Infection Win32:Horst-C - Demande d'aide (débutant) [résolu]

[bruce lee]

Salut nonop,

 

Décidemment pas de chance avec ce PC.........

 

 

1/telecharge silent runners http://www.silentrunners.org/Silent%20Runners.vbs

(fait clique droit sur le lien, puis enregistrer la cible sous)

 

2/déconnecte toi du net et ferme toutes les applications en cours.

 

3/lance silent runners laisse le travailler quand il aura finit de scanner tu en sauras averti par un message et un nouveau fichier texte sera crée ouvre ce fichier texte et colle la totalité du rapport.

[nonop]

Décidemment pas de chance avec ce PC.........

 

Comme tu dis! Ca m'énerve!!!!!

 

J'ai téléchargé Silent Runners (tout prend 3 plombes parce que à partir d'un certain temps, l'ordi répond plus et je dois le redémarrer) et, aprs m'être déconnecté, je l'ai lancé.

 

Résultat, message suivant:

 

Wndows Script Host

 

(...)

Ligne: 1

Caract.: 1

Erreur: Instruction attendue

Code: 800A0400

Source: Erreur de compilation Microsoft VBScript

 

Qu'en dis-tu?

 

++

[nonop]

Bruce,

 

En attendant ton avis sur silent runners qui ne fonctionne pas, j'ai lancé une analyse kaspersky en ligne...

 

Statistiques de l'analyse

Total d'objets analysés 60974

Nombre de virus trouvés 1

Nombre d'objets infectés 2 / 0

Nombre d'objets suspects 0

Durée de l'analyse 01:02:48

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Application Data\Mozilla\Firefox\Profiles\1wiq4x31.default\cert8.db L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Application Data\Mozilla\Firefox\Profiles\1wiq4x31.default\formhistory.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Application Data\Mozilla\Firefox\Profiles\1wiq4x31.default\history.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Application Data\Mozilla\Firefox\Profiles\1wiq4x31.default\key3.db L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Application Data\Mozilla\Firefox\Profiles\1wiq4x31.default\parent.lock L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Local Settings\Application Data\Mozilla\Firefox\Profiles\1wiq4x31.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Local Settings\Application Data\Mozilla\Firefox\Profiles\1wiq4x31.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Local Settings\Application Data\Mozilla\Firefox\Profiles\1wiq4x31.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Local Settings\Application Data\Mozilla\Firefox\Profiles\1wiq4x31.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Local Settings\Historique\History.IE5\MSHist012006081620060817\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Local Settings\Temp\hpodvd09.log L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Local Settings\Temp\~DF5CC7.tmp L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\MB\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

 

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

 

C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int L'objet est verrouillé ignoré

 

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

 

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

 

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

 

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

 

C:\System Volume Information\_restore{182B383D-A569-44D8-BD8A-6CB3D24028E0}\RP72\change.log L'objet est verrouillé ignoré

 

C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

 

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

 

C:\WINDOWS\Temp\Perflib_Perfdata_6fc.dat L'objet est verrouillé ignoré

 

C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

 

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

 

D:\System Volume Information\_restore{182B383D-A569-44D8-BD8A-6CB3D24028E0}\RP35\A0006242.exe Infecté : Virus.Win32.Tenga.a ignoré

 

D:\System Volume Information\_restore{182B383D-A569-44D8-BD8A-6CB3D24028E0}\RP50\A0008505.exe Infecté : Virus.Win32.Tenga.a ignoré

 

Analyse terminée.

 

Mais pas de trace de Adware et Gaobot qui sont en qurentaine dans avast... J'attends tes instructions.

 

++

[bruce lee]

re,

 

Ok, la bestiole est bien detecté par kaspersky.

 

1/suis scurpuleursement les instructions de ce lien:

 

http://www.libellules.ch/desactiver_restauration.php

 

 

2/demarrer/panneau de configuration/performances et maintenance/systeme

 

3/tu vas dans l'onglet restauration du systeme

 

4/tu decoches la case devant:

 

Desactiver la restauration du systeme sur tout les lecteurs. puis tu cliques sur

appliquer et enfin ok

 

 

5/ redemarre ton PC

 

 

6/demarrer/tous les programmes/accessoires/outils systeme/restauration du systeme

 

 

7/ une nouvelle fenetre s'ouvre, coche la case devant:

 

creer un point de restauration

 

 

8/clique sur suivant (en bas a droite)

 

 

9/ sous Description du point de restauration il y a un restangle blanc, donne un nom au

point de creation que tu vas creer(celui que tu veux)

 

 

10/ clique sur creer (en bas a droite) puis patiente un peu, quand le point sera creer tu

en sera averti par un message disant qu'un point de restauration a été créer puis enfin tu

cliques sur fermer (en bas a droite)

 

 

11/ refais ensuite un scan en ligne et poste le rapport.

