Virus svchost.exe
Résolu
jakezz
Messages postés
78
Date d'inscription
Statut
Membre
Dernière intervention
-
jakezz Messages postés 78 Date d'inscription Statut Membre Dernière intervention -
jakezz Messages postés 78 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
depuis quelques semaines, je suis envahi par des virus repérés dans Avast C:\WINDOWS\TEMP\xxxx.tmp\svchost.exe Win32:Malware-gen.
J'ai essayé en regardant sur les forums de m'en débarrasser, mais je ne dois pas faire les choses comme il faut et c'est toujours pareil ( un virus toutes les 10 mn que je mets en quarantaine).
J'ai exécuté MBAM et même combofix, mais j'ai dû faire une bêtise parce que depuis, je n'ai plus de pare feu windows et je n'ai plus accès à windows update, mais bien sûr toujours les virus svchost.exe.
Si vous pouviez m'aider à tout reprendre pas à pas depuis le début, avec la bonne procédure ça serait super. Merci
depuis quelques semaines, je suis envahi par des virus repérés dans Avast C:\WINDOWS\TEMP\xxxx.tmp\svchost.exe Win32:Malware-gen.
J'ai essayé en regardant sur les forums de m'en débarrasser, mais je ne dois pas faire les choses comme il faut et c'est toujours pareil ( un virus toutes les 10 mn que je mets en quarantaine).
J'ai exécuté MBAM et même combofix, mais j'ai dû faire une bêtise parce que depuis, je n'ai plus de pare feu windows et je n'ai plus accès à windows update, mais bien sûr toujours les virus svchost.exe.
Si vous pouviez m'aider à tout reprendre pas à pas depuis le début, avec la bonne procédure ça serait super. Merci
A voir également:
- Virus svchost.exe
- Svchost.exe - Guide
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
117 réponses
On continu les recherches.
* Télécharge gmer sur le Bureau et dézippe-le (clic droit et extraire ici).
http://www2.gmer.net/gmer.zip
* /!\important /!\ Désactive ton antivirus et autres protections
* Double-clique sur gmer.exe sur le Bureau.
* Clique sur l'onglet "Rootkit/Malwares",
* Laisse coché les cases suivantes :
System
Sections
Devices
Threads
Files
ADS
Et la partition de ton system.
puis clique sur scan.
* A la fin du scan, clique sur le bouton copy.
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
* Edite ce rapport dans ta prochaine réponse.
* Télécharge gmer sur le Bureau et dézippe-le (clic droit et extraire ici).
http://www2.gmer.net/gmer.zip
* /!\important /!\ Désactive ton antivirus et autres protections
* Double-clique sur gmer.exe sur le Bureau.
* Clique sur l'onglet "Rootkit/Malwares",
* Laisse coché les cases suivantes :
System
Sections
Devices
Threads
Files
ADS
Et la partition de ton system.
puis clique sur scan.
* A la fin du scan, clique sur le bouton copy.
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
* Edite ce rapport dans ta prochaine réponse.
le rapport gmer :
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-16 19:47:35
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\jak\LOCALS~1\Temp\agkdipod.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xA25766B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xA2576574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xA2576A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xA257614C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xA257664E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xA257608C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xA25760F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xA257676E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xA257672E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xA25768AE]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[1084] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 0099000A
.text C:\WINDOWS\System32\svchost.exe[1084] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 009A000A
.text C:\WINDOWS\System32\svchost.exe[1084] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 0098000C
.text C:\WINDOWS\System32\svchost.exe[1084] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 018F000A
.text C:\WINDOWS\System32\svchost.exe[1084] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 018E000A
.text C:\WINDOWS\Explorer.EXE[1688] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B6000A
.text C:\WINDOWS\Explorer.EXE[1688] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00C0000A
.text C:\WINDOWS\Explorer.EXE[1688] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B5000C
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
---- EOF - GMER 1.0.15 ----
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-16 19:47:35
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\jak\LOCALS~1\Temp\agkdipod.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xA25766B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xA2576574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xA2576A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xA257614C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xA257664E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xA257608C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xA25760F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xA257676E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xA257672E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xA25768AE]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[1084] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 0099000A
.text C:\WINDOWS\System32\svchost.exe[1084] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 009A000A
.text C:\WINDOWS\System32\svchost.exe[1084] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 0098000C
.text C:\WINDOWS\System32\svchost.exe[1084] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 018F000A
.text C:\WINDOWS\System32\svchost.exe[1084] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 018E000A
.text C:\WINDOWS\Explorer.EXE[1688] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B6000A
.text C:\WINDOWS\Explorer.EXE[1688] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00C0000A
.text C:\WINDOWS\Explorer.EXE[1688] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B5000C
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
---- EOF - GMER 1.0.15 ----
Bon, depuis ce dernier scan, mon ordi est planté...Ca a commencé qu'il ne voulait plus s'éteindre, ( il y avait un realtech.exe qui devait se terminer et qui ne répondait plus). Ensuite je l'ai rallumé plusieurs fois, mais à chaque fois, il ramait. Avast ne se mettait pas en route, impossible d'accéder au panneau de configuration, ni au gestionnaire de périphérique ni à aucun programme ( firefox, malwarebytes, photoshop) et puis là, depuis une heure, alors que j'ai essayé de le fermer, il en est à enregistrer les paramètres de windows. Je crois bien qu'il est méga planté ... Là, je suis sur l'ordi de ma femme.
