Win32:Rootkit-gen détecté par Avast

Résolu
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention   -  
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

Alors voila mon problème Avast détecte Win32:Rootkit-gen toutes les "2 secondes" sur mon fixe et mon portable.

J'ai lu plein de choses differentes sur les forums et comme je ne suis pas une specialiste je ne permet de reposer la question ... est ce que quelqu'un pourrait m'aider ????

Merci d'avance

57 réponses

Précédent
Réponse 21 / 57
verni29 Messages postés 6699 Date d'inscription   Statut Contributeur sécurité Dernière intervention   180
 
Bonjour, OlgaD

Peux-tu poster le deuxième rapport, log.txt ?
Il se trouve en C:\RSIT.

A+
0
Réponse 22 / 57
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention  
 
Il est posté sur la page d'avant !!!! j'avais pas vu qu'il y avait deux pages tout à l'heure !!!!!
0
Réponse 23 / 57
verni29 Messages postés 6699 Date d'inscription   Statut Contributeur sécurité Dernière intervention   180
 
OlgaD,

Un peu de retard.

1/ Il y a aussi une infection sur les supports amovibles avec ce PC.

Télécharge USBFix ( par El Desaparecido ) sur ton bureau.

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptiblse d avoir été infectées sans les ouvrir

• Double clic sur usbfix.exe présent sur ton bureau
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

2/ Il y a un fichier que j'aimerais que tu analyses.

Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/

# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :

Chemin : c:\windows\system32\pdagvsa.exe

# Tu cliques ensuite sur envoyer le fichier.
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

3/ SweetIM est iun logiciel qui apporte des émoticons pour MSN.
C'est aussi un spyware ou logiciel espion.

Désinstalle via le panneau de configuration les deux logiciels suivants :
- Macrogaming SweetIM 1.2a
- SweetIM For Internet Explorer 1.0a

A+
0
Réponse 24 / 57
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention  
 
v oila déja le rapport usbfix :


############################## | UsbFix V6.097 |

User : Marie Schmitt (Administrateurs) # MARIE
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 10:18:30 | 24/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Mobile AMD Sempron(tm) Processor 3100+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886498 [ Enabled | Updated ]

C:\ -> Disque fixe local # 44,99 Go (25,28 Go free) [ACER] # FAT32
D:\ -> Disque fixe local # 45,21 Go (43,7 Go free) [ACERDATA] # FAT32
E:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast5\setup\avast.setup
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\GtFlashSwitch\GtFlashSwitch.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\antiv.exe
Supprimé ! C:\DOCUME~1\MARIES~1\LOCALS~1\Temp\AutoRun.exe
Supprimé ! C:\DOCUME~1\MARIES~1\LOCALS~1\Temp\herss.exe
C:\autorun.inf -> fichier appelé : "C:\ycvvj.exe" ( Présent ! )
Supprimé ! C:\ycvvj.exe
Supprimé ! C:\autorun.inf
D:\autorun.inf -> fichier appelé : "D:\ycvvj.exe" ( Présent ! )
Supprimé ! D:\ycvvj.exe
Supprimé ! D:\autorun.inf

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\H\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{16bdd486-dc00-11de-a429-00c09fffb17b}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{45e6e11a-0768-11df-a439-00c09fffb17b}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{5889f6e6-f6a2-11dc-a28f-00c09fffb17b}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{5db1e468-17ac-11dd-a2c8-00f1d000f1d0}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9c274d8c-b6c5-11dc-a278-00c09fffb17b}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{cd2e9340-b9be-11de-a41f-00c09fffb17b}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{dd32a104-cf4b-11dd-a38d-00f1d000f1d0}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[11/03/2005 10:07|-rahs----|75] C:\PRELOAD.AAA
[07/03/2005 20:06|---hs----|512] C:\BOOTSECT.DOS
[05/08/2004 05:00|-rahs----|4952] C:\Bootfont.bin
[05/08/2004 05:00|-rahs----|251712] C:\ntldr
[05/08/2004 05:00|-rahs----|47564] C:\NTDETECT.COM
[16/03/2008 18:20|-rahs----|216] C:\boot.ini
[07/03/2005 20:25|--a------|0] C:\CONFIG.SYS
[11/03/2005 09:58|--a------|100] C:\AUTOEXEC.BAT
[07/03/2005 20:25|-rahs----|0] C:\IO.SYS
[07/03/2005 20:25|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\hiberfil.sys
[24/02/2010 10:22|--a------|3633] C:\UsbFix.txt
[23/02/2006 17:28|--a------|6] C:\ISACER.ID
[?|?|?] C:\pagefile.sys
[14/09/2006 11:06|--a------|1663] C:\scancode.txt
[25/02/2008 20:09|--a------|167] C:\uniTvTv.log
[26/01/2009 19:56|--a------|64000] D:\comptes 2008.xls
[19/07/2006 18:20|--ahs----|4608] D:\Thumbs.db

