Sujet Précédent Sujet Suivant

Infection Braviax. Antivirus BitDefender.

Résolu/Fermé
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 - 17 août 2009 à 18:58
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 - 26 sept. 2009 à 00:34
Bonjour,

J'ai consulté plusieurs sujets dans le forum sur Braviax, mais les solutions semblent toutes personalisées.
Je vais donc décrire ma situation.

Mon antivirus (BitDefender) a détecté le virus Braviax.

J'ai fais une première détection qui a donnée ceci :
----------------------------------------------------------------
Fichier journal de BitDefender
Produit : BitDefender Internet Security 2008
Version : BitDefender UIScanner V.11
Date du journal : 16:05:34 17/08/2009
Chemin du journal : C:\Documents and Settings\All Users\Application Data\BitDefender\Desktop\Profiles\Logs\full_scan\1250517934_1_02.xml

Analyse des chemins :Chemin0000: C:\

Options d’analyse :Analyse contre les virus : Oui
Détecter les adwares : Oui
Analyse contre les spywares : Oui
Analyse des applications : Oui
Détecter les numéroteurs : Oui
Analyse contre les Rootkits : Oui

Options de sélection de cible :Analyse les clés du registre : Oui
Analyse des cookies : Oui
Analyser le secteur de boot : Oui
Analyse des processus mémoire : Oui
Analyser les archives : Non
Analyser les fichiers enpaquetés : Oui
Analyser les emails : Oui
Analyser tous les fichiers : Oui
Analyse heuristique : Oui
Extensions analysées :
Extensions exclues :

Traitement cibleAction par défaut pour les objets infectés : Désinfecter
Action par défaut pour les objets suspects : Aucun
Action par défaut pour les objets camouflés : Aucun

Résumé de l'analyseNombre de signatures de virus : 3835899
Plugins archives : 45
Plug-ins messagerie : 6
Plugins d'analyse : 13
Plugins archives : 45
Plug-ins système : 5
Plug-ins décompression : 7

Résumé de l'analyse généraleEléments analysés : 60543
Eléments infectés : 7
Eléments suspects : 2
Eléments résolus : 5
Virus individuels trouvés : 4
Répertoires analysés : 3520
Secteur de boot analysés : 2
Archives analysés : 83
Erreurs I/O : 2
Temps d'analyse : 00:00:13:28
Fichiers par seconde : 73

Résumé des processus analysésAnalysé(s) : 48
Infecté(s) : 3

Résumé des clés de registre analyséesAnalysé(s) : 916
Infecté(s) : 0

Résumé des cookies analysésAnalysé(s) : 517
Infecté(s) : 0

Problèmes non résolus :Nom de l'objet Nom de la menace Etat final
[System]=]C:\WINDOWS\system32\braviax.exe (memory dump) Generic.Malware.Yd!dld!!sp!.3D8117F6 Aucune action possible
[System]=]C:\WINDOWS\system32\braviax.exe (full dump) Generic.Malware.Yd!dld!!sp!.3D8117F6 Aucune action possible
C:\WINDOWS\system32\drivers\ntfs.sys Rootkit.Kobcka.Patched.A Echec de la désinfection
C:\WINDOWS\system32\dllcache\ntfs.sys Rootkit.Kobcka.Patched.A Echec de la désinfection

Problèmes résolusNom de l'objet Nom de la menace Etat final
C:\System Volume Information\_restore{0F563069-B249-4BA2-B95F-31CB7CB72A54}\RP227\A0046152.sys Gen:Rootkit.Heur.cuW@euflJti Effacé
C:\System Volume Information\_restore{0F563069-B249-4BA2-B95F-31CB7CB72A54}\RP227\A0046161.sys Gen:Rootkit.Heur.cuW@euflJti Effacé
C:\Documents and Settings\mss\Local Settings\Temporary Internet Files\Content.IE5\JG5CY9BB\Install[1].exe Gen:Trojan.Heur.lq1@vnoF72pix Effacé
[System]=]C:\WINDOWS\System32\svchost.exe (memory dump) Trojan.Downloader.Cutwail.J Effacé
[System]=]C:\WINDOWS\System32\svchost.exe (memory dump) Trojan.Downloader.Cutwail.J Effacé

Objets non scannés :Nom de l'objet Raison Etat final
----------------------------------------------------------------------

Puis j'ai supprimé le fichier Braviax.exe, arrêté mon PC (qui en a profité pour mettre 10 maj windows).