Y'a-t-il un moyen de le récupérer ? ( en utilisant le disque OPTLE, ou bien la plateforme de récupération installée avec combofix ?)
Y'a-t-il un moyen de le récupérer ? ( en utilisant le disque OPTLE, ou bien la plateforme de récupération installée avec combofix ?)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
As tu forcé l'arrêt et essayer de démarrer ?
Nous avons quelques malwares de trouver dans tes rapports mais malheureusement pas encore ce que l'on souhaite.
Dans ce cas nettoyage avec OTLPE
* Relance-le et clique sur l'icône jaune OTLPE
* Sous Custom Scan box copie/colle le contenu ci dessous:
Cliques sur l'icône "Run Fix" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
Poste dans taé prochaine réponse le résultat et tient moi au courant de l'évolution stp.
C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.
Nous avons quelques malwares de trouver dans tes rapports mais malheureusement pas encore ce que l'on souhaite.
Dans ce cas nettoyage avec OTLPE
* Relance-le et clique sur l'icône jaune OTLPE
* Sous Custom Scan box copie/colle le contenu ci dessous:
:Services rk_remover ZDCndis5 PDRFRAME PDRELI PDFRAME) PDCOMP :Files C:\WINDOWS\SlantAdj.dll C:\Windows\system32\drivers\rk_remover.sys :Commands [emptytemp]
Cliques sur l'icône "Run Fix" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
Poste dans taé prochaine réponse le résultat et tient moi au courant de l'évolution stp.
C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.
Oui, j'ai forcé l'arrêt parce qu'il s'est planté une première fois à l'arrêt. Ensuite je l'ai redémarré mais ça ne s'est pas bien rallumé ( ça ramait et je n'avais accès à rien)
Je vais essayer de faire le nettoyage avec OTLPE en espérant que ça marche.
Merci de ta patience ep44.
Je vais essayer de faire le nettoyage avec OTLPE en espérant que ça marche.
Merci de ta patience ep44.
Désolé mais une erreur de script
Peut tu recommencer avec ceci
:OTL
DRV - [2010/04/15 08:59:46 | 000,050,176 | ---- | M] (eSage Lab) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\rk_remover.sys -- (rk_remover-boot)
DRV - File not found [Kernel | On_Demand] -- -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
:Files
C:\WINDOWS\SlantAdj.dll
C:\Windows\system32\drivers\rk_remover.sys
:Commands
[emptytemp]
Peut tu recommencer avec ceci
:OTL
DRV - [2010/04/15 08:59:46 | 000,050,176 | ---- | M] (eSage Lab) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\rk_remover.sys -- (rk_remover-boot)
DRV - File not found [Kernel | On_Demand] -- -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
:Files
C:\WINDOWS\SlantAdj.dll
C:\Windows\system32\drivers\rk_remover.sys
:Commands
[emptytemp]
Bonjour ep44
Argh ! Trop tard je l'avais déjà fait avec le premier script.
>>Pas d'amélioration bien sûr...
Je l'ai refait ce matin avec le nouveau script, je joins le rapport :
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\rk_remover-boot deleted successfully.
C:\WINDOWS\system32\drivers\rk_remover.sys moved successfully.
Service\Driver key ZDCndis5 not found.
Service\Driver key PDRELI not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PDFRAME deleted successfully.