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_MARIE.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.097 ! |
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 57
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention  
 
et ça c'est le resultat de l'analyse du fichier ... je suis pas sur que ça ai marché ?

0 bytes size received / Se ha recibido un archivo vacio



par contre pour le usbfix je n'est pas rebranché ma clé usb et mon disque dur externe car il etaient deja connecté quand on a nettoyé le fixe ... ça pose pas de soucis ?
0
Réponse 26 / 57
verni29 Messages postés 6699 Date d'inscription   Statut Contributeur sécurité Dernière intervention   180
 
OlgaD,

1/ Pour le scan sur virustotal, le fichier doit être actif et impossible à analyser.

Télécharge SEAF ( de C_XX )
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

# Double clique sur SEAF.exe ("éxécuter en tant qu'administrateur" pour vista) .
# Tape pdagvsa dans la fenêtre qui s'ouvrira et appuie ensuite sur " Entrée ".
# Laisse l'outil scanner.
# Copie/Colle le rapport qui s'ouvrira dans ton prochain message

2/ Pour USBFix, tu as bien fait. Inutile de les rebrancher.

3/ On va nettoyer les restes de SweetIM.

Télécharge AD-Remover de C_XX sur ton bureau :
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Tu te déconnectes du net et ferme toutes les applications en cours.

Sous Vista, il faut nécessairement désactiver l'UAC ou contrôle de compte utilisateur.
Tuto : https://www.pcastuces.com/pratique/windows/vista/astuces/desactiver_uac.htm

* Double-clique sur AD-R.exe .
* Au menu principal, choisis l'option "L" pour effectuer le nettotyage .
* Le PC va redémarrer pour procéder au nettoyage.

Après redémarrage, un rapport va apparaitre. Poste le contenu dans ton prochain message.

Note : Il se trouve en C:\AD-Report-SCAN.log

A+
0
Réponse 27 / 57
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention  
 
premier rapport :

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 15:55:17 le 24/02/2010
4.
5. Valeur(s) recherchée(s):
6.
7. pdagvsa
8.
9.
10. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
11.
12. "c:\WINDOWS\system32\pdagvsa.dat" [ ----A---- | 6122 ]
13. TC: 08/07/2007,10:16:37 | TM: 09/09/2007,18:08:14 | DA: 09/09/2007,00:00:00
14.
15. =========================
16.
17. "c:\WINDOWS\system32\pdagvsa_navps.dat" [ ----A---- | 2624 ]
18. TC: 08/07/2007,10:16:37 | TM: 09/09/2007,18:07:46 | DA: 09/09/2007,00:00:00
19.
20. =========================
21.
22. "c:\WINDOWS\system32\pdagvsa_nav.dat" [ ----A---- | 275425 ]
23. TC: 08/07/2007,10:16:37 | TM: 09/09/2007,10:49:50 | DA: 09/09/2007,00:00:00
24.
25. =========================
26.
27. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
28.
29. Aucun dossier trouvé
30.
31. =========================
32.
33. Fin à: 15:56:14 le 24/02/2010 ( E.O.F )
0
Réponse 28 / 57
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention  
 
il y a deux rapport qui s'appelle Ad-Report-CLEAN[1] et Ad-Report-CLEAN[2] je te poste les deux :

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:01:09, 24/02/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: MARIE | Utilisateur actuel: Marie Schmitt
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\WINDOWS\System32\nvs2.inf
C:\WINDOWS\pack.epk
C:\WINDOWS\Temp\msksetup.log


et le suivant :

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:05:59, 24/02/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: MARIE | Utilisateur actuel: Marie Schmitt
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
0
Réponse 29 / 57
verni29 Messages postés 6699 Date d'inscription   Statut Contributeur sécurité Dernière intervention   180
 
Re,

1/ le rapport de SEAF montre une infection Navipromo.
Elle semble ancienne ( 2007 ). c'est une infection courante qui pollue le PC avec des pubs.

