Trojan Spy.gen2 - Page 2

Résolu
Précédent
  • 1
  • 2
  1. kearny Messages postés 15 Statut Membre
     
    ESETSmartInstaller@High as CAB hook log:
    OnlineScanner.ocx - registred OK
    # version=7
    # iexplore.exe=6.00.2900.5512 (xpsp.080413-2105)
    # OnlineScanner.ocx=1.0.0.6211
    # api_version=3.0.2
    # EOSSerial=f0f39f5acd579d428af598019122b98b
    # end=finished
    # remove_checked=true
    # archives_checked=true
    # unwanted_checked=true
    # unsafe_checked=false
    # antistealth_checked=true
    # utc_time=2010-01-18 02:29:35
    # local_time=2010-01-18 03:29:35 (+0100, Paris, Madrid)
    # country="France"
    # lang=1033
    # osver=5.1.2600 NT Service Pack 3
    # compatibility_mode=512 16777215 100 0 89360 89360 0 0
    # compatibility_mode=8192 67108863 100 0 10400 10400 0 0
    # compatibility_mode=9217 16777214 0 4 99541049 99541049 0 0
    # scanned=75140
    # found=0
    # cleaned=0
    # scan_time=5052

    Sinon, j'ai reçu encore des alertes Antivir, moins fréquentes cela dit, sur le fichier irdimar.bak (Spy.gen2) dans le dossier c:\Qoobox. Peut être un dossier de quarantaine créé par Combofix ?
    0
  2. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut kearny

    Effectivement c'est la quarantaine de Combofix, supprime le dossier en gras et vide la corbeille :
    c:\Qoobox

    Mettre à jour Antivir, faire un scan en mode sans échec et poste le rapport après avoir démarré en mode normal.

    Aide : https://www.malekal.com/avira-free-security-antivirus-gratuit/

    @++ :)
    0
  3. kearny Messages postés 15 Statut Membre
     
    Le scan ne passait pas en mode sans échec, je l'ai fait en mode normal, et deux trojans ont été détectés et mis en quarantaine, voila le rapport :

    Avira AntiVir Personal
    Report file date: mardi 19 janvier 2010 01:00

    Scanning for 1566455 virus strains and unwanted programs.

    Licensed to: Avira AntiVir Personal - FREE Antivirus
    Serial number: 0000149996-ADJIE-0000001
    Platform: Windows XP
    Windows version: (Service Pack 3) [5.1.2600]
    Boot mode: Normally booted
    Username: SYSTEM
    Computer name: JEREMY

    Version information:
    BUILD.DAT : 8.2.0.354 17048 Bytes 23/10/2009 13:15:00
    AVSCAN.EXE : 8.1.4.10 315649 Bytes 26/11/2008 17:15:05
    AVSCAN.DLL : 8.1.4.0 40705 Bytes 17/07/2008 21:57:20
    LUKE.DLL : 8.1.4.5 164097 Bytes 17/07/2008 21:57:22
    LUKERES.DLL : 8.1.4.0 12033 Bytes 17/07/2008 21:57:22
    ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 23:45:56
    ANTIVIR1.VDF : 7.10.1.11 1395568 Bytes 19/11/2009 23:46:06
    ANTIVIR2.VDF : 7.10.2.224 2514336 Bytes 18/01/2010 23:44:02
    ANTIVIR3.VDF : 7.10.2.226 172544 Bytes 18/01/2010 23:44:03
    Engineversion : 8.2.1.142
    AEVDF.DLL : 8.1.1.2 106867 Bytes 15/09/2009 18:54:51
    AESCRIPT.DLL : 8.1.3.7 594296 Bytes 16/01/2010 23:46:41
    AESCN.DLL : 8.1.3.1 127348 Bytes 16/01/2010 23:46:39
    AESBX.DLL : 8.1.1.1 246132 Bytes 16/01/2010 23:46:38
    AERDL.DLL : 8.1.3.4 479605 Bytes 16/01/2010 23:46:37
    AEPACK.DLL : 8.2.0.5 422262 Bytes 16/01/2010 23:46:35
    AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17/06/2009 22:40:04
    AEHEUR.DLL : 8.1.0.195 2232695 Bytes 16/01/2010 23:46:33
    AEHELP.DLL : 8.1.10.0 237942 Bytes 16/01/2010 23:46:27
    AEGEN.DLL : 8.1.1.83 369014 Bytes 16/01/2010 23:46:26
    AEEMU.DLL : 8.1.1.0 393587 Bytes 03/10/2009 11:15:17
    AECORE.DLL : 8.1.9.5 184693 Bytes 16/01/2010 23:46:24
    AEBB.DLL : 8.1.0.3 53618 Bytes 18/10/2008 22:42:46
    AVWINLL.DLL : 1.0.0.12 15105 Bytes 17/07/2008 21:57:20
    AVPREF.DLL : 8.0.2.0 38657 Bytes 17/07/2008 21:57:20
    AVREP.DLL : 8.0.0.3 155688 Bytes 20/04/2009 18:54:43
    AVREG.DLL : 8.0.0.1 33537 Bytes 17/07/2008 21:57:20
    AVARKT.DLL : 1.0.0.23 307457 Bytes 15/04/2008 21:03:22
    AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17/07/2008 21:57:20
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 15/04/2008 21:03:23
    SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17/07/2008 21:57:22
    NETNT.DLL : 8.0.0.1 7937 Bytes 15/04/2008 21:03:22
    RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17/07/2008 21:57:14
    RCTEXT.DLL : 8.0.52.0 86273 Bytes 17/07/2008 21:57:14

