Virus ? Rapport Cijoint + MBAM Résolu/Fermé

Question

Bonjour, je pense avoir un problème avec mon PC. J'utilise actuellement windows 7 sur mon ordinateur et avast free comme antivirus. De nombreuses fois, mon antivirus m'a affiché qu'un virus fut détécté dans mon disque C.  
Je vous donne le lien de mon rapport ZHPDiag.txt : http://www.cijoint.fr/cjlink.php?file=cj201005/cijSLOJCzC.txt 

SVP aidez moi

Utilisateur anonyme · Answer

Bonjour

1)Désactivation UAC pour Seven

http://www.forum-seven.com/forum/

Descendre le curseur jusqu'à :  Ne jamais m'avertir


2)* Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7)  sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. 

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option  "Nettoyer"
  et sur [entrée]  .

* Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/ad_remover.html images (Recherche):    http://pagesperso-orange.fr/NosTools/tuto_adr_2.html


@+

Jo-57 · Answer

Mais est-ce que ces infections sont graves ?

Utilisateur anonyme · Answer

Re

Tu as installé des barres d'outils néfastes:

Citation:Elles peuvent espionner votre navigation et récupérer des informations personnelles, c'est pour cela qu'elles sont considérées comme des spywares. 

@+

Jo-57 · Answer

Ah d'accord mais avast m'informais que j'avais des infections aussi dans C:/WOW64 .... Est-ce grave ?

Utilisateur anonyme · Answer

Re

Fait  ceci;merci

@+

Jo-57 · Answer

Voilà : .
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:01:37 le 28/05/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows 7 Édition Familiale Premium  ( - X64)
Nom du PC: JOHAN-PC (Acer Aspire X1301)
Utilisateur actuel: Johan
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Program Files (x86)\Windows Live\Messenger\Msimg32.dll
C:\Program Files (x86)\Windows Live\Messenger\Riched20.dll
C:\Users\Johan\AppData\LocalLow\FunWebProducts
C:\Users\Johan\AppData\LocalLow\MyWebSearch

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\AppDataLow\Software\Fun Web Products
HKCU\Software\AppDataLow\Software\FunWebProducts
HKCU\Software\AppDataLow\Software\MyWebSearch
HKCU\Software\FunWebProducts
HKLM\Software\Classes\ComObject.DeskbarEnabler
HKLM\Software\Classes\ComObject.DeskbarEnabler.1
HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook
HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1
HKLM\Software\Mozilla\Firefox\Extensions|m3ffxtbr@mywebsearch.com
.
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 8.0.7600.16385 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 62 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2518 Octet(s)
.
Fin à: 18:04:00, 28/05/2010
.
============== E.O.F - CLEAN[1] ==============

Utilisateur anonyme · Answer

Re 

Comme tu disposes de Malwaresbytes ,lance un scan complet et poste moi le rapport ;merci. 

@+ 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

Jo-57 · Answer

Je le fais tout de suite mais j'ai une autre question : Avast détecte sur mon ordinateur un virus appelé Win32 Dracur. Le virus est mis automatiquement en quarantaine mais je ne peux pas le supprimer. Comment faire ?

Utilisateur anonyme · Answer

Re

passe à Malwaresbytes ;merci

Jo-57 · Answer

Voilà j'ai le rapport : Malwarebytes' Anti-Malware 1.46 
www.malwarebytes.org 

Version de la base de données: 4151 

Windows 6.1.7600 
Internet Explorer 8.0.7600.16385 

28/05/2010 19:02:19 
mbam-log-2010-05-28 (19-02-19).txt 

Type d'examen: Examen complet (C:\|D:\|) 
Elément(s) analysé(s): 236479 
Temps écoulé: 24 minute(s), 37 seconde(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 0 
Valeur(s) du Registre infectée(s): 0 
Elément(s) de données du Registre infecté(s): 0 
Dossier(s) infecté(s): 0 
Fichier(s) infecté(s): 9 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Valeur(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Elément(s) de données du Registre infecté(s): 
(Aucun élément nuisible détecté) 

Dossier(s) infecté(s): 
(Aucun élément nuisible détecté) 