Service\Driver key PDRFRAME not found.
Service\Driver key PDCOMP not found.
========== FILES ==========
File\Folder C:\WINDOWS\SlantAdj.dll not found.
File\Folder C:\Windows\system32\drivers\rk_remover.sys not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: jak
->Temp folder emptied: 591183 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 98413 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
Total Files Cleaned = 1.00 mb
OTLPE by OldTimer - Version 3.1.37.1 log created on 04172010_104337
Mais là non plus, pas de changement:
l'ordi rame au démarrage, la connexion est introuvable, avast est poussif ( 4 fonction sur 7 ) , l'horloge n'est pas à l'heure, aucun programme ne s'ouvre, et lorsque je veux l'éteindre, on me dit que " fin de programme , l'utilitaire réseau pour SAGEM se ferme", mais "le programme ne répond pas", donc "terminer maintenant", et là il plante; donc je fais reset, démarrer en mode sans échec pour pouvoir eteindre windows normalement.
Ne pourrais-je pas restaurer le système , j'ai un point de restauration qui date de juste après mon premier scan tdsskiller ?
Cela ne résoudrait-il pas ce problème ?
Argh ! Trop tard je l'avais déjà fait avec le premier script.
>>Pas d'amélioration bien sûr...
Je l'ai refait ce matin avec le nouveau script, je joins le rapport :
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\rk_remover-boot deleted successfully.
C:\WINDOWS\system32\drivers\rk_remover.sys moved successfully.
Service\Driver key ZDCndis5 not found.
Service\Driver key PDRELI not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PDFRAME deleted successfully.
Service\Driver key PDRFRAME not found.
Service\Driver key PDCOMP not found.
========== FILES ==========
File\Folder C:\WINDOWS\SlantAdj.dll not found.
File\Folder C:\Windows\system32\drivers\rk_remover.sys not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: jak
->Temp folder emptied: 591183 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 98413 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
Total Files Cleaned = 1.00 mb
OTLPE by OldTimer - Version 3.1.37.1 log created on 04172010_104337
Mais là non plus, pas de changement:
l'ordi rame au démarrage, la connexion est introuvable, avast est poussif ( 4 fonction sur 7 ) , l'horloge n'est pas à l'heure, aucun programme ne s'ouvre, et lorsque je veux l'éteindre, on me dit que " fin de programme , l'utilitaire réseau pour SAGEM se ferme", mais "le programme ne répond pas", donc "terminer maintenant", et là il plante; donc je fais reset, démarrer en mode sans échec pour pouvoir eteindre windows normalement.
Ne pourrais-je pas restaurer le système , j'ai un point de restauration qui date de juste après mon premier scan tdsskiller ?
Cela ne résoudrait-il pas ce problème ?
Bonjour jakezz,
Oui essaye de faire un restauration voir si c'est soucis s'améliore, il nous faudras refaire certaine chose par la suite.
Oui essaye de faire un restauration voir si c'est soucis s'améliore, il nous faudras refaire certaine chose par la suite.
En fait je ne peux pas faire de restauration, parce que le mode restauration a été désactivé et que je ne peux pas le réactiver ( l'ordi plante à chaque fois que j'essaie d'aller dans le système). et en mode sans échec (qui marche très bien) on ne peut pas activer la restauration...
Qu'est-ce que je peux faire ?
Qu'est-ce que je peux faire ?
oui, je dois avoir ça...Je le lance et je répare ?
Avant, y a t-il des choses à sauvegarder ( en mode sans échec, je peux copier plein de trucs sur un disque externe) ?
Avant, y a t-il des choses à sauvegarder ( en mode sans échec, je peux copier plein de trucs sur un disque externe) ?
Pour tes sauvegardes je dirais regarde ma signature :)
Mais vu que ton PC est encore pas très claires attention a ce que tu sauvegarde.
Pour la réparation suit ce sujet que je trouve très bien fait :)
http://www.informatruc.com/reparer-windows-xp-2
Comme il est dit ne pas faire le premier réparer que tu vois, suit le tutoriel.
Mais vu que ton PC est encore pas très claires attention a ce que tu sauvegarde.
Pour la réparation suit ce sujet que je trouve très bien fait :)
http://www.informatruc.com/reparer-windows-xp-2
Comme il est dit ne pas faire le premier réparer que tu vois, suit le tutoriel.
