prevhost.exe infecté par Trojan.Heur.13Résolu/Fermé

Question

Bonjour,
 Je viens de faire un anti-virus avec BitDefender et il a trouvé un fichier qu'il n'a pas pu désinfecter. Ce fichier se trouve dans C:\Windows\system32\prevhost.exe. Je vous met ci-dessous le journal que j'ai eu à la fin de mon scan : 


Fichier journal de BitDefender
Produit : BitDefender Internet Security 2008 
Version : BitDefender UIScanner V.11 
Date du journal : 19:47:35 02/02/2009 
Chemin du journal : C:\ProgramData\BitDefender\Desktop\Profiles\Logs\deep_scan\1233600455_1_02.xml 

Analyse des chemins :Chemin0000: C:\ 
Chemin0001: D:\ 
Chemin0002: E:\ 
Chemin0003: K:\ 


Options d’analyse :Analyse contre les virus : Oui 
Détecter les adwares : Oui 
Analyse contre les spywares : Oui 
Analyse des applications : Oui 
Détecter les numéroteurs : Oui 
Analyse contre les Rootkits : Oui 


Options de sélection de cible :Analyse les clés du registre : Oui 
Analyse des cookies : Oui 
Analyser le secteur de boot : Oui 
Analyse des processus mémoire : Oui 
Analyser les archives : Oui 
Analyser les fichiers enpaquetés : Oui 
Analyser les emails : Oui 
Analyser tous les fichiers : Oui 
Analyse heuristique : Oui 
Extensions analysées :  
Extensions exclues  :  


Traitement cibleAction par défaut pour les objets infectés : Désinfecter 
Action par défaut pour les objets suspects : Aucun 
Action par défaut pour les objets camouflés : Aucun 


Résumé de l'analyseNombre de signatures de virus : 2638753 
Plugins archives : 45 
Plug-ins messagerie : 6 
Plugins d'analyse : 13 
Plugins archives : 45 
Plug-ins système : 5 
Plug-ins décompression : 7 


Résumé de l'analyse généraleEléments analysés : 20955 
Eléments infectés  : 1 
Eléments suspects : 0 
Eléments résolus : 0 
Virus individuels trouvés : 1 
Répertoires analysés : 13295 
Secteur de boot analysés : 6 
Archives analysés : 575 
Erreurs I/O : 64 
Temps d'analyse : 00:00:47:06 
Fichiers par seconde : 7 


Résumé des processus analysésAnalysé(s) : 58 
Infecté(s) : 0 


Résumé des clés de registre analyséesAnalysé(s) : 1002 
Infecté(s) : 0 


Résumé des cookies analysésAnalysé(s) : 7 
Infecté(s) : 0 


Problèmes non résolus :Nom de l'objet Nom de la menace Etat final 
[System]=]C:\Windows\system32\prevhost.exe (memory dump) Gen:Trojan.Heur.13 Echec de la désinfection 


Problèmes résolusNom de l'objet Nom de la menace Etat final 


Objets non scannés :Nom de l'objet Raison Etat final 


 Qu'est ce que je peux faire ?

plopus · Answer

bonsoir,

    * Télécharge hijackthis https://www.androidworld.fr/

    * Tout est expliqué pour bien l installer et savoir l'utiliser.



Comment copier/coller le rapport :


Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

Ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.

hippipip · Answer

Re bonjour voilà c'est fait et ça donne ça : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:35:17, on 02/02/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Windows\System32undll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\i-Buddy Manager\i-BuddyManager.exe
C:\Windows\System32undll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Windows\explorer.exe
C:\Program Files\Windows Media Player\wmprph.exe
E:\utorrent.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\Nero\Nero 7\Core
ero.exe
C:\Windows\system32\prevhost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: i-Buddy Manager.lnk = C:\Program Files\i-Buddy Manager\i-BuddyManager.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe

plopus · Answer

re

tu connais sa  i-Buddy Manager

relance hijackthis choisit do a scan only et coche les cases a gauche des lignes :