Télécharge Navilog d'il mafioso sur ton bureau.
http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe

· Double-clique sur le raccourci de navilog ( sur le bureau ).
Si sous Vista , clique droit sur le fichier et choisis exécuter en tant qu’administrateur
· Sélectionne la langue puis valide.
· Choisis l'option 1 ( ne choisit pas une autre option )

Le PC va redémarrer pour nettoyer l'infection.

Une fois l’analyse terminée, un rapport va s’ouvrir dans le bloc-notes.
Tu copies et colles le texte de ce rapport dans ton prochain message.

Note : Si tu ne le trouves pas, il est en C:\Cleannavi.txt.

2/ Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tu l'installes. Choisis les options par défaut.
# A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s’ouvrir.

# Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
# Clique sur lancer l’examen.

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

A+
0
Réponse 30 / 57
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention  
 
Fix Navipromo version 4.0.6 commencé le 24/02/2010 18:09:23,20

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Mobile AMD Sempron(tm) Processor 3100+ )
BIOS : Phoenix NoteBIOS 4.0 Release 6.0
USER : Marie Schmitt ( Administrator )
BOOT : Normal boot

Antivirus : avast! Antivirus 5.0.83886498 (Activated)


C:\ (Local Disk) - FAT32 - Total:44 Go (Free:25 Go)
D:\ (Local Disk) - FAT32 - Total:45 Go (Free:43 Go)
E:\ (CD or DVD)


Recherche executée en mode normal

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Program Files\InternetGamebox supprimé !
C:\WINDOWS\system32\pdagvsa.dat supprimé !
C:\WINDOWS\system32\pdagvsa_navps.dat supprimé !
C:\WINDOWS\system32\pdagvsa_nav.dat supprimé !


Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Marie Schmitt\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

Certificat Egroup supprimé !



*** Scan terminé 24/02/2010 18:15:37,26 ***
0
Réponse 31 / 57
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention  
 
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3785
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

24/02/2010 18:57:07
mbam-log-2010-02-24 (18-57-07).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 171981
Temps écoulé: 27 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2d2bee6e-3c9a-4d58-b9ec-458edb28d0f6} (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 32 / 57
verni29 Messages postés 6699 Date d'inscription   Statut Contributeur sécurité Dernière intervention   180
 
Ce PC est plus infecté que l'autre.

----------------------------------------------------------------------------------------------------

L'infection Navipromo nettoyée avec navilog est installé par les programmes : go-astro, GoRecord, HotTVPlayer / HotTVPlayer & Paris Hilton , Live-Player, MailSkinner, Messenger Skinner, Instant Access, InternetGameBox, Officiale Emule (Version d'Emule modifiée), Sudoplanet, Webmediaplayer, Sur le site w*w.games-desktop.com.

-----------------------------------------------------------------------------------------------------

Il y a une infection MSN.

1/ Télécharge OTM (de Old_Timer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
# Double-clique sur OTM.exe pour le lancer.
# Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.

:files
C:\Program Files\MSN Messenger\msrr.exe
C:\WINDOWS\system32\ ^%%^%^ %%^^.exe

:reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\MSN Messenger\msrr.exe"=-
"C:\WINDOWS\system32\ ^%%^%^ %%^^.exe"=-

:Commands
[emptytemp]

# Clique sur MoveIt! pour lancer la suppression. Le résultat apparaitra dans le cadre "Results".
# Le PC va te demander de redémarrer pour supprimer les fichiers.
# après le redémarrage, un rapport va s'ouvrir.
# Copie/Colle le contenu du rapport dans ton prochain message.

Note : Si tu ne trouves plus le rapport,c'est un fichier .log qui se trouve en C:\_OTMoveIt\MovedFiles.