Bon, j'ai réparé windows comme tu me l'as indiqué et mon ordi refonctionne.
Le problème c'est que je me suis retrouvé en service pack1, alors j'ai dû réinstaller le pack 2 et le pack 3. Avast a arrêté 1 virus pendant l'installation du pack 2 ( \system32\trz56.tmp ) et ça a failli faire foirer l'installation. Il en a arrêté un autre pendant le téléchargement du pack3 ( \system32\annoupr.dll ) .
Ensuite après l'installation du pack 3 j'ai eu un problème pour éteindre l'ordi et le redémarrer, explorer.exe n'avait pas terminé et empêchait windows de s'éteindre. Finalement, j'ai réussi à le redémarrer en "reset" et depuis, il a l'air de fonctionner normalement.
Mais j'imagine qu'il n'est toujours pas dévérolé et que mon rootkit je-ne-sais-plus-quoi est toujours présent.
Qu'est-ce que je fais maintenant ?
Le problème c'est que je me suis retrouvé en service pack1, alors j'ai dû réinstaller le pack 2 et le pack 3. Avast a arrêté 1 virus pendant l'installation du pack 2 ( \system32\trz56.tmp ) et ça a failli faire foirer l'installation. Il en a arrêté un autre pendant le téléchargement du pack3 ( \system32\annoupr.dll ) .
Ensuite après l'installation du pack 3 j'ai eu un problème pour éteindre l'ordi et le redémarrer, explorer.exe n'avait pas terminé et empêchait windows de s'éteindre. Finalement, j'ai réussi à le redémarrer en "reset" et depuis, il a l'air de fonctionner normalement.
Mais j'imagine qu'il n'est toujours pas dévérolé et que mon rootkit je-ne-sais-plus-quoi est toujours présent.
Qu'est-ce que je fais maintenant ?
Bon et bien une bonne nouvelle si le PC réagit mieux :)
Pour la suite,
Je te conseille de changer d'antivirus, et d'opter pour Avira Antivir.
Avira est beaucoup plus actif qu'Avast.
Quand Avira Antivir détecte quelque chose (selon sa base de données) il ne le laisse pas s'installer.
Avast certes bloque certaines choses (selon sa base de données) mais malheureusement pas tout.
De plus Avira intègre plus rapidement dans sa base de données les nouvelles menaces.
Regarde ici pour son installation :
http://www.swl1f.net/viewtopic.php?f=14&t=590#b
Une fois installé et paramétré fait un scan et poste le rapport, refais aussi stp un scan avec GMER.
Pour la suite,
Je te conseille de changer d'antivirus, et d'opter pour Avira Antivir.
Avira est beaucoup plus actif qu'Avast.
Quand Avira Antivir détecte quelque chose (selon sa base de données) il ne le laisse pas s'installer.
Avast certes bloque certaines choses (selon sa base de données) mais malheureusement pas tout.
De plus Avira intègre plus rapidement dans sa base de données les nouvelles menaces.
Regarde ici pour son installation :
http://www.swl1f.net/viewtopic.php?f=14&t=590#b
Une fois installé et paramétré fait un scan et poste le rapport, refais aussi stp un scan avec GMER.
Salut EP44,
j'ai remplacé avast par Avira Antivirus. J'ai l'impression qu'il a bien travaillé, il a trouvé le virus TR/Rootkit.gen entre autres ;).
Je mets le scan ci-dessous. Y a t-il quelque chose à faire pour supprimer ce qu'il a trouvé ?
Pour ce qui est de refaire un scan Gmer, c'est vraiment indispensable ? Je t'avoue que je suis pas très chaud après le désastre qu'a provoqué le premier scan...
