As-tu encore Norton ?

Tu as listé 2 fois le même fichier Threxcl.dat !

Lorsque tu as de hésitations, je te conseille de copier les fichiers dans un répertoire "_ASupprimer" avant de les effacer (crée aussi un fichier texte listant l'emplacement de chaque fichier). Ainsi, tu pourras les remettre en place en cas de problème ou les supprimer définitivement dans 2 semaines !

Les fichiers en Quarantine peuvent être virés sans ennuis (mais si possible par la fonction de NAV).

Les fichiers .LGC peuvent avoir de nombreuses origines

-> http://filext.com/detaillist.php?extdetail=LGC