Mon PC est probablement infecté : demande d'analyse

[sroumeas]

Vraiment merci beaucoup pour cette attention à mon problème.

je vais faire tout ça demain soir et je poste le rapport.

Bonsoir

[Thanos]

ok passe une bonne fin de soirée

[sroumeas]

Bonsoir,

j'ai repris le nettoyage...

1 - Fichier host restauré enfin je suppose car j'ai fait la manip mais j'ai rien vu?

2 - Escan ci-dessous le rapport:

File C:\Jasc\PSP803vfPatch_.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{97DBAF72-168D-459D-92F6-6ADB39F4E99B}\RP2\A0000392.dll infected by "Email-Worm.Win32.Bagle.fn" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{97DBAF72-168D-459D-92F6-6ADB39F4E99B}\RP2\A0000393.exe infected by "Email-Worm.Win32.Bagle.fn" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{97DBAF72-168D-459D-92F6-6ADB39F4E99B}\RP2\A0000395.exe infected by "Email-Worm.Win32.Bagle.fn" Virus. Action Taken: File Deleted.

 

Si je comprends bien ver Bagle était encore là!

 

merci de faire le point

[Thanos]

salut sroumeas

 

1 - Fichier host restauré enfin je suppose car j'ai fait la manip mais j'ai rien vu?

Tres bien! et c'est normal que tu ne vois rien!

 

Si je comprends bien ver Bagle était encore là!

Oui encore présent dans la restauration système!! ca veut dire que si tu avais fait une restauration entre temps, tu aurais récupéré un système infecté!!Pour être sûr qu'il a bien disparu du pc=>

 

On va faire un petit nettoyage de ta base de registre à présent + finir le nettoyage de Baggle :

 

-Télécharge jv16 , et met le dans un dossier(il te servira toujours pour nettoyer!)

http://telechargement.zebulon.fr/201-jv16-powertools.html

 

-Télécharge :FxBgleMO.exe et met le sur le bureau.

 

Redémarre en mode sans échec .

 

*Lance FxBgleMO.exe . Une fois terminé , tu peux te débarrasser de cet utilitaire.

 

*Lance jv16

 

- Mets le logiciel en français : Preferences > Language > Français > OK.

 

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

 

- Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

 

- Clique sur "Continuer" puis sur "Démarrer".

 

- Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis

 

va en bas à droite et supprime.Tu peux virer toutes les entrées en vert.

 

-Si ca ne fonctionne pas du premier coup,recommence!

 

Si le pc fonctionne bien à présent on va pouvoir de toute façon désactiver la restauration système pour éliminer tous les points de restauration infectés. Comment marche le pc??

[sroumeas]

FxBgleMO.exe n'a pas trouvé W32.Beagle.[M-O]

C'est bon signe!

Pour jv16, je n'ai pas pu lancer le nettoyeur de registre en mode sans échec car la fenêtre de commande est hors écran.

Je l'ai donc fait en mode normal et j'ai donc viré toutes les entrées en vert.

 

Mon PC fonctionne bien, d'ailleurs depuis dimanche soir grâce à EWIDO.

Toutefois je m'aperçois en cherchant comment on désactive la restauration système que la fenêtre centre de sécurité windows m'indique "le centre de sécurité est actuellement indisponible car le service centre de sécurité n'a pas démarré ou a été arrêté..."

[Thanos]

sroumeas , en regardant ton rapport, je ne vois pas d'antivirus ni de parefeu : S'IL TE PLAIT , cours télécharger ces deux programmes car Ewido ne suffit pas il te faut ces protections absolument avant d'être réinfecté!!=>

 

-télécharge Antivir

http://www.free-av.com

-son tutorial:

http://speedweb1.free.fr/frames2.php?page=tuto5

La version a changé par rapport au tutorial, mais les reglages sont identiques

 

 

-télécharge zone alarm:

http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutorial:

http://www.zebulon.fr/articles/configurationZA_1.php

 

Je te donne ces deux logiciels , mais il y en a d'autres!! tu peu les choisir dans la rubrique téléchargement de zebulon!

Installe les tres vite, le risque de réinfection est gros: pense au travail effectué

 

Toutefois je m'aperçois en cherchant comment on désactive la restauration système que la fenêtre centre de sécurité windows m'indique "le centre de sécurité est actuellement indisponible car le service centre de sécurité n'a pas démarré ou a été arrêté..."

Plus besoin du centre de sécurité si tu télécharges le parfeu + l'antivirus en question! De plus le firewall du sp2 est nul! Il ne filtre rien de ce qui peut sortir de ton pc!

 

Apres ca on désactivera la restauration système

Modifié le 21 février 2006 par charles ingals

[sroumeas]

Si, j'ai AVG Free edition

Je remplace par antivir?

 

j'installe tout de suite Zone Alarm

[Thanos]

Antivir nous a prouvé qu'il était bien plus efficace qu'AVG dans ses détections, mais c'est pas obligatoire:tu peux conserver AVG

Apres ca si tu veux bien reposter un dernier rappoprt Hijackthis pour voir ou tu en est!

[sroumeas]

rapport hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 23:50:55, on 21/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

C:\Program Files\Fichiers communs\Talkway\vmtalk.exe

C:\WINDOWS\VM_STI.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE Thrustmaster USB PC Camera

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe

O4 - Global Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {983AB2CC-3D50-11D9-ADFE-00062919A34C} (ActiveXUpload.UserCtrl) - http://www.photoservice.com/activeX/newUpload.CAB

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - AppInit_DLLs: PAVWAIT.DLL

O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\system32\catsrvut.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

[Thanos]

Tres bien ce rapport

 

On s'occupe de la restauration =>

 

Supprime la restauration système : ( aide visuelle http://service1.symantec.com/SUPPORT/INTER...46?OpenDocument

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

Cliquez sur OK, redémarrer votre PC.Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

Apres ca quelques utilitaires à installer pour sécuriser ton pc comme il faut et ca ira