A la relance du PC, j'ai relancé l'analyse par Bit Defender.
La voici :
----------------------------------------------------------------------
Fichier journal de BitDefender
Produit : BitDefender Internet Security 2008
Version : BitDefender UIScanner V.11
Date du journal : 16:37:50 17/08/2009
Chemin du journal : C:\Documents and Settings\All Users\Application Data\BitDefender\Desktop\Profiles\Logs\full_scan\1250519870_1_02.xml

Analyse des chemins :Chemin0000: C:\

Options d’analyse :Analyse contre les virus : Oui
Détecter les adwares : Oui
Analyse contre les spywares : Oui
Analyse des applications : Oui
Détecter les numéroteurs : Oui
Analyse contre les Rootkits : Oui

Options de sélection de cible :Analyse les clés du registre : Oui
Analyse des cookies : Oui
Analyser le secteur de boot : Oui
Analyse des processus mémoire : Oui
Analyser les archives : Non
Analyser les fichiers enpaquetés : Oui
Analyser les emails : Oui
Analyser tous les fichiers : Oui
Analyse heuristique : Oui
Extensions analysées :
Extensions exclues :

Traitement cibleAction par défaut pour les objets infectés : Désinfecter
Action par défaut pour les objets suspects : Aucun
Action par défaut pour les objets camouflés : Aucun

Résumé de l'analyseNombre de signatures de virus : 3908061
Plugins archives : 45
Plug-ins messagerie : 6
Plugins d'analyse : 13
Plugins archives : 45
Plug-ins système : 5
Plug-ins décompression : 7

Résumé de l'analyse généraleEléments analysés : 62987
Eléments infectés : 5
Eléments suspects : 2
Eléments résolus : 3
Virus individuels trouvés : 3
Répertoires analysés : 3618
Secteur de boot analysés : 2
Archives analysés : 85
Erreurs I/O : 2
Temps d'analyse : 00:00:17:04
Fichiers par seconde : 60

Résumé des processus analysésAnalysé(s) : 45
Infecté(s) : 1

Résumé des clés de registre analyséesAnalysé(s) : 914
Infecté(s) : 0

Résumé des cookies analysésAnalysé(s) : 517
Infecté(s) : 0

Problèmes non résolus :Nom de l'objet Nom de la menace Etat final
[System]=]C:\WINDOWS\system32\svchost.exe (full dump) DeepScan:Generic.PWStealer.0B993D89 Echec de la désinfection
[System]=]C:\WINDOWS\system32\svchost.exe (memory dump) Generic.PWStealer.0E96BF1A Echec de la désinfection
C:\WINDOWS\system32\drivers\ntfs.sys Rootkit.Kobcka.Patched.A Echec de la désinfection
C:\WINDOWS\system32\dllcache\ntfs.sys Rootkit.Kobcka.Patched.A Echec de la désinfection

Problèmes résolusNom de l'objet Nom de la menace Etat final
C:\WINDOWS\Temp\wpv861249896312.exe Trojan.Downloader.Kobcka.H Effacé
C:\System Volume Information\_restore{0F563069-B249-4BA2-B95F-31CB7CB72A54}\RP228\A0046405.exe Trojan.Downloader.Kobcka.H Effacé
C:\System Volume Information\_restore{0F563069-B249-4BA2-B95F-31CB7CB72A54}\RP228\A0046406.exe Trojan.Downloader.Kobcka.H Effacé

Objets non scannés :Nom de l'objet Raison Etat final
--------------------------------------------------------------------

Je suis donc maintenant avec les fichiers "ntfs.sys" (2 fois) et "svchost.exe" infectés.
BitDefender n'arrive pas à les nettoyer et la suppression de ces fichiers ne va pas aider le systeme.

Puis je simplement écraser ces fichiers avec des fichiers d'un autre PC non infecté ?
Quels sont les risques en cas de versions différentes ?

J'ai téléchargé combofix, mais je ne l'ai pas encore passé, l'analyse de son log étant une affaire de professionel.
Dois je le lancer ? (j'ai bien lu et imprimé les indications de précaution et d'usage)

Merci de votre aide.
Cordialement
André
A voir également:

50 réponses

Précédent
Réponse 21 / 50
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
23 août 2009 à 15:36
Re

Bien joué. On a bien avancé.

* Télécharge OTM de Old_Timer http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
sur ton Bureau.
* Double clique sur OTM.exe afin de lancer l'outil.
* Copie la liste qui se trouve en gras ci-dessous :

:processes
explorer.exe
:files
C:\documents and settings\mss\Menu Démarrer\Programmes\PC_Antispyware2010\Uninstall.lnk
C:\Documents and Settings\mss\Menu Démarrer\Programmes\ikowin32.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ikowin32.exe
:commands
[emptytemp]
[reboot]

* et colle-la dans le cadre de gauche de OTM : "Paste instructions for item to be moved".
* Clique sur le bouton MoveIt!
* Attends la fin du travail de l'outil puis ferme OTM.

Note: Un redémarrage est parfois nécessaire. S'il est demandé, clique sur Oui/Yes.
--> Poste en réponse :
* Le rapport de OTM (contenu du fichier Lecteur\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) [Lecteur représente la partition depuis laquelle OTM a été lancé, généralement C:]

Comment se comporte le PC ? Y a t il un mieux notable ?

@ suivre.
0
Réponse 22 / 50
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
23 août 2009 à 16:49
Re.

Un net mieux dirais je ! :-)

Le système a arrêté de me dire toutes les 10 secondes que l'ordinateur était infecté.