M'enfin, si tu me dis qu'il faut le faire, je le ferai ;)
Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 18 avril 2010 11:12
La recherche porte sur 2011046 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : JAK-TE6R9BJNHDR
Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 09:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 08:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 08:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 05:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 09:08:43
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 09:08:58
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 09:09:02
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 09:09:09
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 09:09:21
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 09:09:21
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 09:09:21
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 09:09:21
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 09:09:21
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 09:09:21
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 09:09:21
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 09:09:21
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 09:09:21
VBASE014.VDF : 7.10.6.91 2048 Bytes 15/04/2010 09:09:22
VBASE015.VDF : 7.10.6.92 2048 Bytes 15/04/2010 09:09:22
VBASE016.VDF : 7.10.6.93 2048 Bytes 15/04/2010 09:09:22
VBASE017.VDF : 7.10.6.94 2048 Bytes 15/04/2010 09:09:22
VBASE018.VDF : 7.10.6.95 2048 Bytes 15/04/2010 09:09:22
VBASE019.VDF : 7.10.6.96 2048 Bytes 15/04/2010 09:09:22
VBASE020.VDF : 7.10.6.97 2048 Bytes 15/04/2010 09:09:22
VBASE021.VDF : 7.10.6.98 2048 Bytes 15/04/2010 09:09:22
VBASE022.VDF : 7.10.6.99 2048 Bytes 15/04/2010 09:09:22
VBASE023.VDF : 7.10.6.100 2048 Bytes 15/04/2010 09:09:22
VBASE024.VDF : 7.10.6.101 2048 Bytes 15/04/2010 09:09:22
VBASE025.VDF : 7.10.6.102 2048 Bytes 15/04/2010 09:09:22
VBASE026.VDF : 7.10.6.103 2048 Bytes 15/04/2010 09:09:22
VBASE027.VDF : 7.10.6.104 2048 Bytes 15/04/2010 09:09:23
VBASE028.VDF : 7.10.6.105 2048 Bytes 15/04/2010 09:09:23
VBASE029.VDF : 7.10.6.106 2048 Bytes 15/04/2010 09:09:23
VBASE030.VDF : 7.10.6.107 2048 Bytes 15/04/2010 09:09:23
VBASE031.VDF : 7.10.6.115 78848 Bytes 16/04/2010 09:09:23
Version du moteur : 8.2.1.220
AEVDF.DLL : 8.1.1.3 106868 Bytes 18/04/2010 09:09:36
AESCRIPT.DLL : 8.1.3.26 1286521 Bytes 18/04/2010 09:09:35
AESCN.DLL : 8.1.5.0 127347 Bytes 18/04/2010 09:09:34
AESBX.DLL : 8.1.2.1 254323 Bytes 18/04/2010 09:09:36
AERDL.DLL : 8.1.4.6 541043 Bytes 18/04/2010 09:09:33
AEPACK.DLL : 8.2.1.1 426358 Bytes 18/04/2010 09:09:32
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 18/04/2010 09:09:31
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 18/04/2010 09:09:30
AEHELP.DLL : 8.1.11.3 242039 Bytes 18/04/2010 09:09:25
AEGEN.DLL : 8.1.3.7 373106 Bytes 18/04/2010 09:09:25
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 05:38:26
AECORE.DLL : 8.1.13.1 188790 Bytes 18/04/2010 09:09:24
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 05:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 13:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 18/04/2010 09:09:37
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 13:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 13:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 06:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 13:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 11:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 14:58:32
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, G:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Début de la recherche : dimanche 18 avril 2010 11:12
La recherche d'objets cachés commence.
'41400' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WLANUTL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ESPmain.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EEventManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Tablet.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'32' processus ont été contrôlés avec '32' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '56' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{675546B4-6686-4FFD-91D2-3FF5906D1C52}\RP2\A0000089.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
C:\WINDOWS\system32\drivers\osyagjqp.sys
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
C:\_OTM\MovedFiles\04132010_150544\c_docume~1\jak\applic~1\erase_me396185.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\451c.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\erase_me292371.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\erase_me642986.exe
[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.262144
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\erase_me936998.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
Recherche débutant dans 'D:\' <D>
Recherche débutant dans 'G:\' <WDC USB2>
G:\lektora.exe
[RESULTAT] Contient le modèle de détection du dropper DR/Skybag.C
G:\System Volume Information\_restore{C6BC3A95-99A2-40EC-A4F3-46D1A4768B25}\RP447\A0066727.exe
[0] Type d'archive: NSIS
--> [TempDir]/rkv.dat
[RESULTAT] Contient le modèle de détection du logiciel publicitaire ADWARE/Adware.Gen
G:\Macromedia\IconForge\Test.exe
[RESULTAT] Contient le code suspect : HEUR/Malware
G:\comiX\MediaCoder-PSP-0.7.1.4400.exe
[0] Type d'archive: NSIS
--> [TempDir]/rkv.dat
[RESULTAT] Contient le modèle de détection du logiciel publicitaire ADWARE/Adware.Gen
Début de la désinfection :
C:\System Volume Information\_restore{675546B4-6686-4FFD-91D2-3FF5906D1C52}\RP2\A0000089.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bfad992.qua' !