Fichier(s) infecté(s): 
C:\Ad-Remover\Quarantine\C\Program Files (x86)\Windows Live\Messenger\Riched20.dll.vir (Adware.MyWebSearch) -> Quarantined and deleted successfully. 
C:\Windows\System32\dmdlgs32.dllg73j998h32.dll (Trojan.Tracur) -> Quarantined and deleted successfully. 
C:\Windows\System32\dmdlgs32.dllg73j998h32.dll4znxfatwu98r632.dll (Trojan.Tracur) -> Quarantined and deleted successfully. 
C:\Windows\System32\dmdlgs32.dllg73j998h32.dll4znxfatwu98r632.dll7mlmlev32.dll (Trojan.Tracur) -> Quarantined and deleted successfully. 
C:\Windows\System32\dmdlgs32.dllg73j998h32.dll4znxfatwu98r632.dll7mlmlev32.dlllc19pe32.dll (Trojan.Tracur) -> Quarantined and deleted successfully. 
C:\Windows\SysWOW64\dmdlgs32.dllg73j998h32.dll (Trojan.Tracur) -> Quarantined and deleted successfully. 
C:\Windows\SysWOW64\dmdlgs32.dllg73j998h32.dll4znxfatwu98r632.dll (Trojan.Tracur) -> Quarantined and deleted successfully. 
C:\Windows\SysWOW64\dmdlgs32.dllg73j998h32.dll4znxfatwu98r632.dll7mlmlev32.dll (Trojan.Tracur) -> Quarantined and deleted successfully. 
C:\Windows\SysWOW64\dmdlgs32.dllg73j998h32.dll4znxfatwu98r632.dll7mlmlev32.dlllc19pe32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.

Vous pouvez m'aider ?

Utilisateur anonyme · Answer

Re 1)Vide la quarantaine de Malwaresbytes et de ton antivirus. 2)C - Ccleaner : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ .enregistres le sur le bureau .double-cliques sur le fichier pour lancer l'installation .sur la fenêtre de l'installation langage bien choisir français et OK .cliques sur suivant .lis la licence et j'accepte .cliques sur suivant .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner .cliques sur installer .cliques sur fermer .double-cliques sur l'icône de Ccleaner pour l'ouvrir .une fois ouvert tu cliques sur option et puis avancé .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures .cliques sur nettoyeur .cliques sur windows et dans la colonne avancé . coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la .cliques sur analyse une fois l'analyse terminé .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien .clique maintenant sur registre et puis sur rechercher les erreurs .laisse tout coché et clique sur réparer les erreurs sélectionnées .il te demande de sauvegarder OUI .tu lui donnes un nom pour pouvoir la retrouver et enregistre .clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK .il supprime et fermer tu vérifies en relançant rechercher les erreurs .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch .tu peux fermer Ccleaner. Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm 3)As tu encore des alertes de ton antivirus? @+

Jo-57 · Answer

Bonjour, J'ai effectué tout ce que vous m'avez dit et pourtant quand j'active avast, il m'affiche qu'un logiciel malveillant a été bloqué. Il me marque : 
Objet : C:/Windows/SysWOW64/EhStorShell32.dll
Infection : Win32 : Dracur-B

Et ensuite j'ai décidé de lancé un scan rapide à partir d'avast et voici mon rapport : 

Il y a eu 4 menaces détéctées : 
C:/Windows/SysWOW64/EhStorShell32.dll avec une sévérité haute et la menace est Win32 : Dracur-B.
C:/Windows/SysWOW64/EhStorShell32.dll avec une sévérité haute et la menace est Win32 : Dracur-B.
C:/Windows/SysWOW64/elsTrans32.dll avec une sévérité haute et la menace est Win32 : Dracur-B.
C:/Windows/SysWOW64/elsTrans32.dll avec une sévérité haute et la menace est Win32 : Dracur-B.

Merci de me répondre

Utilisateur anonyme · Answer

Re 

Editer:

C:/Windows/SysWOW64 est légitime sur Seven 64 

Fait un scan en ligne pour vérification:
http://www.bitdefender.fr/scanner/online/free.html


@+

On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

Jo-57 · Answer

Re, je me suis renseigné et on m'a dit que le dossier SysWOW64 correspondait à "WOW" qui est "Windows On Windows", il s'agit de la couche de compatibilité 32 bits pour Windows 64bits. Si je supprimes ce dossier mes applications 32bits ne fonctionneront plus. Ceci peut-être dangereux pour mes applications non ?

