alerte TR/Spy.Agent.beaf Résolu/Fermé

Question

Bonjour,

mon antivirus ANTIVIR a detecter 18 alertes TR/Spy.Agent.beaf je l'ai mis en quarantaine , mais j'aimerais analyser mon PC plus en profondeur !
que me conseiller vous ?
et comment ai je pu attraper ce truc ??

merci

truecode · Answer

Bonjour,

Lance cet analyse pour que l'on puisse approfondir la recherche : 

• Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe 
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 
• Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 
• Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
"si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)

emmaka · Answer

bonjour,

alors je n'arrive pas a ouvrir rsit sur mon bureau , il me dit que C:/ document ....n'est pas une application valide win32

truecode · Answer

A bizarre on va vérifier quelque chose : 

•Télécharge  FindyKill (créé par El Desaparecido) et enregistre-lesur ton bureau
http://findykill.changelog.fr/Setup.exe
tutoriel recherche ( http://pagesperso-orange.fr/NosTools/tuto_fyk2.html )

/!\ Ne fais pas le nettoyage tout dessuite /!\

•Double clic sur le raccourci FindyKill sur ton bureau, l'installation se fera automatiquement
•Au menu principal,choisi l option 1 (Recherche)
•Post le rapport FindyKill.txt

* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

emmaka · Answer

############################## | FindyKill V5.037 |

# User : Compaq_Propriétaire (Administrateurs) # NOM-EB85C523610
# Update on 18/02/2010 by El Desaparecido
# Start at: 10:29:03 | 11/03/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 Processor 3200+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

# C:\ # Disque fixe local # 181,13 Go (132,97 Go free) [PRESARIO] # NTFS
# D:\ # Disque fixe local # 5,17 Go (722,86 Mo free) [PRESARIO_RP] # FAT32
# E:\ # Disque CD-ROM # 405,57 Mo (0 Mo free) [Belle_FR_PC] # CDFS
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |

E:\autorun.inf  

################## | C:\WINDOWS |


################## | C:\WINDOWS\Prefetch |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Compaq_Propriétaire\Application Data |


################## | Temporary Internet Files |


################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.037 ! |

truecode · Answer

On va supprimer les autorun.inf 

rtie 1 

• Télécharge UsbFix http://www.commentcamarche.net/telecharger/telecharger-34066197-usbfix (de Chiquitine29 & C_XX) sur ton Bureau.
•  Lance l'installation avec les paramètres par défaut.
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
•  Double-clique sur le raccourci UsbFix sur ton Bureau.
• Choisis l'option 1 (Recherche).
• Laisse travailler l'outil.
•  Poste le rapport UsbFix.txt. 


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

emmaka · Answer

quand je double clique sur le bureau il me dit que "des fichiers d'installation sont corrompus, telecharger une nouvelle copi et retentez "
que dois je faire?

truecode · Answer

Bon on va faire un scan plus généraliste : 


•Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

•Double clique sur le fichier téléchargé
•Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
•Quand la mise à jour est terminé va dans l'onglet
•Tu sélectionne "Exécuter un examen complet"
•Puis tu clique sur"Rechercher"

L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

•L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.
•Maintenant tu clique sur "Ok" pour poursuivre.
•Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
•Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
•Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
•Le Bloc-notes va s'ouvrir avec le rapport d'analyse
•Fais un copier coller de ce rapport etposte-le dans ton prochain message. 
 

Si tu n'arrive pas essaie de démarrer en mode sans echec avec prise en charge du réseau : 

•Clique sur Démarrer 
•Clique sur Arrêter 
•Sélectionne Redémarrer 
•Clique sur OK 
•Appuie sur la touche F8 dès qu'un écran de texte apparaît puis disparaît 
•Utilise les touches de direction pour sélectionner le mode sans échec avec prise en charge du réseau voulu, puis appuie sur ENTRÉE

emmaka · Answer

voilà c fait , mais le copier  n'as pas fonctionner ! ou est ce que je peut retrouver le rapport ?

truecode · Answer

Tu lance malware bytes , tu as un onglet rapports / logs tu va dedans ensuite il te suffit d'ouvrir le rapport

emmaka · Answer

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3851
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

11/03/2010 12:12:42
mbam-log-2010-03-11 (12-12-42).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 224781
Temps écoulé: 57 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\6KTQPX6C\Setup_156[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

truecode · Answer

Pour USBFIX toujours le même souci ?

emmaka · Answer

oui toujours

truecode · Answer

Et RSIT ne fonctionne pas non plus ?