C:\WINDOWS\system32\drivers\osyagjqp.sys
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c43d9d5.qua' !
C:\_OTM\MovedFiles\04132010_150544\c_docume~1\jak\applic~1\erase_me396185.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c2bd9d4.qua' !
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\451c.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bfbd997.qua' !
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\erase_me292371.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4dae9f65.qua' !
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\erase_me642986.exe
[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.262144
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4da5556d.qua' !
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\erase_me936998.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c2bd9d5.qua' !
G:\lektora.exe
[RESULTAT] Contient le modèle de détection du dropper DR/Skybag.C
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c35d9c8.qua' !
G:\System Volume Information\_restore{C6BC3A95-99A2-40EC-A4F3-46D1A4768B25}\RP447\A0066727.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bfad993.qua' !
G:\Macromedia\IconForge\Test.exe
[RESULTAT] Contient le code suspect : HEUR/Malware
[REMARQUE] Le résultat positif a été classé comme suspect.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3dd9ca.qua' !
G:\comiX\MediaCoder-PSP-0.7.1.4400.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c2ed9cb.qua' !
Fin de la recherche : dimanche 18 avril 2010 12:05
Temps nécessaire: 51:23 Minute(s)
La recherche a été effectuée intégralement
11551 Les répertoires ont été contrôlés
367321 Des fichiers ont été contrôlés
10 Des virus ou programmes indésirables ont été trouvés
1 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
11 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
367309 Fichiers non infectés
2077 Les archives ont été contrôlées
1 Avertissements
12 Consignes
41400 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
j'ai remplacé avast par Avira Antivirus. J'ai l'impression qu'il a bien travaillé, il a trouvé le virus TR/Rootkit.gen entre autres ;).
Je mets le scan ci-dessous. Y a t-il quelque chose à faire pour supprimer ce qu'il a trouvé ?
Pour ce qui est de refaire un scan Gmer, c'est vraiment indispensable ? Je t'avoue que je suis pas très chaud après le désastre qu'a provoqué le premier scan...
M'enfin, si tu me dis qu'il faut le faire, je le ferai ;)
Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 18 avril 2010 11:12
La recherche porte sur 2011046 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : JAK-TE6R9BJNHDR
Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 09:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 08:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 08:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 05:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 09:08:43
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 09:08:58
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 09:09:02
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 09:09:09
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 09:09:21
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 09:09:21
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 09:09:21
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 09:09:21
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 09:09:21
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 09:09:21
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 09:09:21
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 09:09:21
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 09:09:21
VBASE014.VDF : 7.10.6.91 2048 Bytes 15/04/2010 09:09:22
VBASE015.VDF : 7.10.6.92 2048 Bytes 15/04/2010 09:09:22
VBASE016.VDF : 7.10.6.93 2048 Bytes 15/04/2010 09:09:22
VBASE017.VDF : 7.10.6.94 2048 Bytes 15/04/2010 09:09:22
VBASE018.VDF : 7.10.6.95 2048 Bytes 15/04/2010 09:09:22
VBASE019.VDF : 7.10.6.96 2048 Bytes 15/04/2010 09:09:22
VBASE020.VDF : 7.10.6.97 2048 Bytes 15/04/2010 09:09:22
VBASE021.VDF : 7.10.6.98 2048 Bytes 15/04/2010 09:09:22
VBASE022.VDF : 7.10.6.99 2048 Bytes 15/04/2010 09:09:22
VBASE023.VDF : 7.10.6.100 2048 Bytes 15/04/2010 09:09:22
VBASE024.VDF : 7.10.6.101 2048 Bytes 15/04/2010 09:09:22
VBASE025.VDF : 7.10.6.102 2048 Bytes 15/04/2010 09:09:22
VBASE026.VDF : 7.10.6.103 2048 Bytes 15/04/2010 09:09:22
VBASE027.VDF : 7.10.6.104 2048 Bytes 15/04/2010 09:09:23
VBASE028.VDF : 7.10.6.105 2048 Bytes 15/04/2010 09:09:23
VBASE029.VDF : 7.10.6.106 2048 Bytes 15/04/2010 09:09:23
VBASE030.VDF : 7.10.6.107 2048 Bytes 15/04/2010 09:09:23
VBASE031.VDF : 7.10.6.115 78848 Bytes 16/04/2010 09:09:23
Version du moteur : 8.2.1.220
AEVDF.DLL : 8.1.1.3 106868 Bytes 18/04/2010 09:09:36
AESCRIPT.DLL : 8.1.3.26 1286521 Bytes 18/04/2010 09:09:35
AESCN.DLL : 8.1.5.0 127347 Bytes 18/04/2010 09:09:34
AESBX.DLL : 8.1.2.1 254323 Bytes 18/04/2010 09:09:36
AERDL.DLL : 8.1.4.6 541043 Bytes 18/04/2010 09:09:33
AEPACK.DLL : 8.2.1.1 426358 Bytes 18/04/2010 09:09:32
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 18/04/2010 09:09:31
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 18/04/2010 09:09:30
AEHELP.DLL : 8.1.11.3 242039 Bytes 18/04/2010 09:09:25
AEGEN.DLL : 8.1.3.7 373106 Bytes 18/04/2010 09:09:25
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 05:38:26
AECORE.DLL : 8.1.13.1 188790 Bytes 18/04/2010 09:09:24
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 05:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 13:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 18/04/2010 09:09:37
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 13:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 13:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 06:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 13:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 11:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 14:58:32
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, G:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Début de la recherche : dimanche 18 avril 2010 11:12
La recherche d'objets cachés commence.