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: off
    Scan boot sector.................: on
    Boot sectors.....................: C:, D:,
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: mardi 19 janvier 2010 01:00

    The scan of running processes will be started
    Scan process 'OneClickStarter.exe' - '0' Module(s) have been scanned
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
    Scan process 'alg.exe' - '1' Module(s) have been scanned
    Scan process 'wlcomm.exe' - '1' Module(s) have been scanned
    Scan process 'TuneUpUtilitiesApp32.exe' - '1' Module(s) have been scanned
    Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
    Scan process 'OCRAWR32.EXE' - '1' Module(s) have been scanned
    Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
    Scan process 'TuneUpUtilitiesService32.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'CSHelper.exe' - '1' Module(s) have been scanned
    Scan process 'sched.exe' - '1' Module(s) have been scanned
    Scan process 'ntvdm.exe' - '1' Module(s) have been scanned
    Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'avguard.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    29 processes with 29 modules were scanned

    Start scanning boot sectors:
    Boot sector 'C:\'
    [INFO] No virus was found!
    Boot sector 'D:\'
    [INFO] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '54' files ).

    Starting the file scan:

    Begin scan in 'C:\' <SYSTEME>
    C:\hiberfil.sys
    [WARNING] The file could not be opened!
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    C:\Documents and Settings\JEREMY\Menu Démarrer\Programmes\Internet Explorer.lnk
    [DETECTION] Is the TR/StartPage.KA.3 Trojan
    [NOTE] The file was moved to '4bc8f706.qua'!
    C:\System Volume Information\_restore{8C16EA5C-C499-4766-A24A-2E01D69CFE5F}\RP751\A0081262.lnk
    [DETECTION] Is the TR/StartPage.KA.3 Trojan
    [NOTE] The file was moved to '4b84fa3a.qua'!
    Begin scan in 'D:\' <DATA>

    End of the scan: mardi 19 janvier 2010 01:29
    Used time: 29:26 Minute(s)

    The scan has been done completely.

    5112 Scanning directories
    164943 Files were scanned
    2 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    2 files were moved to quarantine
    0 files were renamed
    2 Files cannot be scanned
    164939 Files not concerned
    1024 Archives were scanned
    2 Warnings
    2 Notes
    0
  4. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut kearny

    Cela est bon, ton système n'est pas à jour et est vulnérable au infections.
    https://forum.malekal.com/viewtopic.php?f=45&t=3259

    Désactive la restauration système sur tous les lecteurs :

    - Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

    - Coche la case désactiver la restauration et applique

    Redémarre l’ordinateur et réactive la restauration système.

    Tutoriel XP : http://www.libellules.ch/desactiver_restauration.php

    ----

    On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :

    http://pc-system.fr/

    - Double clique sur ToolsCleaner2.exe sur le bureau
    - Clique sur Recherche et laisse le scan agir.
    - Clique sur Suppression pour finaliser.
    - Tu peux, si tu le souhaites, te servir des Options facultatives.
    - Clique sur Quitter pour obtenir le rapport.
    - Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
    - Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.

    -----

    Important de mettre à jour Windows et tes logiciels :
    Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx

    Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
    https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

    Faire un ménage des fichiers inutiles et de la base de registre :
    https://www.malekal.com/tutoriel-ccleaner/

    Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.