Par contre, lorsque je demande à BitDefender de faire l'analyse de mon système, il trouve encore ceci :

Problèmes non résolus :Nom de l'objet Nom de la menace Etat final
[System]=]C:\WINDOWS\system32\svchost.exe (full dump) DeepScan:Generic.PWStealer.A299937F Echec de la désinfection
[System]=]C:\WINDOWS\system32\svchost.exe (memory dump) Generic.PWStealer.0E96BF1A Echec de la désinfection


Impossible à désinfecter, et évidemment, impossible de supprimer le programme svchost.exe

As tu une explication ou une solution ?
Cordialement.
0
Réponse 23 / 50
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
23 août 2009 à 17:00
Re Andre V

OK, cool s'il y a deja un mieux notable, il reste encore à faire néanmoins, on verra par la suite pour regler le soucis avec les détections de ton antivirus.

1) OTM de Old_Timer

* Double clique sur OTM.exe afin de lancer l'outil.
* Copie la liste qui se trouve en gras ci-dessous :

:processes
explorer.exe
:files
C:\documents and settings\All Users\Application Data\10290934
C:\002f6d626712d8c2ec
C:\daae2dc6c0c9754a975168
C:\ec1ad8072e7dcb41b99bf0b8af
C:\2f00ce9ab66f577ea8d376233a2aaee1
C:\3e5e8b19d586c739c822f9503cdcdf
C:\3821970fc0ba6a0238
:commands
[emptytemp]
[reboot]

* et colle-la dans le cadre de gauche de OTM : "Paste instructions for item to be moved".
* Clique sur le bouton MoveIt!
* Attends la fin du travail de l'outil puis ferme OTM.

Note: Un redémarrage sera nécessaire, clique sur Oui/Yes.

2) Random's System Information Tool (RSIT) par random/random

Télécharge Random's System Information Tool (RSIT) par random/random

http://images.malwareremoval.com/random/RSIT.exe

et sauvegarde-le sur ton Bureau.

* Double-clique sur RSIT.exe afin de lancer RSIT.
* Clique sur Continue à l'écran Disclaimer.
* Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

3) Rapports

--> Poste en réponse :

* Le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches) en réponse.
Note : Les deux rapports sont également sauvegardés %systemroot%\rsit

* Le rapport de OTM (contenu du fichier Lecteur\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) [Lecteur représente la partition depuis laquelle OTM a été lancé, généralement C:]

@ suivre.
0
Réponse 24 / 50
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
23 août 2009 à 19:00
Bien, Voici les rapports. Bonne lecture ;-)

LOG.TXT

Logfile of random's system information tool 1.06 (written by random/random)
Run by mss at 2009-08-23 18:49:46
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 222 GB (93%) free of 238 GB
Total RAM: 1023 MB (49% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:02, on 23/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\system32\\spoolsv.exe
C:\\WINDOWS\\Explorer.EXE
C:\\Program Files\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe
C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe
C:\\Program Files\\Acer\\Acer eMode Management\\AspireService.exe
C:\\Program Files\\Acer\\Acer eConsole\\MediaSync.exe
C:\\WINDOWS\\system32\\RUNDLL32.EXE
C:\\Program Files\\BitDefender\\BitDefender 2008\\bdagent.exe
C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE
C:\\Program Files\\acer\\Acer eConsole\\MediaServerService.exe
C:\\Program Files\\Java\\jre6\\bin\\jusched.exe
C:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe
C:\\Program Files\\Java\\jre6\\bin\\jqs.exe
C:\\Program Files\\Fichiers communs\\Microsoft Shared\\VS7Debug\\mdm.exe
C:\\WINDOWS\\system32\\nvsvc32.exe
C:\\Program Files\\Microsoft\\Search Enhancement Pack\\SeaPort\\SeaPort.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\Program Files\\Fichiers communs\\BitDefender\\BitDefender Communicator\\xcommsvr.exe
C:\\Program Files\\Fichiers communs\\BitDefender\\BitDefender Update Service\\livesrv.exe
C:\\Program Files\\BitDefender\\BitDefender 2008\\vsserv.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE
C:\\WINDOWS\\system32\\ctfmon.exe
C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE
C:\\Program Files\\Windows Live\\Toolbar\\wltuser.exe
C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE
C:\\Documents and Settings\\mss\\Bureau\\RSIT.exe
C:\\Program Files\\trend micro\\mss.exe