------------------------------------------------------------------------------------

A la fin, je te demanderais de faire une manip sur le 1er PC. Une chose à vérifier.

A+
0
Réponse 33 / 57
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention  
 
ça craint tout ça !!!!! je vais bien lire tout les liens que tu as mis avant histoire que ça recommance pas après !!!

Voila le rapport :

All processes killed
========== FILES ==========
C:\Program Files\MSN Messenger\msrr.exe moved successfully.
C:\WINDOWS\system32\ ^%%^%^ %%^^.exe moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\Program Files\MSN Messenger\msrr.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\system32\ ^%%^%^ %%^^.exe deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 34706 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 5731456 bytes

User: Marie Schmitt
->Temp folder emptied: 2416170 bytes
->Temporary Internet Files folder emptied: 120810167 bytes
->Java cache emptied: 6971810 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 4182528 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 664 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 440872 bytes

Total Files Cleaned = 134,00 mb


OTM by OldTimer - Version 3.1.9.0 log created on 02242010_193533

Files moved on Reboot...
File C:\WINDOWS\temp\_avast5_\Webshlock.txt not found!

Registry entries deleted on Reboot...
0
Réponse 34 / 57
verni29 Messages postés 6699 Date d'inscription   Statut Contributeur sécurité Dernière intervention   180
 
Re,

Citation :
ça craint tout ça !!!!!

Je t'explique un peu ce qu'on a trouvé comme infections.

Sur le 1er PC, uniquement une infection par support amovible et généralement par clé USB.
Il suffit d'aller chez une personne qui a son PC d'infecté et de brancher la clé. Elle sera à son tour infecté et l'infection se propagera sur les PC perso.
Tu as vacciné les clés et elles ne peuvent plus être infectées.

Sur le 2eme PC, c'est autre chose.
- Infection sur les supports. Logique.
- Infection Navipromo. Comme je te l'ai indiqué, ce sont des logiciels qui installent cette infection. Ici, InternetGameBox. Il faut effectivement le savoir.
- Infection MSN. Celle-ci est plus dangereuse.
http://www.sophos.fr/security/analyses/viruses-and-spyware/trojbamerd.html
- Traces d'une infection par un rogue ( ou faux antispyware ), DriveCleaner

Un antivirus ne protège pas de tout.

le lien sur l'article que je t'avais indiqué a changé :
https://www.malekal.com/projet-antimalware-2/

Pour vérifier.

tu télécharges smitfraudfix de S!Ri sur ton bureau
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

# Double clique sur l’exécutable. Il va crée un un dossier SmitFraudFix et lancer l’outil.
# tu choisis l' option 1 .

Un rapport sera crée.
Copie/colle le rapport dans ton prochain message.

Note : Si tu ne le trouves pas, il est à C:\rapport.txt

A+
0
Réponse 35 / 57
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention  
 
SmitFraudFix v2.424

Rapport fait à 20:12:39,37, 24/02/2010
Executé à partir de C:\Documents and Settings\Marie Schmitt\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\OrangeFrance\Orange Connect\Orange Connect.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\GtFlashSwitch\GtFlashSwitch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Marie Schmitt\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marie Schmitt


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARIES~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marie Schmitt\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARIES~1\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SiS 900-Based PCI Fast Ethernet Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{68611CAB-51C5-4F1C-986A-856B6C2A9CC5}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{68611CAB-51C5-4F1C-986A-856B6C2A9CC5}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{68611CAB-51C5-4F1C-986A-856B6C2A9CC5}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 36 / 57
verni29 Messages postés 6699 Date d'inscription   Statut Contributeur sécurité Dernière intervention   180
 
Re,

J'avais édité le message précédent pour ceci:
le lien sur l'article que je t'avais indiqué a changé.
https://www.malekal.com/projet-antimalware-2/

fais un scan en ligne comme indiqué sur le message.
https://forums.commentcamarche.net/forum/affich-16668206-win32-rootkit-gen-detecte-par-avast#11

A+
0
Réponse 37 / 57
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour verni,

Qaund je lance bitdefender il commence bien par la mise à jour mais il bloque une fois arrivé à 100% ... il ne se passe plus rien, il ne lance pas l'analyse ... ???