 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"     
 O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background     
 O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe     
 O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')     

puis clic sur fix checked

ensuite ton rapport ne montre rien de spéciale

    *  Télécharge Malwarebytes
https://www.androidworld.fr/

    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

et fais le en mode sans echec, tu redemarre au bip tapote F8 et chosit mode sans echec

hippipip · Answer

re, 
Oui je connais i-buddy c'est ça : https://www.clubic.com/actualite-81672-buddy-emoticones-messenger-passent-usb.html

Quand j'ouvre de nouveau hijackthis, je ne trouve pas : 
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

alors que je trouve les autre. Comment ca se fait ?
je n'ai pas encore fait le reste de ce que tu m'as demandé  je voudrais savoir pour ça d'abord si je peux le faire que pour les 3 autres.

plopus · Answer

ok ben fait le reste c'est pas grave

hippipip · Answer

Bonjour, l'analyse est terminée et et il n'y a pas eu d'éléments nuisibles de trouvés, pourtant le virus est toujours là !

plopus · Answer

bonjour

Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe 
2 rapport s ouvrirons poste les 2 separement

hippipip · Answer

Voilà le premier rapport : 

info.txt logfile of random's system information tool 1.05 2009-02-03 08:06:28

======Uninstall list======

-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Assistant de connexion Windows Live-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
BitDefender Internet Security 2008-->MsiExec.exe /I{BF7D87C5-CFC3-40C5-A367-24586EEBB8CA}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
DHTML Editing Component-->MsiExec.exe /I{2EA870FA-585F-4187-903D-CB9FFD21E2E0}
EPSON Logiciel imprimante-->C:\Windows\system32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
Galerie de photos Windows Live-->MsiExec.exe /X{A70FA218-6598-4AC9-813D-63597C5DD068}
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_11CB06797F2F038A.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
i-Buddy Manager-->C:\Program Files\i-Buddy Manager\uninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft Money 99-->C:\Program Files\Microsoft Money\setup\setup.exe 
Microsoft NetShow Player 2.0-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF
splayer.inf,Uninstall.NT
Microsoft Office Standard Edition 2003-->MsiExec.exe /I{9112040C-6000-11D3-8CFE-0150048383C9}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Multimedia Card Reader-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{0AFECCA6-61A0-409F-9205-67613984209D} /l1036 
Nero 7 Essentials-->MsiExec.exe /X{1A6A6531-08FC-47AD-BAC4-C41497E71036}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
PhotoFiltre-->"C:\Program Files\PhotoFiltre\Uninst.exe"
Turbo Lister 2-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{69640730-B830-4C24-BB5C-222DA1260548} 
VLC media player 0.9.2-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live installer-->MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}

======Security center information======

AV: Bitdefender Antivirus
FW: Bitdefender Firewall
AS: BitDefender AntiSpam
AS: Windows Defender (disabled)

System event log

Computer Name: PC-de-RoutierCa
Event Code: 20001
Message: La gestion des pilotes a terminé le processus d’installation du pilote FileRepository\hdeluxe.inf_5e06763a\hdeluxe.inf pour l’ID d’instance de périphérique USB\VID_05A9&PID_4519&MI_00\6&29BBF76&1&0000 avec le statut suivant : 3758096919.
Record Number: 32670
Source Name: Microsoft-Windows-User-PnP
Time Written: 20090203062218.618322-000
Event Type: Information
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-RoutierCa
Event Code: 20003
Message: La gestion des pilotes a terminé le processus d’ajout du service usbaudio pour l’ID d’instance de périphérique USB\VID_05A9&PID_4519&MI_01\6&29BBF76&1&0001 avec le statut suivant : 0.
Record Number: 32671
Source Name: Microsoft-Windows-User-PnP
Time Written: 20090203062223.156117-000
Event Type: Information
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-RoutierCa
Event Code: 20001
Message: La gestion des pilotes a terminé le processus d’installation du pilote FileRepository\wdma_usb.inf_9ce240de\wdma_usb.inf pour l’ID d’instance de périphérique USB\VID_05A9&PID_4519&MI_01\6&29BBF76&1&0001 avec le statut suivant : 0.
Record Number: 32672
Source Name: Microsoft-Windows-User-PnP
Time Written: 20090203062226.218421-000
Event Type: Information
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-RoutierCa
Event Code: 7036
Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : en cours d'exécution.
Record Number: 32673
Source Name: Service Control Manager
Time Written: 20090203064306.000000-000
Event Type: Information
User: 