    @++ :)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kearny
     
    [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

    --> Recherche:

    C:\Combofix.txt: trouvé !
    C:\hijackthis.log: trouvé !
    C:\SDFIX: trouvé !
    C:\_OTM: trouvé !
    C:\Rsit: trouvé !
    C:\Backups\catchme.log: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
    C:\Documents and Settings\JEREMY\Bureau\HijackThis.lnk: trouvé !
    C:\Documents and Settings\JEREMY\Bureau\DiagHelp.zip: trouvé !
    C:\Documents and Settings\JEREMY\Bureau\OTM.exe: trouvé !
    C:\Documents and Settings\JEREMY\Bureau\ComboFix.exe: trouvé !
    C:\Documents and Settings\JEREMY\Bureau\OAD.exe: trouvé !
    C:\Documents and Settings\JEREMY\Bureau\DiagHelp: trouvé !
    C:\Documents and Settings\JEREMY\Bureau\DiagHelp\catchme.exe: trouvé !
    C:\Documents and Settings\JEREMY\Bureau\DiagHelp\mbr.exe: trouvé !
    C:\Documents and Settings\JEREMY\Mes documents\hijackthis.log: trouvé !
    C:\Downloaded Files\HijackThis.exe: trouvé !
    C:\Program Files\Trend Micro\HijackThis: trouvé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
    C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
    C:\SDFix\catchme.exe: trouvé !
    C:\WINDOWS\mbr.exe: trouvé !

    ---------------------------------
    --> Suppression:

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
    C:\Documents and Settings\JEREMY\Bureau\HijackThis.lnk: supprimé !
    C:\Documents and Settings\JEREMY\Bureau\DiagHelp.zip: supprimé !
    C:\Documents and Settings\JEREMY\Bureau\OTM.exe: supprimé !
    C:\Documents and Settings\JEREMY\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
    C:\Documents and Settings\JEREMY\Bureau\DiagHelp\catchme.exe: supprimé !
    C:\Downloaded Files\HijackThis.exe: supprimé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
    C:\SDFix\catchme.exe: supprimé !
    C:\Combofix.txt: supprimé !
    C:\hijackthis.log: supprimé !
    C:\Backups\catchme.log: supprimé !
    C:\Documents and Settings\JEREMY\Bureau\OAD.exe: supprimé !
    C:\Documents and Settings\JEREMY\Bureau\DiagHelp\mbr.exe: supprimé !
    C:\Documents and Settings\JEREMY\Mes documents\hijackthis.log: supprimé !
    C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
    C:\WINDOWS\mbr.exe: supprimé !
    C:\SDFIX: supprimé !
    C:\_OTM: supprimé !
    C:\Rsit: supprimé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
    C:\Documents and Settings\JEREMY\Bureau\DiagHelp: supprimé !
    C:\Program Files\Trend Micro\HijackThis: supprimé !

    Point de restauration crée !
    Corbeille vidée!
    Fichiers temporaires nettoyés !
    Sauvegarde du registre crée !

    Il reste quelques programmes sur le bureau, mais je le ferai manuellement (si ajout/suppression de programmes fonctionne bien) Et j'ai fait les mises à jour sur le système et le navigateur.
    0
  7. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut kearny

    Si plus de souci, je te donne quelques consignes de sécurité :

    - Windows Update parfaitement à jour http://www.windowsupdate.com/windowsupdate/v6/default.aspx (catégories critique, Services Pack et Services Release)
    - pare-feu bien paramétré, je te conseil ZoneAlarm :
    https://www.malekal.com/tutoriel-zonealarm-firewall/
    - antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
    - une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
    - pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..) http://forum.malekal.com/ftopic893.php
    - une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
    - nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
    - scan hebdomadaire antispyware, je conseil MalwareByte's Anti-Malware :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    - un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour :
    https://www.java.com/en/download/uninstalltool.jsp
    - faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
    https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

    De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
    http://www.malekal.com/menu_windows_general.php
    http://www.malekal.com/menu_windows_securite.php

    Si tu considères ton problème comme résolu, tu pourras mettre en résolu :
    https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

    Bonne journée/soirée et bon surf

    @++ :)
    0
  8. kearny Messages postés 15 Statut Membre
     
    Merci pour ton aide et tes précieux conseils ! Je te suis infiniment reconnaissant pour la patience que tu as eue pour régler mes petites soucis informatiques :)

    Pour les mises à jour système, c'est vrai que je ne suis pas un pro. Je suis meilleur en mise à jour antivirus... parce qu'elle se fait tout seul ! Pour le reste, je suis assez prudent, mais on ne l'est jamais assez, preuve en est.

    Encore bravo pour ton travail !

    (et je vais valider en résolu)

    A très bientot ! (enfin, j'espère, pas trop vite)
    0
Précédent
  • 1
  • 2