Sinon on va essayer un autre outil de diagnostic : 

• Télécharge ZHPDiag https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
• Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

emmaka · Answer

non RSIT non plus 


http://www.cijoint.fr/cjlink.php?file=cj201003/cijpzRBiLG.txt

voilà est ce que c'est ça ?

truecode · Answer

Va sur ce site :  https://www.virustotal.com/gui/
Et analyse ce fichier  C:\WINDOWS\system32\l3codeca.acm puis poste le rapport

emmaka · Answer

euhh ok mais je le trouve ou le truc a analyser ?

truecode · Answer

Copie cela dans la case blanche sur le site C:\WINDOWS\system32\l3codeca.acm

Ou fais parcourir et va dans C:\ puis windows puis system32 et trouve l3codeca.acm

Si tu ne le vois pas il faudra faire cela  :

•Rends-toi à l'onglet Affichage 
•Menu "Outils " 
•Clique sur "Options des dossiers... " 
•Puis clique sur l'onglet "Affichage" 
•Coche la case "Afficher les fichiers et dossiers cachés" 
•Décoche la case "Masquer les extensions des fichiers dont le type est connu" 
•Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 
Clique sur le bouton "Appliquer à tous les dossiers" puis clique sur "OK"

emmaka · Answer

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/42 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.50 2010.03.11 - 
AhnLab-V3 5.0.0.2 2010.03.11 - 
AntiVir 8.2.1.180 2010.03.11 - 
Antiy-AVL 2.0.3.7 2010.03.11 - 
Authentium 5.2.0.5 2010.03.11 - 
Avast 4.8.1351.0 2010.03.10 - 
Avast5 5.0.332.0 2010.03.10 - 
AVG 9.0.0.787 2010.03.11 - 
BitDefender 7.2 2010.03.11 - 
CAT-QuickHeal 10.00 2010.03.11 - 
ClamAV 0.96.0.0-git 2010.03.11 - 
Comodo 4225 2010.03.11 - 
DrWeb 5.0.1.12222 2010.03.11 - 
eSafe 7.0.17.0 2010.03.10 - 
eTrust-Vet 35.2.7354 2010.03.11 - 
F-Prot 4.5.1.85 2010.03.11 - 
F-Secure 9.0.15370.0 2010.03.11 - 
Fortinet 4.0.14.0 2010.03.09 - 
GData 19 2010.03.11 - 
Ikarus T3.1.1.80.0 2010.03.11 - 
Jiangmin 13.0.900 2010.03.11 - 
K7AntiVirus 7.10.994 2010.03.10 - 
Kaspersky 7.0.0.125 2010.03.11 - 
McAfee 5916 2010.03.10 - 
McAfee+Artemis 5916 2010.03.10 - 
McAfee-GW-Edition 6.8.5 2010.03.11 - 
Microsoft 1.5502 2010.03.11 - 
NOD32 4934 2010.03.11 - 
Norman 6.04.08 2010.03.11 - 
nProtect 2009.1.8.0 2010.03.11 - 
Panda 10.0.2.2 2010.03.10 - 
PCTools 7.0.3.5 2010.03.11 - 
Prevx 3.0 2010.03.11 - 
Rising 22.38.03.04 2010.03.11 - 
Sophos 4.51.0 2010.03.11 - 
Sunbelt 5823 2010.03.11 - 
Symantec 20091.2.0.41 2010.03.11 - 
TheHacker 6.5.2.0.230 2010.03.11 - 
TrendMicro 9.120.0.1004 2010.03.11 - 
VBA32 3.12.12.2 2010.03.11 - 
ViRobot 2010.3.11.2222 2010.03.11 - 
VirusBuster 5.0.27.0 2010.03.11 - 
Information additionnelle 
File size: 290816 bytes 
MD5...: 76e2043e76bd9663b40636873c4e8430 
SHA1..: 0545b9394735a62761ed44f4cc9f5b461d6dfb77 
SHA256: 5ad111be0c292d270303b5cc033456761fc24c3ef373ecd554e145e55bb75de3 
ssdeep: 3072:S+8hKtfywcDHx/zvv9ZziSMWejsZL6t0yORP2g+25ijnpLH9TvjozmFlmfg
4oZwc:MufywcDtvFZiSMiTPB+wij5V6K6g3w
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1f9f0
timedatestamp.....: 0x4802c20f (Mon Apr 14 02:31:43 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x289c5 0x29000 6.75 5398cdc69283ebbba6fe351487ec111c
.rdata 0x2a000 0x80d4 0x9000 4.93 c1d8db834af3f5356faad83ced5090ac
.data 0x33000 0x5019c 0xe000 4.82 e3eedc089c282724eb01493ca6d76c3a
.rsrc 0x84000 0x14d0 0x2000 2.85 98e181d734bb0740624e81fc3f5a3f0c
.reloc 0x86000 0x335a 0x4000 4.93 583809f4396b5798e113cbee2a6b34c8