Utilisateur anonyme · Answer

Bonsoir

Procèdes tu à ce scan Online à partir d'Internet Explorer?

@+

Jo-57 · Answer

Oui

Utilisateur anonyme · Answer

Re

Acceptes tu tout ce qu'il t'est demandé?

Jo-57 · Answer

Oui et il m'affiche un echec dans le lancement de l'analyse.

Utilisateur anonyme · Answer

Re  

Ok;procédons autrement:  

1)Désinstalle Avast.  
Ensuite passe cet utilitaire.  
Utilitaire de désinstallation d'Avast! : aswClear.exe   

https://support.avast.com/avast_maintenance_page?startURL=%2Findex.php%3Flanguageid%3D4%26group%3Dfre%26_m%3Dknowledgebase%26_a%3Dviewarticle%26kbarticleid%3D452  


2)Télécharge : http://www.commentcamarche.net/download/telecharger-55-antivir sur ton 
bureau. 

--> Installe Antivir  et mets-le à jour.   

--> Double-clique sur l'icône d'AntiVir (Parapluie) dans la barre des tâches.   

--> Dans AntiVir, choisis Outils  puis Configuration .   

--> Coche Mode Expert  et coche Rech. Rootkit au dém. de la recherche  à droite dans  Autres réglages  puis valide.   

--> Fais un scan complet, clique sur Tout réparer  si AntiVir trouve quelque chose et poste le rapport.   
Tutoriel sur AntiVir.   
Pourquoi changer ? Avast-Antivir  

 Comment installer et utiliser AntiVir :   
http://www.libellules.ch/tuto_antivir.php  

Configuration de Antivir (Merci Nico)  :   

clic droit sur son icône dans la barre des taches et sélectionner Configurer Antivir.   

Cocher la case : Mode Expert.   

=> Cliquer sur Scanner dans le volet de gauche :   

> Dans "Fichiers" sélectionner Tous les fichiers.   

> Dans procédure de recherche, cocher Autoriser l'arrêt, et dans "priorité scanner" sélectionner Elevé.   

> Dans "Autres réglages" cocher toutes les cases.   

NE SURTOUT PAS OUBLIER LA RECHERCHE DES ROOTKIT QUI EST TRES IMPORTANTE !    

=> Cliquer sur "Recherche" dans le volet de gauche et appliquer les mêmes paramètres que précédemment.   

=> Dérouler "Recherche" en cliquant sur le +. Cliquer sur "Heuristique" :   

> Cocher "Heuristique de Macro Virus" et "Heuristique fichier Win32" avec degré d'identification  ELEVE !   

=> Dans le volet de gauche, dérouler "Guard" puis dérouler "Recherche" :   

> Cocher "Heuristique de Macro Virus" et "Heuristique fichier Win32" avec degré d'identification  ELEVE !   

Tiens moi au courant ;merci  

@+  

On a tous été un jour débutant dans quelque chose.  
Mais le savoir est la récompense de l'assiduité.

Utilisateur anonyme · Answer

Re

Google est ton ami:https://www.avast.com/fr-fr/uninstall-utility

@+

Utilisateur anonyme · Answer

Re 

As tu pris le temps de lire le tuto:
Comment installer et utiliser AntiVir : 
http://www.libellules.ch/tuto_antivir.php

Utilisateur anonyme · Answer

Bonjour

Si tu as bien installé Antivir;lance un scan complet et poste moi le rapport à l'issue;merci