Modifié le 16 août 2006 par bruce lee

[nonop]

bonjour bruce,

 

désolé mais l'ordi se bloque de temps en temps comme je te l'ai dit.

 

J'ai fait ce que tu m'as dit, voilà le rapport kaspersky:

 

Statistiques de l'analyse

Total d'objets analysés 54127

Nombre de virus trouvés 0

Nombre d'objets infectés 0 / 0

Nombre d'objets suspects 0

Durée de l'analyse 01:02:17

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\MB\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\MB\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\MB\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\MB\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\MB\Local Settings\Historique\History.IE5\MSHist012006081720060818\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\MB\Local Settings\Temp\hpodvd09.log L'objet est verrouillé ignoré

C:\Documents and Settings\MB\Local Settings\Temp\~DF5733.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\MB\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\MB\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\MB\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

C:\System Volume Information\_restore{182B383D-A569-44D8-BD8A-6CB3D24028E0}\RP74\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_6e0.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

Analyse terminée.

 

Ca m'inquiète tous ces "objets verrouillés"... qu'en penses-tu? L'ordi continue d'être bloqué (par gaobot ou adware-gen non? ils sont en quarentaine), que faire?

 

J'attends ton avis, merci!

 

arno

Modifié le 17 août 2006 par nonop

[bruce lee]

Bonjour nonop,

 

Pour les objets verouillés, ne t'inquiete pas.

 

d'apres kaspersky:

 

Statistiques de l'analyse

Total d'objets analysés 54127

Nombre de virus trouvés 0

Nombre d'objets infectés 0 / 0

Nombre d'objets suspects 0

Durée de l'analyse 01:02:17

 

 

Il n'y a plus de bestiole, mais j'aimerai quand meme une petite analyse sur un fichier:

 

 

rend toi sur ce site http://virusscan.jotti.org/ et fait analyser sagate.exe qui se trouve ici:

 

D:\sagate.exe

 

et post le resultat.

 

@+

[nonop]

Re,

 

C'est fait, voilà le résultat:

 

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

 

c'est effectivement là où se planquait gaobot mais il est peut-être en quarentaine non?

 

Bizarre, avec tous les bugs provoqués par ces virus, je n'ai plus de son (le périphérique audio n'est plus reconnu)...

 

++

[bruce lee]

re,

 

il te faut recommencer, je te remets la manip en plus detaillé.

 

Lorsque tu cliques sur http://virusscan.jotti.org/ , tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur

Recherche le fichier en cause sagate.exe qui se trouve ici D:\sagate.exe

Clique une fois sur le fichier (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre)

Pour le virusscan de jotti et "send" pour virustotal.

Le scan de ce fichier va débuter.

Tu n'as plus qu'à sélectionner puis copier /coller l’analyse. Il est possible que tu reçoives ce message =>

"Server is extremely busy at the moment. Please try again later."Auquel cas il faut retenter le coup plus tard!

[nonop]

re,

 

oui, c'est bien ce que j'ai fait... j'ai réessayé mais le message est toujours le même sur une page blanche, il n'y a même pas de scan...

 

Je suis en train d'essayer avec virustotal, j'attends la fin de l'analyse et je te poste le résultat. Il ne faudrait pas les supprimer de la quarentaine? Qu'en penses-tu?

 

++

[nonop]

Re,

 

Voilà le résultat de virustotal:

 

Antivirus Version Update Result

AntiVir n - no virus found

Authentium n - no virus found

Avast n - no virus found

AVG n - no virus found

BitDefender n - no virus found

CAT-QuickHeal n - no virus found

ClamAV n - no virus found

DrWeb n - no virus found

eTrust-InoculateIT n - no virus found

eTrust-Vet n - no virus found

Ewido n - no virus found

Fortinet n - no virus found

F-Prot n - no virus found

F-Prot4 n - no virus found

Ikarus n - no virus found

Kaspersky n - no virus found

McAfee n - no virus found

Microsoft n - no virus found

NOD32v2 n - no virus found

Norman n - no virus found

Panda n - no virus found

Sophos n - no virus found

Symantec n - no virus found

TheHacker n - no virus found

UNA n - no virus found

VBA32 n - no virus found

VirusBuster n - no virus found

 

Aditional Information

File size: 0 bytes

MD5: d41d8cd98f00b204e9800998ecf8427e

SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

packers: embedded

 

Ceci dit, je l'avais mis en quarentaine avec avast... c'est sans doute pour ça qu'il ne trouve rien... une idée?

 

++