( 5 imports ) 
> USER32.dll: LoadIconA, LoadStringA, EndDialog, wvsprintfA, GetDlgItem, SetWindowLongA, SetDlgItemTextA, wsprintfA, GetSysColor, GetWindowLongA, DialogBoxParamA
> GDI32.dll: CreateSolidBrush, DeleteObject, SetBkColor, SetTextColor
> WINMM.dll: DefDriverProc, GetDriverModuleHandle
> ADVAPI32.dll: RegDeleteValueA, RegDeleteKeyA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, RegCloseKey, RegCreateKeyA
> KERNEL32.dll: GetCPInfo, TlsGetValue, GetLastError, SetLastError, SetStdHandle, CloseHandle, InterlockedIncrement, InterlockedDecrement, LocalFree, GetModuleHandleA, LocalAlloc, MultiByteToWideChar, GetACP, GlobalFree, GlobalAlloc, GetModuleFileNameA, GetSystemDirectoryA, lstrcatA, WritePrivateProfileStringA, GetPrivateProfileStringA, lstrlenA, lstrcpyA, GetVersionExA, GetCommandLineA, GetVersion, HeapFree, HeapAlloc, ExitProcess, TerminateProcess, GetCurrentProcess, EnterCriticalSection, LeaveCriticalSection, RtlUnwind, GetProcAddress, HeapCreate, GetOEMCP, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, RaiseException, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, GetEnvironmentVariableA, HeapDestroy, GetStringTypeA, VirtualFree, WriteFile, GetStringTypeW, VirtualAlloc, HeapReAlloc, IsBadWritePtr, InitializeCriticalSection, LCMapStringA, LCMapStringW, SetFilePointer, SetUnhandledExceptionFilter, LoadLibraryA, FlushFileBuffers, IsBadReadPtr, IsBadCodePtr