@+

Utilisateur anonyme · Answer

Re

Enregistre ce rapport en extension .txt

@+

Jo-57 · Answer

Voilà le rapport de tous mes disques de l'ordinateur : Avira AntiVir Personal Date de création du fichier de rapport : dimanche 30 mai 2010 12:55 La recherche porte sur 2170719 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista 64 Bit Version de Windows : (plain) [6.1.7600] Mode Boot : Démarré normalement Identifiant : Johan Nom de l'ordinateur : JOHAN-PC Informations de version : BUILD.DAT : 9.0.0.74 Bytes 04/12/2009 13:56:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 09:25:46 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 08:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 08:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 05:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:25:14 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 20:25:19 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 20:25:20 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 20:25:23 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 20:25:27 VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 20:25:27 VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 20:25:27 VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 20:25:27 VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 20:25:27 VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 20:25:27 VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 20:25:27 VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 20:25:27 VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 20:25:27 VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 20:25:27 VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 20:25:28 VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 20:25:28 VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 20:25:28 VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 20:25:28 VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 20:25:28 VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 20:25:29 VBASE021.VDF : 7.10.7.51 118272 Bytes 06/05/2010 20:25:29 VBASE022.VDF : 7.10.7.75 404992 Bytes 10/05/2010 20:25:30 VBASE023.VDF : 7.10.7.100 125440 Bytes 13/05/2010 20:25:30 VBASE024.VDF : 7.10.7.119 177664 Bytes 17/05/2010 20:25:30 VBASE025.VDF : 7.10.7.139 129024 Bytes 19/05/2010 20:25:30 VBASE026.VDF : 7.10.7.157 145920 Bytes 21/05/2010 20:25:31 VBASE027.VDF : 7.10.7.173 147456 Bytes 25/05/2010 20:25:31 VBASE028.VDF : 7.10.7.189 120320 Bytes 27/05/2010 20:25:31 VBASE029.VDF : 7.10.7.190 2048 Bytes 27/05/2010 20:25:31 VBASE030.VDF : 7.10.7.191 2048 Bytes 27/05/2010 20:25:31 VBASE031.VDF : 7.10.7.195 65536 Bytes 28/05/2010 20:25:31 Version du moteur : 8.2.1.242 AEVDF.DLL : 8.1.2.0 106868 Bytes 29/05/2010 20:25:36 AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 29/05/2010 20:25:36 AESCN.DLL : 8.1.6.1 127347 Bytes 29/05/2010 20:25:36 AESBX.DLL : 8.1.3.1 254324 Bytes 29/05/2010 20:25:37 AERDL.DLL : 8.1.4.6 541043 Bytes 29/05/2010 20:25:35 AEPACK.DLL : 8.2.1.1 426358 Bytes 29/05/2010 20:25:35 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 29/05/2010 20:25:35 AEHEUR.DLL : 8.1.1.27 2670967 Bytes 29/05/2010 20:25:34 AEHELP.DLL : 8.1.11.3 242039 Bytes 29/05/2010 20:25:32 AEGEN.DLL : 8.1.3.9 377203 Bytes 29/05/2010 20:25:32 AEEMU.DLL : 8.1.2.0 393588 Bytes 29/05/2010 20:25:32 AECORE.DLL : 8.1.15.3 192886 Bytes 29/05/2010 20:25:32 AEBB.DLL : 8.1.1.0 53618 Bytes 29/05/2010 20:25:31 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 13:13:31 AVREP.DLL : 8.0.0.7 159784 Bytes 29/05/2010 20:25:37 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 13:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 13:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 06:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 13:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 11:44:26 RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 14:58:32 Configuration pour la recherche actuelle : Nom de la tâche...............................: Sélection manuelle Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\folder.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, E:, F:, G:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: arrêt Contrôle d'intégrité de fichiers système......: marche Recherche optimisée...........................: marche Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: élevé Début de la recherche : dimanche 30 mai 2010 12:55 Début du contrôle des fichiers système : Signé -> 'C:\Windows\system32\svchost.exe' Signé -> 'C:\Windows\system32\winlogon.exe' Signé -> 'C:\Windows\explorer.exe' Signé -> 'C:\Windows\system32\smss.exe' Signé -> 'C:\Windows\system32\wininet.DLL' Signé -> 'C:\Windows\system32\wsock32.DLL' Signé -> 'C:\Windows\system32\ws2_32.DLL' Signé -> 'C:\Windows\system32\services.exe' Signé -> 'C:\Windows\system32\lsass.exe' Signé -> 'C:\Windows\system32\csrss.exe' Signé -> 'C:\Windows\system32\drivers\kbdclass.sys' Signé -> 'C:\Windows\system32\spoolsv.exe' Signé -> 'C:\Windows\system32\alg.exe' Signé -> 'C:\Windows\system32\wuauclt.exe' Signé -> 'C:\Windows\system32\advapi32.DLL' Signé -> 'C:\Windows\system32\user32.DLL' Signé -> 'C:\Windows\system32\gdi32.DLL' Signé -> 'C:\Windows\system32\kernel32.DLL' Signé -> 'C:\Windows\system32 tdll.DLL' Signé -> 'C:\Windows\system32 toskrnl.exe' Signé -> 'C:\Windows\system32\ctfmon.exe' Les fichiers système ont été contrôlés ('21' fichiers) La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'LimeWire.exe' - '1' module(s) sont contrôlés Processus de recherche 'FlashUtil10e.exe' - '1' module(s) sont contrôlés Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleToolbarUser_32.exe' - '1' module(s) sont contrôlés Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'iPodService.exe' - '0' module(s) sont contrôlés Processus de recherche 'wmpnetwk.exe' - '0' module(s) sont contrôlés Processus de recherche 'WUDFHost.exe' - '0' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '0' module(s) sont contrôlés Processus de recherche 'ONENOTEM.EXE' - '1' module(s) sont contrôlés Processus de recherche 'EgisUpdate.exe' - '1' module(s) sont contrôlés Processus de recherche 'HotkeyUtility.exe' - '1' module(s) sont contrôlés Processus de recherche 'BackupManagerTray.exe' - '1' module(s) sont contrôlés Processus de recherche 'nSvcIp.exe' - '0' module(s) sont contrôlés Processus de recherche 'NPSAgent.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleToolbarNotifier.exe' - '0' module(s) sont contrôlés Processus de recherche 'mwlDaemon.exe' - '1' module(s) sont contrôlés Processus de recherche 'nSvcAppFlt.exe' - '0' module(s) sont contrôlés Processus de recherche 'RAVCpl64.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'UpdaterService.exe' - '0' module(s) sont contrôlés Processus de recherche 'IScheduleSvc.exe' - '0' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '0' module(s) sont contrôlés Processus de recherche 'taskhost.exe' - '0' module(s) sont contrôlés Processus de recherche 'dwm.exe' - '0' module(s) sont contrôlés Processus de recherche 'GregHSRW.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'mDNSResponder.exe' - '0' module(s) sont contrôlés Processus de recherche 'AppleMobileDeviceService.exe' - '0' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'sched.exe' - '0' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '0' module(s) sont contrôlés Processus de recherche 'nvvsvc.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'nvvsvc.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '0' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '0' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '0' module(s) sont contrôlés Processus de recherche 'services.exe' - '0' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '0' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés Processus de recherche 'smss.exe' - '0' module(s) sont contrôlés '17' processus ont été contrôlés avec '17' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! [INFO] Veuillez relancer la recherche avec les droits d'administrateur Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! [INFO] Veuillez relancer la recherche avec les droits d'administrateur Secteur d'amorçage maître HD2 [INFO] Aucun virus trouvé ! [INFO] Veuillez relancer la recherche avec les droits d'administrateur La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! [INFO] Veuillez relancer la recherche avec les droits d'administrateur Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! [INFO] Veuillez relancer la recherche avec les droits d'administrateur Secteur d'amorçage 'F:\' [INFO] Aucun support de données inséré dans le lecteur 'F:\' ! Secteur d'amorçage 'G:\' [INFO] Aucun support de données inséré dans le lecteur 'G:\' ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '31' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Windows\System32\launchh.bat [RESULTAT] Contient le code suspect : HEUR/Worm.IRCScript Recherche débutant dans 'D:\' Recherche débutant dans 'E:\' Impossible d'ouvrir le chemin à contrôler E:\ ! Erreur système [21]: Le périphérique n'est pas prêt. Recherche débutant dans 'F:\' Impossible d'ouvrir le chemin à contrôler F:\ ! Erreur système [21]: Le périphérique n'est pas prêt. Recherche débutant dans 'G:\' Impossible d'ouvrir le chemin à contrôler G:\ ! Erreur système [21]: Le périphérique n'est pas prêt. Début de la désinfection : C:\Windows\System32\launchh.bat [RESULTAT] Contient le code suspect : HEUR/Worm.IRCScript [REMARQUE] Le résultat positif a été classé comme suspect. [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c7749d4.qua' ! Fin de la recherche : dimanche 30 mai 2010 13:18 Temps nécessaire: 22:04 Minute(s) La recherche a été effectuée intégralement 22685 Les répertoires ont été contrôlés 274426 Des fichiers ont été contrôlés 0 Des virus ou programmes indésirables ont été trouvés 1 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 1 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 274423 Fichiers non infectés 1973 Les archives ont été contrôlées 2 Avertissements 3 Consignes