'41400' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WLANUTL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ESPmain.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EEventManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Tablet.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'32' processus ont été contrôlés avec '32' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '56' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{675546B4-6686-4FFD-91D2-3FF5906D1C52}\RP2\A0000089.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
C:\WINDOWS\system32\drivers\osyagjqp.sys
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
C:\_OTM\MovedFiles\04132010_150544\c_docume~1\jak\applic~1\erase_me396185.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\451c.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\erase_me292371.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\erase_me642986.exe
[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.262144
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\erase_me936998.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
Recherche débutant dans 'D:\' <D>
Recherche débutant dans 'G:\' <WDC USB2>
G:\lektora.exe
[RESULTAT] Contient le modèle de détection du dropper DR/Skybag.C
G:\System Volume Information\_restore{C6BC3A95-99A2-40EC-A4F3-46D1A4768B25}\RP447\A0066727.exe
[0] Type d'archive: NSIS
--> [TempDir]/rkv.dat
[RESULTAT] Contient le modèle de détection du logiciel publicitaire ADWARE/Adware.Gen
G:\Macromedia\IconForge\Test.exe
[RESULTAT] Contient le code suspect : HEUR/Malware
G:\comiX\MediaCoder-PSP-0.7.1.4400.exe
[0] Type d'archive: NSIS
--> [TempDir]/rkv.dat
[RESULTAT] Contient le modèle de détection du logiciel publicitaire ADWARE/Adware.Gen
Début de la désinfection :
C:\System Volume Information\_restore{675546B4-6686-4FFD-91D2-3FF5906D1C52}\RP2\A0000089.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bfad992.qua' !
C:\WINDOWS\system32\drivers\osyagjqp.sys
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c43d9d5.qua' !
C:\_OTM\MovedFiles\04132010_150544\c_docume~1\jak\applic~1\erase_me396185.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c2bd9d4.qua' !
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\451c.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bfbd997.qua' !
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\erase_me292371.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4dae9f65.qua' !
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\erase_me642986.exe
[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.262144
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4da5556d.qua' !
C:\_OTM\MovedFiles\04132010_151125\c_docume~1\jak\applic~1\erase_me936998.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c2bd9d5.qua' !
G:\lektora.exe
[RESULTAT] Contient le modèle de détection du dropper DR/Skybag.C
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c35d9c8.qua' !
G:\System Volume Information\_restore{C6BC3A95-99A2-40EC-A4F3-46D1A4768B25}\RP447\A0066727.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bfad993.qua' !
G:\Macromedia\IconForge\Test.exe
[RESULTAT] Contient le code suspect : HEUR/Malware
[REMARQUE] Le résultat positif a été classé comme suspect.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3dd9ca.qua' !
G:\comiX\MediaCoder-PSP-0.7.1.4400.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c2ed9cb.qua' !