( 3 exports ) 
DllRegisterServer, DllUnregisterServer, DriverProc
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
sigcheck:
publisher....: Fraunhofer Institut Integrierte Schaltungen IIS
copyright....: Copyright (c) 1996-1999 Fraunhofer Institut Integrierte Schaltungen IIS
product......: MPEG Layer-3 Audio Codec for MSACM
description..: MPEG Layer-3 Audio Codec for MSACM
original name: l3codec.acm
internal name: l3codec.acm
file version.: 1, 9, 0, 0305
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
trid..: Windows Audio Compression Manager driver (56.9%)
Win32 Executable MS Visual C++ (generic) (28.0%)
Win32 Executable Generic (6.3%)
Win32 Dynamic Link Library (generic) (5.6%)
Generic Win/DOS Executable (1.4%)

truecode · Answer

Ce n'est pas infectieux .
Fais un scan complet avec antivir qui te détecté l'infection ensuite poste le rapport

emmaka · Answer

Avira AntiVir Personal Report file date: jeudi 11 mars 2010 15:10 Scanning for 1839875 virus strains and unwanted programs. Licensed to: Avira AntiVir Personal - FREE Antivirus Serial number: 0000149996-ADJIE-0000001 Platform: Windows XP Windows version: (Service Pack 3) [5.1.2600] Boot mode: Normally booted Username: SYSTEM Computer name: NOM-EB85C523610 Version information: BUILD.DAT : 8.2.0.354 17048 Bytes 23/10/2009 13:15:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25/11/2008 14:41:03 AVSCAN.DLL : 8.1.4.0 40705 Bytes 18/07/2008 14:52:30 LUKE.DLL : 8.1.4.5 164097 Bytes 18/07/2008 14:52:31 LUKERES.DLL : 8.1.4.0 12033 Bytes 18/07/2008 14:52:31 ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 19:13:56 ANTIVIR1.VDF : 7.10.4.211 7108976 Bytes 05/03/2010 18:18:55 ANTIVIR2.VDF : 7.10.5.33 285600 Bytes 10/03/2010 17:54:39 ANTIVIR3.VDF : 7.10.5.35 56320 Bytes 10/03/2010 17:54:39 Engineversion : 8.2.1.180 AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 19:07:45 AESCRIPT.DLL : 8.1.3.17 1032570 Bytes 26/02/2010 17:55:33 AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 17:55:26 AESBX.DLL : 8.1.2.0 254323 Bytes 26/02/2010 17:55:24 AERDL.DLL : 8.1.4.2 479602 Bytes 14/02/2010 06:17:25 AEPACK.DLL : 8.2.1.0 426356 Bytes 02/03/2010 17:54:28 AEOFFICE.DLL : 8.1.0.39 196987 Bytes 20/02/2010 17:54:42 AEHEUR.DLL : 8.1.1.7 2326902 Bytes 20/02/2010 17:54:40 AEHELP.DLL : 8.1.10.1 237942 Bytes 26/02/2010 17:55:22 AEGEN.DLL : 8.1.2.0 373107 Bytes 26/02/2010 17:55:19 AEEMU.DLL : 8.1.1.0 393587 Bytes 24/10/2009 09:22:14 AECORE.DLL : 8.1.12.2 188790 Bytes 02/03/2010 17:54:27 AEBB.DLL : 8.1.0.3 53618 Bytes 16/10/2008 16:31:54 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18/07/2008 14:52:30 AVPREF.DLL : 8.0.2.0 38657 Bytes 18/07/2008 14:52:30 AVREP.DLL : 8.0.0.7 159784 Bytes 16/02/2010 17:54:00 AVREG.DLL : 8.0.0.1 33537 Bytes 18/07/2008 14:52:30 AVARKT.DLL : 1.0.0.23 307457 Bytes 20/04/2008 13:42:30 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18/07/2008 14:52:30 SQLITE3.DLL : 3.3.17.1 339968 Bytes 20/04/2008 13:42:31 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18/07/2008 14:52:31 NETNT.DLL : 8.0.0.1 7937 Bytes 20/04/2008 13:42:31 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18/07/2008 14:52:28 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18/07/2008 14:52:28 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: C:, D:, Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: jeudi 11 mars 2010 15:10 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'iexplore.exe' - '1' Module(s) have been scanned Scan process 'wltuser.exe' - '1' Module(s) have been scanned Scan process 'iexplore.exe' - '1' Module(s) have been scanned Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned Scan process 'wlcomm.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'SeaPort.exe' - '1' Module(s) have been scanned Scan process 'jqs.exe' - '1' Module(s) have been scanned Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'msmsgs.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'realsched.exe' - '1' Module(s) have been scanned Scan process 'QTTask.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 35 processes with 35 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'D:\' [INFO] No virus was found! Starting to scan the registry. The registry was scanned ( '53' files ). Starting the file scan: Begin scan in 'C:\' C:\hiberfil.sys [WARNING] The file could not be opened! C:\pagefile.sys [WARNING] The file could not be opened! Begin scan in 'D:\' End of the scan: jeudi 11 mars 2010 15:58 Used time: 47:55 Minute(s) The scan has been done completely. 8789 Scanning directories 412352 Files were scanned 0 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 0 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 412350 Files not concerned 14806 Archives were scanned 2 Warnings 0 Notes