Merci encore !!!
0
Réponse 38 / 57
verni29 Messages postés 6699 Date d'inscription   Statut Contributeur sécurité Dernière intervention   180
 
Re,

Cela arrive.

Essaie avec un autre :
tuto : https://forum.pcastuces.com/default.asp
Poste le rapport obtenu.

A+
0
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention  
 
et voila :

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=7.00.6000.16674 (vista_gdr.080415-1732)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=bf80cbe1f7db25428032db429c045d3c
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-02-25 03:19:29
# local_time=2010-02-25 04:19:29 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 173468 173468 0 0
# compatibility_mode=768 16777191 100 0 107204354 107204354 0 0
# compatibility_mode=8192 67108863 100 0 3986 3986 0 0
# scanned=51660
# found=65
# cleaned=0
# scan_time=1971
C:\UsbFix_Upload_Me_MARIE.zip Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP203\A0032408.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP203\A0032427.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP204\A0032434.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP204\A0032452.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032464.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032481.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032504.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032528.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032552.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032573.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032594.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032614.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032634.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032655.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032681.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP206\A0032688.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP206\A0032721.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP206\A0032741.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP207\A0032751.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP207\A0032777.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP208\A0032786.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP208\A0032967.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP208\A0033100.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP208\A0033199.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP208\A0033237.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP208\A0033329.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP209\A0033336.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP210\A0033366.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP211\A0033514.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP211\A0033638.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP211\A0033703.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\UsbFix\Quarantine\C\autorun.inf.UsbFix Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
C:\UsbFix\Quarantine\D\autorun.inf.UsbFix Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP203\A0032410.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP203\A0032429.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP204\A0032436.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP204\A0032454.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032466.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032483.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032506.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032530.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032554.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032575.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032596.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032616.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032636.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032657.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP205\A0032683.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP206\A0032690.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP206\A0032723.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP206\A0032743.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP207\A0032753.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP207\A0032779.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP208\A0032788.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP208\A0032969.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP208\A0033102.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP208\A0033200.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP208\A0033238.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP208\A0033331.INF Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP209\A0033337.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP210\A0033367.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP211\A0033516.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP211\A0033640.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
D:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP211\A0033710.inf Win32/PSW.OnLineGames.NNU trojan 00000000000000000000000000000000 I
0
Réponse 39 / 57
verni29 Messages postés 6699 Date d'inscription   Statut Contributeur sécurité Dernière intervention   180
 
OlgaD,

Rien de très méchant dans le rapport.
Des fichiers mis en quarantaine.
Les restaurations système sur les deux partitions C: et D: sont touchées.
On le nettoiera à la fin.

Il reste les mises à jour.
Même manip que sur le message suivant ( et IE8 qui peut installé )
https://forums.commentcamarche.net/forum/affich-16668206-win32-rootkit-gen-detecte-par-avast#13

A+
0
Réponse 40 / 57
olgaD Messages postés 35 Date d'inscription   Statut Membre Dernière intervention  
 
voila le rappôrt javara :

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Thu Feb 25 19:42:54 2010

Found and removed: C:\Program Files\Java\jre1.5.0_07

Found and removed: C:\Program Files\Java\jre1.5.0_09

Found and removed: Software\JavaSoft\Java2D\1.5.0_07

Found and removed: Software\JavaSoft\Java2D\1.5.0_09

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D510007

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D510009

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D510007

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D510009

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D510007

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D510009

Found and removed: SOFTWARE\Classes\JavaPlugin.150_07

Found and removed: SOFTWARE\Classes\JavaPlugin.150_09

Found and removed: SOFTWARE\Classes\JavaWebStart.isInstalled.1.5.0.0

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0_07

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0_09

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0_07

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0_09

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D510007

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D510009

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D510007

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D510009

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150070}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150090}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.5.0_07

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.5.0_09

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.5.0_07\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.5.0_09\

------------------------------------

Finished reporting.
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Pb Windows 7, .EXE n'est pas app win32 valide
Witeric -
Lio -

15 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
PUADlManager:Win32/OfferCore
tenmalade -
tenmalade -

2 réponses