Fin de la recherche : dimanche 18 avril 2010 12:05
Temps nécessaire: 51:23 Minute(s)
La recherche a été effectuée intégralement
11551 Les répertoires ont été contrôlés
367321 Des fichiers ont été contrôlés
10 Des virus ou programmes indésirables ont été trouvés
1 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
11 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
367309 Fichiers non infectés
2077 Les archives ont été contrôlées
1 Avertissements
12 Consignes
41400 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Bonjour Jakezz,
Très bien Avira Antivir à bien travaillé ;)
Tu peux vider la quarantaine de Avira.
Pour la suite si gmer te fait peur laisse tomber, nous allons faire d'autres vérifications.
Télécharge OTL sur ton Bureau.
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/
* Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et de le laisser travailler.
* Lorsque la fenêtre apparaît, cochez Rapport minimal En bas de la fenêtre:
* Coche les cases Recherche Lop et Recherche purity.
* Sous la zone "Personnalisation", copie/colle ceci :
* Clique sur le bouton Analyse. Ne change aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
* Une fois l'analyse terminée, cela ouvrira deux fenêtres du Bloc-notes Windows : OTL.txt et Extras.txt. Ils sont sauvegardés au même endroit que OtL.
* Rends toi ensuite sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp
Très bien Avira Antivir à bien travaillé ;)
Tu peux vider la quarantaine de Avira.
Pour la suite si gmer te fait peur laisse tomber, nous allons faire d'autres vérifications.
Télécharge OTL sur ton Bureau.
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/
* Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et de le laisser travailler.
* Lorsque la fenêtre apparaît, cochez Rapport minimal En bas de la fenêtre:
* Coche les cases Recherche Lop et Recherche purity.
* Sous la zone "Personnalisation", copie/colle ceci :
netsvcs %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys cdrom.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\*. /mp /s
* Clique sur le bouton Analyse. Ne change aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
* Une fois l'analyse terminée, cela ouvrira deux fenêtres du Bloc-notes Windows : OTL.txt et Extras.txt. Ils sont sauvegardés au même endroit que OtL.
* Rends toi ensuite sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp
Merci de comprendre que "chat échaudé craint l'eau froide" et de m'éviter gmer ;)
voici le lien pour OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj201004/cijq04uAOy.txt
et pour EXTRAS.txt : http://www.cijoint.fr/cjlink.php?file=cj201004/cij4haeYdM.txt
voici le lien pour OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj201004/cijq04uAOy.txt
et pour EXTRAS.txt : http://www.cijoint.fr/cjlink.php?file=cj201004/cij4haeYdM.txt
Pas de soucis je pense que c'est saloperie n'est plus présente.
Par contre il nous reste encore quelques petites choses.
Je vais te donner un peu de boulot :)
Télécharge USBFIX sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici :
https://www.ionos.fr/?affiliate_id=77097
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur ton bureau .
* Choisis l'option 2 (Suppression)
* Laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaîtra.
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
* Tuto : http://pagesperso-orange.fr/nostools/tuto_usbfix2.html
Ensuite :
Double-clique sur OTM.exe déjà présent sur ton Bureau pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :
* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.
Ensuite :
Télécharge TFC de OldTimer : http://www.geekstogo.com/forum/files/file/187-tfc-temp-file-cleaner-by-oldtimer/
* Enregistre-le sur ton Bureau.
* Clique avec le bouton droit de ta souris et choisis "Exécuter en tant qu'Administrateur"
* Choisis ensuite Start.
Et pour finir refais un scan en ligne avec Kapresky.
Par contre il nous reste encore quelques petites choses.
Je vais te donner un peu de boulot :)
Télécharge USBFIX sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici :
https://www.ionos.fr/?affiliate_id=77097
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur ton bureau .
* Choisis l'option 2 (Suppression)
* Laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaîtra.
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
* Tuto : http://pagesperso-orange.fr/nostools/tuto_usbfix2.html
Ensuite :
Double-clique sur OTM.exe déjà présent sur ton Bureau pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :
go :Processes explorer.exe :Files C:\WINDOWS\System32\_006361_.tmp.dll C:\WINDOWS\System32\_006329_.tmp.dll :Commands [emptytemp] [Reboot]
* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.
Ensuite :
Télécharge TFC de OldTimer : http://www.geekstogo.com/forum/files/file/187-tfc-temp-file-cleaner-by-oldtimer/
* Enregistre-le sur ton Bureau.
* Clique avec le bouton droit de ta souris et choisis "Exécuter en tant qu'Administrateur"
* Choisis ensuite Start.
Et pour finir refais un scan en ligne avec Kapresky.