R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\\Software\\Microsoft\\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = Liens
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\\Program Files\\EPSON\\EPSON Web-To-Page\\EPSON Web-To-Page.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\\Program Files\\BitDefender\\BitDefender 2008\\IEToolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\\Program Files\\EPSON\\EPSON Web-To-Page\\EPSON Web-To-Page.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\\Program Files\\Windows Live\\Toolbar\\wltcore.dll
O4 - HKLM\\..\\Run: [LaunchApp] Alaunch
O4 - HKLM\\..\\Run: [NVMixerTray] "C:\\Program Files\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe"
O4 - HKLM\\..\\Run: [ntiMUI] C:\\Program Files\\NewTech Infosystems\\NTI CD & DVD-Maker 7\\ntiMUI.exe
O4 - HKLM\\..\\Run: [RemoteControl] "C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe"
O4 - HKLM\\..\\Run: [IMJPMIG8.1] "C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\\..\\Run: [MSPY2002] C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC
O4 - HKLM\\..\\Run: [PHIME2002ASync] C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC
O4 - HKLM\\..\\Run: [PHIME2002A] C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName
O4 - HKLM\\..\\Run: [AspireService] C:\\Program Files\\Acer\\Acer eMode Management\\AspireService.exe
O4 - HKLM\\..\\Run: [MediaSync] C:\\Program Files\\Acer\\Acer eConsole\\MediaSync.exe
O4 - HKLM\\..\\Run: [NvCplDaemon] RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup
O4 - HKLM\\..\\Run: [nwiz] nwiz.exe /install
O4 - HKLM\\..\\Run: [NvMediaCenter] RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\\..\\Run: [BitDefender Antiphishing Helper] "C:\\Program Files\\BitDefender\\BitDefender 2008\\IEShow.exe"
O4 - HKLM\\..\\Run: [BDAgent] "C:\\Program Files\\BitDefender\\BitDefender 2008\\bdagent.exe"
O4 - HKLM\\..\\Run: [EPSON Stylus DX3800 Series] C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\\..\\Run: [SunJavaUpdateSched] "C:\\Program Files\\Java\\jre6\\bin\\jusched.exe"
O4 - HKCU\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\ctfmon.exe
O4 - HKUS\\.DEFAULT\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User 'Default user')
O4 - .DEFAULT Startup: ikowin32.exe (User 'Default user')
O4 - Startup: ikowin32.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\\Program Files\\Microsoft Office\\Office10\\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\\PROGRA~1\\MICROS~2\\Office10\\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\\Program Files\\Windows Live\\Writer\\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\\Program Files\\Windows Live\\Writer\\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe
O23 - Service: Acer Media Server - Acer Inc. - C:\\Program Files\\acer\\Acer eConsole\\MediaServerService.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\\WINDOWS\\
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\\Program Files\\Java\\jre6\\bin\\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\\Program Files\\Fichiers communs\\BitDefender\\BitDefender Update Service\\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\\WINDOWS\\system32\\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\\Program Files\\BitDefender\\BitDefender 2008\\vsserv.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\\WINDOWS\\
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\\Program Files\\Fichiers communs\\BitDefender\\BitDefender Communicator\\xcommsvr.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 50
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
23 août 2009 à 19:13
Re

Je regarde tes rapports, mais tout d'abord, j'ai besoin de vérifier quelque chose :

Rends toi sur VIRUS TOTAL https://www.virustotal.com/gui/

* Clique sur "parcourir" : C:\WINDOWS\system32\ bra.bak

* Recherche le fichier à analyser, puis clique ensuite sur " Envoyer le fichier".

Si VirusTotal dit que le fichier a déjà été analysé, clique sur Reanalyse le fichier maintenant.

Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "Terminé"sur la droite.

Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.

Puis poste le rapport en réponse stp.

Re-cache les fichiers et dossiers cachés par la suite pour éviter de faire des bêtises ;)

@ suivre.
0
Réponse 26 / 50
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
23 août 2009 à 19:22
Voici les résultats de VIRUSTOTAL (BITDEFENDER semble ne rien trouver comme virus) :

Fichier bra.bak reçu le 2009.08.23 17:29:46 (UTC)
Situation actuelle: Terminée
Résultat: 18/41 (43.91%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.23 Trojan-Downloader.Win32.Renos!IK
AhnLab-V3 5.0.0.2 2009.08.23 Win-Trojan/Xema.11264.O
AntiVir 7.9.1.3 2009.08.21 -
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.22 -
Avast 4.8.1335.0 2009.08.23 -
AVG 8.5.0.406 2009.08.23 Generic14.AAAY
BitDefender 7.2 2009.08.23 -
CAT-QuickHeal 10.00 2009.08.22 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.08.23 -
Comodo 2071 2009.08.23 -
DrWeb 5.0.0.12182 2009.08.23 Trojan.Fakealert.4863
eSafe 7.0.17.0 2009.08.23 Suspicious File
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.22 -
F-Secure 8.0.14470.0 2009.08.23 Trojan-Downloader:W32/Renos.GIW
Fortinet 3.120.0.0 2009.08.23 PossibleThreat
GData 19 2009.08.23 -
Ikarus T3.1.1.68.0 2009.08.23 Trojan-Downloader.Win32.Renos
Jiangmin 11.0.800 2009.08.23 -
K7AntiVirus 7.10.825 2009.08.22 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.08.23 -
McAfee 5718 2009.08.23 Generic Downloader.x!yv
McAfee+Artemis 5718 2009.08.23 Generic Downloader.x!yv
McAfee-GW-Edition 6.8.5 2009.08.23 -
Microsoft 1.4903 2009.08.23 TrojanDownloader:Win32/Renos
NOD32 4361 2009.08.23 a variant of Win32/Kryptik.AFP
Norman 6.01.09 2009.08.21 -
nProtect 2009.1.8.0 2009.08.23 -
Panda 10.0.0.14 2009.08.23 Suspicious file
PCTools 4.4.2.0 2009.08.23 -
Prevx 3.0 2009.08.23 High Risk Fraudulent Security Program
Rising 21.43.50.00 2009.08.22 -
Sophos 4.44.0 2009.08.23 Troj/Dloadr-CSP
Sunbelt 3.2.1858.2 2009.08.22 -
Symantec 1.4.4.12 2009.08.23 Trojan.Virantix.C
TheHacker 6.3.4.3.386 2009.08.22 -
TrendMicro 8.950.0.1094 2009.08.22 -
VBA32 3.12.10.9 2009.08.23 -
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.23 -