truecode · Answer

Plus de fichiers détectés pas antivir , tu as toujours des soucis ?

emmaka · Answer

non merci pour ton aide 

qu'est ce que je fais de tout ce qu'on a mis sur mon bureau ? je supprime et desinstalle ?

truecode · Answer

Ne t'inquiète pas on va supprimer tous ca : 

Toolcleaner est un outil qui va permettre de supprimer les programmes utilisés durant la désinfection.

•Télécharge Toolscleaner https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/  sur ton Bureau
•Double-clique sur ToolsCleaner2.exe et laisse le travailler
•Clique sur Recherche et laisse le scan se terminer.
•Clique sur Suppression pour finaliser.
•Tu peux, si tu le souhaites, te servir des Options facultatives.
•Clique sur Quitter, pour que le rapport puisse se créer.
•Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse


Puis tu peux faire un nettoyage des fichiers temporaires avec ccleaner : https://www.malekal.com/tutoriel-ccleaner/


Par contre je te conseils de garder ccleaner pour un nettoyage de temps en temps c'est un très bon outil et de garder aussi malware bytes qui te permettra d'analyser ton ordinateur régulièrement par exemple une fois par mois .

emmaka · Answer

Avira AntiVir Personal Report file date: jeudi 11 mars 2010 15:10 Scanning for 1839875 virus strains and unwanted programs. Licensed to: Avira AntiVir Personal - FREE Antivirus Serial number: 0000149996-ADJIE-0000001 Platform: Windows XP Windows version: (Service Pack 3) [5.1.2600] Boot mode: Normally booted Username: SYSTEM Computer name: NOM-EB85C523610 Version information: BUILD.DAT : 8.2.0.354 17048 Bytes 23/10/2009 13:15:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25/11/2008 14:41:03 AVSCAN.DLL : 8.1.4.0 40705 Bytes 18/07/2008 14:52:30 LUKE.DLL : 8.1.4.5 164097 Bytes 18/07/2008 14:52:31 LUKERES.DLL : 8.1.4.0 12033 Bytes 18/07/2008 14:52:31 ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 19:13:56 ANTIVIR1.VDF : 7.10.4.211 7108976 Bytes 05/03/2010 18:18:55 ANTIVIR2.VDF : 7.10.5.33 285600 Bytes 10/03/2010 17:54:39 ANTIVIR3.VDF : 7.10.5.35 56320 Bytes 10/03/2010 17:54:39 Engineversion : 8.2.1.180 AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 19:07:45 AESCRIPT.DLL : 8.1.3.17 1032570 Bytes 26/02/2010 17:55:33 AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 17:55:26 AESBX.DLL : 8.1.2.0 254323 Bytes 26/02/2010 17:55:24 AERDL.DLL : 8.1.4.2 479602 Bytes 14/02/2010 06:17:25 AEPACK.DLL : 8.2.1.0 426356 Bytes 02/03/2010 17:54:28 AEOFFICE.DLL : 8.1.0.39 196987 Bytes 20/02/2010 17:54:42 AEHEUR.DLL : 8.1.1.7 2326902 Bytes 20/02/2010 17:54:40 AEHELP.DLL : 8.1.10.1 237942 Bytes 26/02/2010 17:55:22 AEGEN.DLL : 8.1.2.0 373107 Bytes 26/02/2010 17:55:19 AEEMU.DLL : 8.1.1.0 393587 Bytes 24/10/2009 09:22:14 AECORE.DLL : 8.1.12.2 188790 Bytes 02/03/2010 17:54:27 AEBB.DLL : 8.1.0.3 53618 Bytes 16/10/2008 16:31:54 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18/07/2008 14:52:30 AVPREF.DLL : 8.0.2.0 38657 Bytes 18/07/2008 14:52:30 AVREP.DLL : 8.0.0.7 159784 Bytes 16/02/2010 17:54:00 AVREG.DLL : 8.0.0.1 33537 Bytes 18/07/2008 14:52:30 AVARKT.DLL : 1.0.0.23 307457 Bytes 20/04/2008 13:42:30 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18/07/2008 14:52:30 SQLITE3.DLL : 3.3.17.1 339968 Bytes 20/04/2008 13:42:31 