[Résolu]Auto-création de fichiers dans le repertoire Windows\Temp

[Arbre Ciré]

re,

 

il ne reste rien de nefaste, mais du menage a faire .

Ce qui m'étonne c'est que les manip proposées ont déjà été faites plusieures fois,

jusqu'a pésent les entrées "néfastes" étaient identiées dans la base de registre

et concernaient soit Istbar, Soit Coolwebsearch.

ont ils disparus ou si je relance un scan Panda je risque de les reetrouver

car il analyse diferemment le poste de travail ?

 

Bon je suis la procedure, mais vu l'heure je ne pense pas pouvoir me reconnecter

avant 23h00...

 

A bientôt

Arbre Ciré.

[bruce lee]

re,

 

a mon avis panda a encore emit des faux positif pour plusieurs raisons:

 

_ apparement tu as supprimé tout ce qui concerne RXtoolbar mais panda le detecte

_reg search ne trouve rien

_ un autre antivirus en ligne ne le trouve pas.

 

donc faux positif je pense

Modifié le 23 avril 2006 par bruce lee

[Arbre Ciré]

il ne reste rien de nefaste, mais du menage a faire .

internet explorer

Opera

Quarantaine Norton

C'est fait

 

Redémarre en mode sans échec.

EasyCleaner: Utilise les fonctions "Inutiles" et "Registre"

tout n'a pas été nettoyé,

"generator" "ToniArts EasyCleaner"

NOM Taille Attribut

C:\Documents and Settings\Eric\Local Settings\Historique\History.IE5..................................................0 S

C:\Documents and Settings\Eric\Local Settings\Historique\History.IE5\MSHist012006042320060424..................0 S

C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5..................................0 S

C:\Documents and Settings\Eric\Local Settings\Temp\Perflib_Perfdata_44c.dat.....................................16384 A

C:\Documents and Settings\Eric\Local Settings\Historique\History.IE5\MSHist012006042320060424\index.dat..65536 A

C:\Documents and Settings\Eric\Local Settings\Historique\History.IE5\index.dat.................................1212416 A

C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5\index.dat................8503296 A

 

refais un scan chez kaspersky et poste le rapport.

La ça va un peu mieux !

 

a bientôt

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER - RAPPORT

dimanche 23 avril 2006 21:55:47

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Version de Kaspersky On-line Scanner: 5.0.78.0

Dernière mise à jour de la base antivirus Kaspersky : 23/04/2006

Enregistrements dans la base antivirus Kaspersky : 189707

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: étendue

Analyser les archives: vrai

Analyser les bases de messagerie.: vrai

 

Cible de l'analyse - Poste de travail:

C:\

D:\

E:\

F:\

 

Statistiques de l'analyse:

Total d'objets analysés :: 72188

Nombre de virus trouvés: 3

Nombre d'objets infectés: 20

Nombre d'objets suspects: 0

Durée de l'analyse: 01:27:57

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\Eric\Application Data\Opera\Opera\profile\cache4\opr02G0N.htm Infecté: Exploit.JS.CVE-2006-1359.p ignoré

C:\Documents and Settings\Eric\Application Data\Opera\Opera\profile\cache4\opr02G11.htm Infecté: Exploit.JS.CVE-2006-1359.p ignoré

C:\Documents and Settings\Eric\Application Data\Opera\Opera\profile\cache4\opr02G2P.htm Infecté: Exploit.JS.CVE-2006-1359.p ignoré

C:\Documents and Settings\Eric\Application Data\Opera\Opera\profile\cache4\opr02G2Q.htm Infecté: Exploit.JS.CVE-2006-1359.p ignoré

C:\Documents and Settings\Eric\Application Data\Opera\Opera\profile\cache4\opr02G2T.htm Infecté: Exploit.JS.CVE-2006-1359.p ignoré

C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5\ERLDFQVG\webscanner.kaspersky[1].htm Infecté: Exploit.JS.CVE-2006-1359.p ignoré

C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5\PDSHM7FN\kavwebscan[1].htm Infecté: Exploit.JS.CVE-2006-1359.p ignoré

C:\Documents and Settings\Eric\Mes documents\Forums\liste.html Infecté: Exploit.JS.CVE-2006-1359.p ignoré

C:\Program Files\CloneDVD\Help.chm/online support.htm Infecté: Exploit.JS.CVE-2006-1359.p ignoré

