virus apres installation d'un cd

[rimbaut]

non, je n'ai pas trouvé ces fichiers; pourtant j'ai descendu tout system32. Je t'envoie tout de meme le log HJ

Logfile of HijackThis v1.99.1

Scan saved at 13:47:02, on 06/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\KASPER~1\KASPER~3\KASPER~2\OESpamTest.ExE

C:\Program Files\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\hijackthis\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~3\KASPER~2\OESpamTest.ExE

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

 

ainsi que le log smitfraud

SmitFraudFix v2.11

 

Rapport fait à 7:50:41,01 le 06/01/2006

Executé à partir de C:\Documents and Settings\Alain\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Alain\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

"{C1A2FDA2-1A5B-2A8F-F3A2-B22DA1A3C41D}"="NetWrap for Windows"

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

Je constate que lorsque j'arrete le pc, le 1er programme qui disparait ds la barre de taches c'est ce malware: "virus alert"

 

N'y a t'il pas un moyen de tuer ce processus par un logiciel kill ou en allant dans la BDR

[Jack_Burton]

Le rapport est propre a présent!

 

Je constate que lorsque j'arrete le pc, le 1er programme qui disparait ds la barre de taches c'est ce malware: "virus alert"

 

N'y a t'il pas un moyen de tuer ce processus par un logiciel kill ou en allant dans la BDR

Quel processus? Il se nomme "virus alert"?

 

Je vais te faire scanner ton systeme avec eScan, un antivirus puissant en mode sans échec! Le scan devrait durer un moment!

 

Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

 

Étape 2:

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

 

Ne pas lancer le scan tout de suite !

 

Étape 3:

Redémarre en mode Sans Échec

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

 

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Modifié le 6 janvier 2006 par Jack_Burton

[rimbaut]

Je ne sais pas si c'est le nom du processus; en tout cas ds la barre (en bas à droite il apparait comme virus alert quand la fenetre ne s'étale pas; ce qui est rare puisqu'elle s'active toute les 10 secondes des que je la ferme). Cette fenetre porte l'intitulé ! system instrusion detected.

Ceci dit je vais effectuer ta procedure

[rimbaut]

Bonsoir,

Voilà Jack, j'ai fait la procédure et je te donne le rapport :

 

File C:\Documents and Settings\alain\Mes Documents\sécurité\ps_uninstaller.exe tagged as not-a-virus:AdWare.Win32.PurityScan.ba. No Action taker

 

J'espére qu'on arrivera à trouver où se cache ce malware

[Jack_Burton]

Bonsoir,

 

Fais un scan en ligne avec Kapersky WebScanner

 

Clique sur Kaspersky Online Scanner

 

On va te demander d'installer un contrôle ActiveX ,clique sur Yes.

 

* Le programme va démarrer et télécharger les dernières mises à jour:

* une fois la mise à jour terminée,clique sur NEXT

* clique sur Scan Settings

* Dans le menu du scan assure toi que les éléments suivants sont sélectionnés:

o Scan using the following Anti-Virus database:

Extended (si possible,sinon:Standard)

o Scan Options:

Scan Archives

Scan Mail Bases

* Clique sur OK

* A présent sous "select a target to scan":

choisis My Computer

* Le programme va se lancer et scanner ton systeme.

* Lorsque le scan est terminé, un message t'avertit si ton systeme est infecté.

o A présent clique sur le bouton "Save":

* Sauvegarde le fichier sur ton bureau.

* Copie/colle le contenu dans ton prochain message.

[rimbaut]

Bonsoir à tous, Bonsoir Jack,

Excusez moi pour ce silence mais j'avais du m'absenter. Le problème persiste je vais le scan soumis par jaxk et je poste ensuite le resultat

A tout de suite

[rimbaut]

Re bonsoir,

Voilà le résultat du scan

KASPERSKY ON-LINE SCANNER REPORT

Sunday, January 08, 2006 19:42:57

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version: 5.0.67.0

Kaspersky Anti-Virus database last update: 8/01/2006

Kaspersky Anti-Virus database records: 169937

-------------------------------------------------------------------------------

 

Scan Settings:

Scan using the following antivirus database: extended

Scan Archives: true

Scan Mail Bases: true

 

Scan Target - My Computer:

C:\

D:\

 

Scan Statistics:

Total number of scanned objects: 29091

Number of viruses found: 2

Number of infected objects: 6

Number of suspicious objects: 0

Duration of the scan process: 1535 sec

 

Infected Object Name - Virus Name

C:\Documents and Settings\Alain\Mes documents\securite\ps_uninstaller.exe/data0003 Infected: not-a-virus:AdWare.Win32.PurityScan.bu

C:\Documents and Settings\Alain\Mes documents\securite\ps_uninstaller.exe Infected: not-a-virus:AdWare.Win32.PurityScan.bu

C:\System Volume Information\_restore{CBD910E0-86C1-46FE-8433-031BF674A89E}\RP1\A0000282.dll Infected: not-virus:Hoax.Win32.Renos.am

C:\System Volume Information\_restore{CBD910E0-86C1-46FE-8433-031BF674A89E}\RP1\A0000604.dll Infected: not-virus:Hoax.Win32.Renos.am

C:\System Volume Information\_restore{CBD910E0-86C1-46FE-8433-031BF674A89E}\RP2\A0005287.dll Infected: not-virus:Hoax.Win32.Renos.am

C:\WINDOWS\system32\netwrap.dll Infected: not-virus:Hoax.Win32.Renos.am

 

Scan process completed.

 

A tout de suite

[rimbaut]

Re-bonsoir,

Je pense que Jack est occupé; quelqu'un peut il analyser le rapport de l'AV que j'ai posté

Merci d'avance

[Jack_Burton]

Bonsoir,

 

Ta restauration systeme semble etre infectée! Il vaut mieux repartir sur de bonnes bases!

 

1/ Désactive ta restauration systeme en suivant ce tutorial : http://www.libellules.ch/desactiver_restauration.php

 

2/ Fais un scan en ligne chez panda (ca fait pas de mal de changer un peu ^^)

 

http://www.pandasoftware.com/products/activescan.htm

 

3/ Poste le rapport généré par le scan en ligne de panda

 

4/ Réactive ta restauration systeme en suivant le tutorial de l étape 1

Modifié le 8 janvier 2006 par Jack_Burton

[rimbaut]

Heureux de t'entendre Jack;

Voici le rapport du scan

Incident Status Location

 

Adware:adware/gator Not disinfected C:\WINDOWS\GatorPdpLoudInstaller.log

Adware:adware/savenow Not disinfected C:\PROGRAM FILES\VVSN

Adware:adware program Not disinfected Windows Registry

Spyware:Cookie/Casinotropez Not disinfected C:\Documents and Settings\Alain\Cookies\alain@casinotropez[1].txt

Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\Alain\Cookies\alain@weborama[2].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Alain\Cookies\alain@xiti[1].txt

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Alain\Bureau\SmitfraudFix\SmitfraudFix\Process.exe

Spyware:Cookie/Casinotropez Not disinfected C:\Documents and Settings\Alain\Cookies\alain@casinotropez[1].txt

Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\Alain\Cookies\alain@weborama[2].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Alain\Cookies\alain@xiti[1].txt

Est ce qu'il faut réactiver maintenant la restauration ou apres la desinfection ?

A tout de suite