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18/07/2008 14:52:31 NETNT.DLL : 8.0.0.1 7937 Bytes 20/04/2008 13:42:31 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18/07/2008 14:52:28 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18/07/2008 14:52:28 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: C:, D:, Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: jeudi 11 mars 2010 15:10 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'iexplore.exe' - '1' Module(s) have been scanned Scan process 'wltuser.exe' - '1' Module(s) have been scanned Scan process 'iexplore.exe' - '1' Module(s) have been scanned Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned Scan process 'wlcomm.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'SeaPort.exe' - '1' Module(s) have been scanned Scan process 'jqs.exe' - '1' Module(s) have been scanned Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'msmsgs.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'realsched.exe' - '1' Module(s) have been scanned Scan process 'QTTask.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 35 processes with 35 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'D:\' [INFO] No virus was found! Starting to scan the registry. The registry was scanned ( '53' files ). Starting the file scan: Begin scan in 'C:\' C:\hiberfil.sys [WARNING] The file could not be opened! C:\pagefile.sys [WARNING] The file could not be opened! Begin scan in 'D:\' End of the scan: jeudi 11 mars 2010 15:58 Used time: 47:55 Minute(s) The scan has been done completely. 8789 Scanning directories 412352 Files were scanned 0 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 0 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 412350 Files not concerned 14806 Archives were scanned 2 Warnings 0 Notes

truecode · Answer

nan c'est le rapport de toolcleaner qui me faut

emmaka · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Rsit.exe: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Rsit.exe: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Program Files\ZHPDiag: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

truecode · Answer

Il reste findy kill : 

•Double clic sur le raccourci FindyKill présent sur ton bureau
•Choisi l'option 5 ( Désinstaller )

emmaka · Answer

j'ai pas findykill
j'ai encore sur mon bureau: setup.exe , usbfix ; malware ; zhpdiag ; toolscleaner
je peut les enlever au moins les raccourcis ?

truecode · Answer

Oui tu peux supprimer les fichiers que tu as téléchargé , comme tu le vois sur le rapport les dossiers créés par ces outils ont été supprimé : 

C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé ! 
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Rsit.exe: supprimé ! 
C:\Qoobox\Quarantine\catchme.log: supprimé ! 
C:\Combofix: supprimé ! 
C:\Qoobox: supprimé ! 
C:\UsbFix: supprimé ! 
C:\Program Files\ZHPDiag: supprimé ! 


Voilà si tu n'a plus de questions je te souhaite une bonne journée

emmaka · Answer

ok super !!
merci beaucoup pour ton aide

truecode · Answer

De rien ,Ah j'oubliais tu peux faire une dernière chose mettre ton sujet comme résolu

Destrio5 · Answer

Bonjour,

Tu peux poster le rapport du scan quand il t'a détecté les 18 TR/Spy.Agent.beaf ?

Alerte TR/Spy.Agent.beaf

32 réponses

Discussions similaires

Newsletters