C:\Program Files\CloneDVD\Help.chm CHM: infecté - 1 ignoré

C:\Program Files\Web_Tools\ICQLite\Plugins\User\communication\Multi_msg\connect.htm Infecté: Exploit.JS.CVE-2006-1359.p ignoré

C:\Program Files\Web_Tools\ICQLite\Plugins\User\communication\Multi_msg\mum3.html Infecté: Exploit.JS.CVE-2006-1359.p ignoré

C:\Program Files\Web_Tools\ICQLite\Plugins\User\Customeicq\CustomAwayStatus\connect_local.htm Infecté: Exploit.JS.CVE-2006-1359.p ignoré

C:\Program Files\XoftSpy\uninstall.exe/data0003 Infecté: not-a-virus:RiskTool.Win32.PsKill.n ignoré

C:\Program Files\XoftSpy\uninstall.exe NSIS: infecté - 1 ignoré

D:\Logiciels_Master\Web & Mail Tools\Free_CD\Outils\Nav\Mirc\Setup.exe/data0001.bin Infecté: not-a-virus:Client-IRC.Win32.mIRC.616 ignoré

D:\Logiciels_Master\Web & Mail Tools\Free_CD\Outils\Nav\Mirc\Setup.exe mIRC: infecté - 1 ignoré

D:\Logiciels_Master\_Sécurité\XoftSpy421_169.exe/data0013 Infecté: not-a-virus:RiskTool.Win32.PsKill.n ignoré

D:\Logiciels_Master\_Sécurité\XoftSpy421_169.exe NSIS: infecté - 1 ignoré

 

Analyse terminée.

Modifié le 23 avril 2006 par Arbre Ciré

[bruce lee]

re,

 

malgrès que le rapport montre encore des bestioles il est propre, mais j'aimerai savoir une chose, ta partition D c'est bien une partition pour la sauvegarde?

[Arbre Ciré]

re,

 

malgrès que le rapport montre encore des bestioles il est propre, mais j'aimerai savoir une chose, ta partition D c'est bien une partition pour la sauvegarde?

 

Tu penses sans doubte au répertoire "logiciel_master" .

 

Oui, sauf que dans cette branche se trouvent des installeurs

Installateur de la freebox = D:\Logiciels_Master\Web & Mail Tools\Free_CD (\Outils\Nav\Mirc\Setup.exe)

Installateur XoftSpy = D:\Logiciels_Master\_Sécurité (\XoftSpy421_169.exe)

etc...

 

je peux graver un CD, il ne sera pas plein, et virer cette partie

si elle embrouille trop l'analyse !

 

A+

[bruce lee]

re,

 

connais tu ceci(en gras):

 

C:\Documents and Settings\Eric\Mes documents\Forums\ liste.html

 

sinon ton log est propre (malgrés qu'il montre la presence de bestioles mais ce n'est rien de mechant (des sortes de cookies))

[Arbre Ciré]

re,

 

connais tu ceci(en gras):

 

C:\Documents and Settings\Eric\Mes documents\Forums\ liste.html

 

sinon ton log est propre (malgrés qu'il montre la presence de bestioles mais ce n'est rien de mechant (des sortes de cookies))

 

Oui, c'est une page ou j'ai pioché des images,

mais je ne sais pas ce qu'elle fait là !

 

Je la vire !

 

PS: Je fait un petit tour en base de registre pour voir s'il reste des traces des clés

Freeze_legacy et je te previens;

La dernière fois c'est en faisant une manip à la main

que je suis tombé dessus !

[Arbre Ciré]

PS: Je fait un petit tour en base de registre pour voir s'il reste des traces des clés Freeze_legacy

Et ben tiens !

Toujours là, la sale bête !

 

HKEY_LOCAL_MACHINE\SOFTWARE

Nom : WebKey

valeur : http://regman.freeze.com/screensavers/upgr...v=dx&s=scrpitch

Nom : WebKey2

valeur : http://regman.freeze.com/screensavers/upgr...v=dx&s=settings

 

Et Toujours

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FREEZESCREENSAVER

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FREEZESCREENSAVER

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FREEZESCREENSAVER

 

Impossibles à supprimer

Message

Suppression de LEGACY_FREEZESCREENSAVER impossible : Erreur lors de la suppression de la clé

 

L'acide ça marche ?

 

a bientot

[bruce lee]

re,

 

en mode sans echec ca marche? et en mode sans echec sous administrateur?

[Arbre Ciré]

En mode sans echec, non, ça ne marche pas !

 

Avec le compte administrateur, je ne savais même pas qu'il existait,

j'essaye, je te tiens au courrant !