Information additionnelle
File size: 11264 bytes
MD5...: 6f32a13919a503102f64e261eda6b10d
SHA1..: a3badd29687225aaf12b8a283a51e68da89fa8c5
SHA256: b76a3c84f63564e41d26f28935ac9ef598426c3b11299bedee2c75049d8a5f9f
ssdeep: 192:JyeZmCPmKdbOOwKtXi7uunF118zSvyaO5pi+74O:JD8COcO0tCuy1JO5pi23

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x124c
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8a4 0xc00 5.97 351c522b59bf4bb453b974f295986d2c
.rdata 0x2000 0x4b0 0x800 3.00 e2fb442368812ae46a0b9c4e6a333143
.data 0x3000 0x793d 0x1400 7.78 4eddfe1fc1676bbdad000fd534ac6f9c

( 6 imports )
> USER32.DLL: DestroyMenu, SetScrollInfo, GetKeyState, SendMessageA
> KERNEL32.DLL: GetEnvironmentStringsW, UnhandledExceptionFilter, GetCurrentProcessId, GetModuleHandleA, GetModuleFileNameW, GetVersion, LCMapStringW, HeapReAlloc, GetModuleHandleW, LocalReAlloc, SetConsoleCP, GetStartupInfoA, HeapAlloc, GetACP, VirtualProtect, ExitProcess, InterlockedDecrement, GetTickCount, Sleep, InterlockedIncrement, GetProcAddress, GetProcessHeap, lstrcmpiA, GetFileAttributesW, GetOEMCP, SetStdHandle
> MSVCRT.DLL: malloc, _adjust_fdiv, _purecall, _initterm
> OLE32.DLL: CreateStreamOnHGlobal
> ADVAPI32.DLL: RegEnumKeyExA, RegOpenKeyExW
> GDI32.DLL: SetBkColor

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=6f32a13919a503102f64e261eda6b10d' target='_blank'>https://www.symantec.com?md5=6f32a13919a503102f64e261eda6b10d</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=03A5990600D1368D2CB200C409DF0500A373B8C3' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=03A5990600D1368D2CB200C409DF0500A373B8C3</a>
0
Réponse 27 / 50
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
23 août 2009 à 19:29
Re

* Double clique sur OTM.exe afin de lancer l'outil.
* Copie la liste qui se trouve en gras ci-dessous :

:processes
explorer.exe
:services
wuauserv
soqwx32
:files
C:\WINDOWS\system32\bra.bak
C:\WINDOWS\system32\drivers\soqwx32.sys
C:\Documents and Settings\mss\Menu Démarrer\Programmes\Démarrage\PC_Antispyware2010
C:\Documents and Settings\mss\Menu Démarrer\Programmes\Démarrage\ikowin32.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ikowin32.exe
:commands
[emptytemp]
[reboot]

* et colle-la dans le cadre de gauche de OTM : "Paste instructions for item to be moved".
* Clique sur le bouton MoveIt!
* Attends la fin du travail de l'outil puis ferme OTM.

Un redémarrage sera nécessaire. Clique sur Oui/Yes.

Poste en réponse :

* Le rapport de OTM (contenu du fichier Lecteur\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) [Lecteur représente la partition depuis laquelle OTM a été lancé, généralement C:]

* Un nouveau rapport RSIT.

@ suivre.
0
Réponse 28 / 50
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
23 août 2009 à 19:37
Rapport OTM :

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========

Service\\Driver wuauserv deleted successfully.

Service\\Driver soqwx32 deleted successfully.
========== FILES ==========
C:\\WINDOWS\\system32\\bra.bak moved successfully.
File/Folder C:\\WINDOWS\\system32\\drivers\\soqwx32.sys not found.
File/Folder C:\\Documents and Settings\\mss\\Menu Démarrer\\Programmes\\Démarrage\\PC_Antispyware2010 not found.
C:\\Documents and Settings\\mss\\Menu Démarrer\\Programmes\\Démarrage\\ikowin32.exe moved successfully.
File/Folder C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\ikowin32.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\\Documents and Settings\\LocalService\\Local Settings\\Temporary Internet Files\\Content.IE5\\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: mss
->Temp folder emptied: 641 bytes
->Temporary Internet Files folder emptied: 1187215 bytes
->Java cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 498710 bytes
RecycleBin emptied: 32761 bytes

Total Files Cleaned = 1,67 mb


OTM by OldTimer - Version 3.0.0.6 log created on 08232009_193422
0
Réponse 29 / 50
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
23 août 2009 à 19:40
Rapport RSIT :