Computer Name: PC-de-RoutierCa
Event Code: 7036
Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : arrêté.
Record Number: 32674
Source Name: Service Control Manager
Time Written: 20090203065936.000000-000
Event Type: Information
User: 

Application event log

Computer Name: PC-de-RoutierCa
Event Code: 302
Message: msnmsgr (2992) \.\C:\Users\Routier Carine\AppData\Local\Microsoft\Messenger\pitchoune_du_62@hotmail.fr\SharingMetadata\Working\database_465C_329A_5C32_84A9\dfsr.db: The database engine has successfully completed recovery steps.
Record Number: 6497
Source Name: ESENT
Time Written: 20090202212727.000000-000
Event Type: Information
User: 

Computer Name: PC-de-RoutierCa
Event Code: 103
Message: msnmsgr (2992) \.\C:\Users\Routier Carine\AppData\Local\Microsoft\Messenger\pitchoune_du_62@hotmail.fr\SharingMetadata\Working\database_465C_329A_5C32_84A9\dfsr.db: The database engine stopped the instance (0).
Record Number: 6498
Source Name: ESENT
Time Written: 20090202223519.000000-000
Event Type: Information
User: 

Computer Name: PC-de-RoutierCa
Event Code: 8224
Message: Le service VSS s’arrête, car le délai d’inactivité est dépassé. 
Record Number: 6499
Source Name: VSS
Time Written: 20090202232906.000000-000
Event Type: Information
User: 

Computer Name: PC-de-RoutierCa
Event Code: 102
Message: msnmsgr (2992) \.\C:\Users\Routier Carine\AppData\Local\Microsoft\Messenger\pitchoune_du_62@hotmail.fr\SharingMetadata\Working\database_465C_329A_5C32_84A9\dfsr.db: The database engine (6.00.6000.0000) started a new instance (0).
Record Number: 6500
Source Name: ESENT
Time Written: 20090203062622.000000-000
Event Type: Information
User: 

Computer Name: PC-de-RoutierCa
Event Code: 5
Message: Unsupported service control request (see data below)
Record Number: 6501
Source Name: LightScribeService
Time Written: 20090203070627.000000-000
Event Type: Information
User: 

Security event log

Computer Name: PC-de-RoutierCa
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7

Privilèges :		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 5909
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090203011429.974219-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-RoutierCa
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume2\Windows\System32\drivers\bdfsfltr.sys	
Record Number: 5910
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090203070621.508736-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-de-RoutierCa
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume2\Windows\System32\drivers\bdfsfltr.sys	
Record Number: 5911
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090203070621.549749-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-de-RoutierCa
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume2\Windows\System32\drivers\bdfsfltr.sys	
Record Number: 5912
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090203070621.584903-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-de-RoutierCa
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume2\Windows\System32\drivers\bdfsfltr.sys	
Record Number: 5913
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090203070621.609316-000
Event Type: Échec de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 44 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=2c02
"NUMBER_OF_PROCESSORS"=1
"configsetroot"=%SystemRoot%\ConfigSetRoot

-----------------EOF-----------------

hippipip · Answer

Et voilà le second : 

Logfile of random's system information tool 1.05 (written by random/random)
Run by Routier Carine at 2009-02-03 08:06:18
Microsoft® Windows Vista™ Édition Familiale Premium  
System drive C: has 7 GB (19%) free of 35 GB
Total RAM: 2047 MB (28% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:06:25, on 03/02/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Windows\System32undll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\i-Buddy Manager\i-BuddyManager.exe
C:\Windows\System32undll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Windows\explorer.exe
C:\Program Files\Windows Media Player\wmprph.exe
E:\utorrent.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\Nero\Nero 7\Core
ero.exe
C:\Windows\system32\prevhost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\BitDefender\BitDefender 2008\uiscan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Users\Routier Carine\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Routier Carine.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: i-Buddy Manager.lnk = C:\Program Files\i-Buddy Manager\i-BuddyManager.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe

plopus · Answer

re telecharger GENPROC Ouvre ce lien d'aide < < http://www.alt-shift-return.org/Info/GenProc-HowTo.html > , et le téléchargement est dedans < http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip >. repond oui à la question à la fin et poste le rapport stp

hippipip · Answer

Bonjour, j'ai scanné mon ordi ce matin au démarrage avec Bitdefender et il n'a rien trouvé :)
Voici le journal : 

Fichier journal de BitDefender
Produit : BitDefender Internet Security 2008 
Version : BitDefender UIScanner V.11 
Date du journal : 10:22:45 04/02/2009 
Chemin du journal : C:\ProgramData\BitDefender\Desktop\Profiles\Logs\deep_scan\1233739365_1_00.xml 

Analyse des chemins :Chemin0000: C:\ 
Chemin0001: D:\ 
Chemin0002: E:\ 
Chemin0003: K:\ 


Options d’analyse :Analyse contre les virus : Oui 
Détecter les adwares : Oui 
Analyse contre les spywares : Oui 
Analyse des applications : Oui 
Détecter les numéroteurs : Oui 
Analyse contre les Rootkits : Oui 


Options de sélection de cible :Analyse les clés du registre : Oui 
Analyse des cookies : Oui 
Analyser le secteur de boot : Oui 
Analyse des processus mémoire : Oui 
Analyser les archives : Oui 
Analyser les fichiers enpaquetés : Oui 
Analyser les emails : Oui 
Analyser tous les fichiers : Oui 
Analyse heuristique : Oui 
Extensions analysées :  
Extensions exclues  :  


Traitement cibleAction par défaut pour les objets infectés : Désinfecter 
Action par défaut pour les objets suspects : Aucun 
Action par défaut pour les objets camouflés : Aucun 


Résumé de l'analyseNombre de signatures de virus : 2639533 
Plugins archives : 45 
Plug-ins messagerie : 6 
Plugins d'analyse : 13 
Plugins archives : 45 
Plug-ins système : 5 
Plug-ins décompression : 7 


Résumé de l'analyse généraleEléments analysés : 23789 
Eléments infectés  : 0 
Eléments suspects : 0 
Eléments résolus : 0 
Virus individuels trouvés : 0 
Répertoires analysés : 13339 
Secteur de boot analysés : 6 
Archives analysés : 589 
Erreurs I/O : 66 
Temps d'analyse : 00:00:43:49 
Fichiers par seconde : 8 


Résumé des processus analysésAnalysé(s) : 54 
Infecté(s) : 0 


Résumé des clés de registre analyséesAnalysé(s) : 1000 
Infecté(s) : 0 


Résumé des cookies analysésAnalysé(s) : 14 
Infecté(s) : 0 


Problèmes non résolus :Nom de l'objet Nom de la menace Etat final 


Problèmes résolusNom de l'objet Nom de la menace Etat final 


Objets non scannés :Nom de l'objet Raison Etat final 



Est ce que je dois faire quand meme la manipulation que vous m'avez indiqué ?