Logfile of random's system information tool 1.06 (written by random/random)
Run by mss at 2009-08-23 19:37:54
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 222 GB (93%) free of 238 GB
Total RAM: 1023 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:57, on 23/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\Explorer.EXE
C:\\WINDOWS\\system32\\spoolsv.exe
C:\\Program Files\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe
C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe
C:\\Program Files\\Acer\\Acer eMode Management\\AspireService.exe
C:\\Program Files\\Acer\\Acer eConsole\\MediaSync.exe
C:\\WINDOWS\\system32\\RUNDLL32.EXE
C:\\Program Files\\BitDefender\\BitDefender 2008\\bdagent.exe
C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE
C:\\Program Files\\Java\\jre6\\bin\\jusched.exe
C:\\WINDOWS\\system32\\ctfmon.exe
C:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe
C:\\Program Files\\acer\\Acer eConsole\\MediaServerService.exe
C:\\Program Files\\Java\\jre6\\bin\\jqs.exe
C:\\Program Files\\Fichiers communs\\Microsoft Shared\\VS7Debug\\mdm.exe
C:\\WINDOWS\\system32\\nvsvc32.exe
C:\\Program Files\\Microsoft\\Search Enhancement Pack\\SeaPort\\SeaPort.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\Program Files\\Fichiers communs\\BitDefender\\BitDefender Communicator\\xcommsvr.exe
C:\\Program Files\\Fichiers communs\\BitDefender\\BitDefender Update Service\\livesrv.exe
C:\\Program Files\\BitDefender\\BitDefender 2008\\vsserv.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE
C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE
C:\\Program Files\\Windows Live\\Toolbar\\wltuser.exe
C:\\WINDOWS\\system32\\NOTEPAD.EXE
C:\\Documents and Settings\\mss\\Bureau\\RSIT.exe
C:\\Program Files\\trend micro\\mss.exe

R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\\Software\\Microsoft\\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = Liens
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\\Program Files\\EPSON\\EPSON Web-To-Page\\EPSON Web-To-Page.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\\Program Files\\BitDefender\\BitDefender 2008\\IEToolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\\Program Files\\EPSON\\EPSON Web-To-Page\\EPSON Web-To-Page.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\\Program Files\\Windows Live\\Toolbar\\wltcore.dll
O4 - HKLM\\..\\Run: [LaunchApp] Alaunch
O4 - HKLM\\..\\Run: [NVMixerTray] "C:\\Program Files\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe"
O4 - HKLM\\..\\Run: [ntiMUI] C:\\Program Files\\NewTech Infosystems\\NTI CD & DVD-Maker 7\\ntiMUI.exe
O4 - HKLM\\..\\Run: [RemoteControl] "C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe"
O4 - HKLM\\..\\Run: [IMJPMIG8.1] "C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\\..\\Run: [MSPY2002] C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC
O4 - HKLM\\..\\Run: [PHIME2002ASync] C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC
O4 - HKLM\\..\\Run: [PHIME2002A] C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName
O4 - HKLM\\..\\Run: [AspireService] C:\\Program Files\\Acer\\Acer eMode Management\\AspireService.exe
O4 - HKLM\\..\\Run: [MediaSync] C:\\Program Files\\Acer\\Acer eConsole\\MediaSync.exe
O4 - HKLM\\..\\Run: [NvCplDaemon] RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup
O4 - HKLM\\..\\Run: [nwiz] nwiz.exe /install
O4 - HKLM\\..\\Run: [NvMediaCenter] RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\\..\\Run: [BitDefender Antiphishing Helper] "C:\\Program Files\\BitDefender\\BitDefender 2008\\IEShow.exe"
O4 - HKLM\\..\\Run: [BDAgent] "C:\\Program Files\\BitDefender\\BitDefender 2008\\bdagent.exe"
O4 - HKLM\\..\\Run: [EPSON Stylus DX3800 Series] C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\\..\\Run: [SunJavaUpdateSched] "C:\\Program Files\\Java\\jre6\\bin\\jusched.exe"
O4 - HKCU\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\ctfmon.exe
O4 - HKUS\\.DEFAULT\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\\Program Files\\Microsoft Office\\Office10\\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\\PROGRA~1\\MICROS~2\\Office10\\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\\Program Files\\Windows Live\\Writer\\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\\Program Files\\Windows Live\\Writer\\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe
O23 - Service: Acer Media Server - Acer Inc. - C:\\Program Files\\acer\\Acer eConsole\\MediaServerService.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\\WINDOWS\\
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\\Program Files\\Java\\jre6\\bin\\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\\Program Files\\Fichiers communs\\BitDefender\\BitDefender Update Service\\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\\WINDOWS\\system32\\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\\Program Files\\BitDefender\\BitDefender 2008\\vsserv.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\\WINDOWS\\
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\\Program Files\\Fichiers communs\\BitDefender\\BitDefender Communicator\\xcommsvr.exe
0
Réponse 30 / 50
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
23 août 2009 à 19:47
RSIT n'a pas généré de fichier : info.txt.

Celui présent dans C:\RSIT date du traitement précédent.
0
Réponse 31 / 50
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
23 août 2009 à 20:27
Re

Une petite vérification s'impose :

Rends toi sur VIRUS TOTAL https://www.virustotal.com/gui/

* Clique sur "parcourir" : C:\WINDOWS\PEV.exe

* Recherche le fichier à analyser, puis clique ensuite sur " Envoyer le fichier".

Si VirusTotal dit que le fichier a déjà été analysé, clique sur Reanalyse le fichier maintenant.

Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "Terminé"sur la droite.


Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.

Puis poste le rapport en réponse stp.

Re-cache les fichiers et dossiers cachés par la suite pour éviter de faire des bêtises ;)

@ suivre.
0
Réponse 32 / 50
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
23 août 2009 à 20:46
Résultats de VirusTotal :

Fichier PEV.exe reçu le 2009.08.23 18:48:13 (UTC)
Situation actuelle: terminé

Résultat: 4/39 (10.26%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.23 -
AntiVir 7.9.1.3 2009.08.21 -
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.22 -
Avast 4.8.1335.0 2009.08.23 -
AVG 8.5.0.406 2009.08.23 -
BitDefender 7.2 2009.08.23 -
CAT-QuickHeal 10.00 2009.08.22 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.08.23 -
Comodo 2072 2009.08.23 -
DrWeb 5.0.0.12182 2009.08.23 -
eSafe 7.0.17.0 2009.08.23 Suspicious File
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.23 -
F-Secure 8.0.14470.0 2009.08.23 -
Fortinet 3.120.0.0 2009.08.23 PossibleThreat
GData 19 2009.08.23 -
Ikarus T3.1.1.68.0 2009.08.23 -
Jiangmin 11.0.800 2009.08.23 -
K7AntiVirus 7.10.825 2009.08.22 -
Kaspersky 7.0.0.125 2009.08.23 -
McAfee 5718 2009.08.23 -
McAfee+Artemis 5718 2009.08.23 -
McAfee-GW-Edition 6.8.5 2009.08.23 Heuristic.BehavesLike.Win32.Packed.C
Microsoft 1.4903 2009.08.23 -
NOD32 4361 2009.08.23 -
Norman 6.01.09 2009.08.21 -
nProtect 2009.1.8.0 2009.08.23 -
Panda 10.0.0.14 2009.08.23 -
PCTools 4.4.2.0 2009.08.23 -
Prevx 3.0 2009.08.23 -
Rising 21.43.50.00 2009.08.22 -
Sophos 4.44.0 2009.08.23 -
Sunbelt 3.2.1858.2 2009.08.22 -
Symantec 1.4.4.12 2009.08.23 -
TheHacker 6.3.4.3.386 2009.08.22 -
TrendMicro 8.950.0.1094 2009.08.22 -
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.23 -
Information additionnelle
File size: 228864 bytes
MD5...: 1b2333e46788cfcde1b0fc0f8a4cff45
SHA1..: 370210d0cd4d1672215568cba24ca0f9800b8161
SHA256: 99dd70d17e470b0f7996c5c4f14c79ec754f021bcc241428125d944b7aaf8e7c
ssdeep: 6144:iJ7pjRC2YqUTBt1gSMQFpW3kQrTwoSyTu9OA2HY:+dYqit1ikQNSKu9X

PEiD..: PECompact 2.xx --> BitSum Technologies
TrID..: File type identification
Win32 EXE PECompact compressed (v2.x) (48.9%)
Win32 EXE PECompact compressed (generic) (34.4%)
Win32 Executable Generic (7.0%)
Win32 Dynamic Link Library (generic) (6.2%)
Generic Win/DOS Executable (1.6%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4a8d57ff (Thu Aug 20 14:04:47 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb9000 0x36600 8.00 55d33f97139acef82c231fddb9803b54
.rsrc 0xba000 0x2000 0x1200 7.26 cb55e6786dd0a6127bf67931ca016b68
.reloc 0xbc000 0x200 0x200 0.22 521bf01198f0169969ac5c45a464de72

( 1 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
packers (F-Prot): PecBundle, PECompact


Est ce grave docteur ?
0
Réponse 33 / 50
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
23 août 2009 à 20:47
.
0
Réponse 34 / 50
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
23 août 2009 à 20:52
Re

OK, merci.

Tout d'abord :

Menu Démarrer / Exécuter copie/colle ComboFix /u puis valide par OK et laisse travailler, cela a pour but de désinstaller et supprimer ComboFix.

Puis :

1) Télécharge et installe

-- CCleaner
https://www.ccleaner.com/ccleaner/download
Choisis de préférence la version SLIM-No Toolbar.
Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.
Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Pour les autres paramètres, laisse-le avec ses réglages par défaut.

-- Malwarebyte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tuto: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK.
S'il ne s'est pas lancé tout seul, double-clique sur l'icône de Malwarebyte's Anti-Malware sur ton Bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK
Laisse les Mises à jour se télécharger.