plopus · Answer

bonjour,

oui fait Genproc en controle et poste le rapport

hippipip · Answer

Voilà le résultat de GenProc : 

Rapport GenProc 2.351 [1] - 04/02/2009 - Windows Vista 
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 

 
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
- C:\Program Files\EsetOnlineScanner\log.txt

__________________________________________________________________________________________________________
 
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com

plopus · Answer

re

ok si tu n'as plus de probleme :

la mise a jour de tes logiciel :
via windows update
via ce site https://www.flexera.com/products/operations/software-vulnerability-management.html (clic start scan accepte l'active X)

tu peut passer Toolscleaner pour nettoyer les outils que tu as telecharge
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
clik sur recherche laisse le scanner ton pc et parès clik sur suppression et poste le rapport

puis purge ta restauration avec sa http://www.commentcamarche.net/faq/sujet 5097 virus system volume information
puis creer un point de restauration sain avec sa http://www.commentcamarche.net/faq/sujet 740 windows points de restauration


et met ton poste en resolu


bonne soirée

hippipip · Answer

RE,
Merci pour ton aide
Voilà mon rapport pour toolsCleaner :


[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Rsit: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Routier Carine\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: trouvé !
C:\Users\Routier Carine\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Users\Routier Carine\Desktop\HijackThis.lnk: trouvé !
C:\Users\Routier Carine\Desktop\GenProc.zip: trouvé !
C:\Users\Routier Carine\Desktop\HJTInstall.exe: trouvé !
C:\Users\Routier Carine\Desktop\Rsit.exe: trouvé !
C:\Users\Routier Carine\Desktop\GenProc: trouvé !
C:\Users\Routier Carine\Desktop\GenProc\outil\HijackThis.exe: trouvé !
C:\Users\Routier Carine\Desktop\GenProc\outil\hijackthis.log: trouvé !
C:\Users\Routier Carine\Desktop\GenProc\Page\GenProc[*].html: trouvé !

---------------------------------
-->- Suppression: 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Routier Carine\Desktop\HijackThis.lnk: supprimé !
C:\Users\Routier Carine\Desktop\GenProc.zip: supprimé !
C:\Users\Routier Carine\Desktop\HJTInstall.exe: supprimé !
C:\Users\Routier Carine\Desktop\GenProc\outil\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Users\Routier Carine\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Users\Routier Carine\Desktop\Rsit.exe: supprimé !
C:\Users\Routier Carine\Desktop\GenProc\outil\hijackthis.log: supprimé !
C:\Users\Routier Carine\Desktop\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Rsit: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\Users\Routier Carine\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: supprimé !
C:\Users\Routier Carine\Desktop\GenProc: supprimé !


Est ce que les outils vont se retirer de mon bureau après redémarrage ou il y a un autre manipulation a faire ?

plopus · Answer

re

dans le rapport tout les frichier ou il y a marqué ERREUR DE SUPPRESSION ! tu les supprime manuellement et si tu trouve des traces encore supprime les

puis si tu l'as pas

telecharge CCleaner ici 
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ouvre CCleaner va dans option/avanvé et decoche la premier ligne 
et nettoie ton registre et tes fichier temporaire au moins 2fois jusqu'a trouver 0erreur

hippipip · Answer

re, il y a plusieurs icones que je n'arive pas a retirer sur mon bureau comme "rsit.exe", "hijackThis", "GenProc.zip", "HJTInstall.exe", quand je veux les supprimer il me dit qu'ils existent plus et que je dois vérifier l'emplacement alors que je les voit sur mon bureau.

plopus · Answer

ok c'est normal, purge ta restauration puis redemarre ton PC et réactive la restauration systeme et c'est bon

hippipip · Answer

Merci beaucoup pour ton aide !

plopus · Answer

de rien  ;)

et bonne nuit jvé mcouché, demain c'est peinture pour moi...

Prevhost.exe infecté par Trojan.Heur.13

20 réponses

Newsletters