2) Scan avec Malwarebyte's Anti-Malware
(Relance Malwarebyte’s Anti-Malware si celui-ci s’est refermé )
Onglet "Recherche" >>> coche Exécuter un examen rapide puis clique sur Lancer l’examen .
A la fin du scan >>> clique sur Afficher les résultats
Suppression des éléments détectés >>>> clique sur Supprimer la sélection ou supprimer tout
S'il t'es demandé de redémarrer >>> clique sur "Yes"
--> Un rapport de scan s'ouvre, enregistre sur ton Bureau.
Puis ferme Malwarebyte's Anti-Malware

3) Suppression de fichiers inutiles avec CCleaner

Lance CCleaner en double-cliquant sur son raccourci sur ton Bureau.
Puis dans le menu Nettoyeur
Clique sur Analyse (laisse travailler cela peut durer longtemps la 1ere fois)
Clique sur le bouton Lancer le nettoyage.
Clique une seconde fois sur le bouton Lancer le nettoyage puis ferme CCleaner.

4) Rapports

Poste en réponse le rapport de Malwarebyte's Anti-Malware</gras> que tu as sauvegardé sur ton Bureau.

@ suivre.
0
Réponse 35 / 50
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
23 août 2009 à 21:28
Voici le rapport de Malwarebytes

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2684
Windows 5.1.2600 Service Pack 3

23/08/2009 21:19:16
mbam-log-2009-08-23 (21-19-16).txt

Type de recherche: Examen rapide
Eléments examinés: 89762
Temps écoulé: 3 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\mss\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 36 / 50
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
23 août 2009 à 21:46
Re

Bien joué.

-- Pour Malwarebytes' Anti-Malware
C'est un bon scan anti malware que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .
Tuto Malwarebyte's Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
Vide sa quarantaine :
Clique sur le raccourci de Malwarebytes' Anti-Malware , puis sur Quarantaine, clique sur "Tout supprimer"

-- Pour CCleaner ----> Garde le et utilise le fonction "Nettoyeur" sans modération , re-coche seulement dans avancés "Ne pas effacer fichiers...48h"
un petit complément d’info sur celui-ci :
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
(Attention toutefois à l'utilisation de la fonction Erreur , sauvegarder les changements faits dans le Registre par sécurité.)

-- Lance OTM puis clique sur CleanUp
(ceci supprime toutes les traces des logiciels que nous avons utilisé qui traitent des infections spécifiques et qui sont mis à jour régulièrement, ainsi que OTMoveIt lui même)

Puis dans le popup "Cleanup list download successful. Begin cleanup process ?, accepte par Yes.

Un redémarrage du PC sera nécessaire. Vérifie que C:\_OTMoveIt soit bien supprimé, sinon, fait le puis vide ta poubelle.

PUIS , dernière verification avec un scan en ligne Kaspersky :

Tuto d’aide : https://forum.pcastuces.com/default.asp

Rends toi sur https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr avec Internet explorer et

Clique sur Accept
Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
Clique une nouvelle fois sur "Accept"
Les bases de mises à jour vont s'installer, patiente un moment
Clique sur Next.
Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis Bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle le fichier texte ouvert en intégralité, en faisant un clic droit dessus, sélectionner tout/copier.

Colle ce rapport dans ta réponse dans ta réponse.

@ suivre car il restera des conseils de sécurité à appliquer.
0
Réponse 37 / 50
Andre-V Messages postés 22 Date d'inscription lundi 17 août 2009 Statut Membre Dernière intervention 25 septembre 2009 2
23 août 2009 à 22:16
Re

Le lien vers le tutoriel ne marche pas https://forum.pcastuces.com/default.asp

Est ce que l'installation, même temporaire de kaspersky, ne va pas poser un problème avec BitDefender ?

A+
André
0
Réponse 38 / 50
clem73 Messages postés 4461 Date d'inscription jeudi 3 janvier 2008 Statut Modérateur Dernière intervention 31 décembre 2016 188
23 août 2009 à 22:56
Salut à vous deux ;)

Comme je passais par là, voici pour toi Andre-V ==> https://forum.pcastuces.com/kaspersky_online_scanner___tutoriel-f31s26.htm

Pendant l'installation de kaspersky et durant le scann, tu dois penser à désactiver ton antivirus (BitDefender) pour qu'il n'y ai pas de souci.

Pour la suite c'est avec Le Sioux qu'il faut voir... moi Virus/Sécurité c'est pas trop mon domaine on va dire, alors je laisse ça aux "Pros".

Ciao !

A pluche l'Indien ;)
0
Réponse 39 / 50
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
23 août 2009 à 23:23
Bonsoir Clem

Merci pour ton passage.

Bisous.
0
Réponse 40 / 50
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
24 août 2009 à 12:10
Hello clem et Lyonnais

Configuration du PC: Windows XP Internet Explorer 8.0
Un autre tuto pour application IE:
https://forum.pcastuces.com/sujet.asp?f=25&s=37641 (par Morgane & nico_dodo)

Bonne semaine
Al.
0

Discussions similaires

Google Chrome "  Échec de l'analyse antivirus "
jmpower -
Coco71 -

15 réponses
BitDefender impossible à supprimer!
biscotte22 -
biscotte22 -

7 réponses
Anti-virus qui s'installe tout seul...
Lo_fadoli -
Beuq -

7 réponses