Utilisateur anonyme · Answer

Re

Tu copies ton rapport sur une feuille word et tu l'enregistres.

Utilisateur anonyme · Answer

Re Tu n'as pas activé la recherche des rootkits. Recherche de Rootkits.........................: arrêt fait le;merci Impeccable ; Passons au nettoyage. 1)Télécharges Toolscleaner afin de supprimer les logiciels de désinfection inutiles ---> Télécharge Toolscleaner sur ton Bureau. https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ * Double-clique sur ToolsCleaner2.exe(ou clic droit « exécuter en tant que administrateur » pour Vista et Seven)pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 2)C - Ccleaner : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ .enregistres le sur le bureau .double-cliques sur le fichier pour lancer l'installation .sur la fenêtre de l'installation langage bien choisir français et OK .cliques sur suivant .lis la licence et j'accepte .cliques sur suivant .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner .cliques sur installer .cliques sur fermer .double-cliques sur l'icône de Ccleaner pour l'ouvrir .une fois ouvert tu cliques sur option et puis avancé .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures .cliques sur nettoyeur .cliques sur windows et dans la colonne avancé . coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la .cliques sur analyse une fois l'analyse terminé .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien .clique maintenant sur registre et puis sur rechercher les erreurs .laisse tout coché et clique sur réparer les erreurs sélectionnées .il te demande de sauvegarder OUI .tu lui donnes un nom pour pouvoir la retrouver et enregistre .clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK .il supprime et fermer tu vérifies en relançant rechercher les erreurs .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch .tu peux fermer Ccleaner. Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm 3)Purge la restauration sur Seven Comment faire : http://www.forum-seven.com/forum/ @+

Jo-57 · Answer

Pourriez-vous juste me dire de manière précise comment activer la recherche de rootkits car je suis un peu perdu. J'ai été voir dans le tuto mais moi je n'ai pas de recherche de rootkits dans mode expert, scanner, recherche ... De plus il est à jour. Est-ce que je dois désinstaller puis réinstaller antivir ?

Utilisateur anonyme · Answer

Re

Tu as le lien ici:
https://forums.commentcamarche.net/forum/affich-17875270-virus-rapport-cijoint-mbam?page=2#27

Prend le temps de lire et tu devrais trouver ton bonheur...

@+

Utilisateur anonyme · Answer

Bonsoir.

Je ne t'ai pas demandé de rechercher les rootkits;mais qu'Antivir soit configuré pour...

Ensuite ,fait le reste de ce post;merci
https://forums.commentcamarche.net/forum/affich-17875270-virus-rapport-cijoint-mbam?page=2#37

Tiens moi au courant;merci
@+

Utilisateur anonyme · Answer

Re

Je ne comprends pas ;tu as bien la version 9 d'Antivir.
les écrans devraient correspondre.
Regarde les différents tutoriels sur cette page de téléchargement .
http://www.commentcamarche.net/download/telecharger-55-antivir

@+

Jo-57 · Answer

Je viens de le désinstaller puis de le réinstaller avec votre liens en suivant à la lettre vos configurations. Les écrans correspondent sauf pour ''recherche des rootkits'' qui n'apparait pas.
Je peux quand même faire le nettoyage avec Toolscleaner et Ccleaner ?

Utilisateur anonyme · Answer

Re

Oui fait la suite.

Jo-57 · Answer

Voici le rapport de Tcleaner :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Ad-remover: trouvé !
C:\Program Files (x86)\ZHPDiag: trouvé !
C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\catchme.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\mbr.log: trouvé !
C:\Program Files (x86)\ZHPDiag\mbr.exe: trouvé !
C:\Users\Johan\AppData\Local\VirtualStore\Program Files (x86)\TrendMicro\HijackThis: trouvé !
C:\Users\Johan\AppData\Local\VirtualStore\Program Files (x86)\TrendMicro\HiJackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files (x86)\ZHPDiag\catchme.exe: supprimé !
C:\Program Files (x86)\ZHPDiag\mbr.log: supprimé !
C:\Program Files (x86)\ZHPDiag\mbr.exe: supprimé !
C:\Users\Johan\AppData\Local\VirtualStore\Program Files (x86)\TrendMicro\HiJackThis\hijackthis.log: supprimé !
C:\Ad-remover: supprimé !
C:\Program Files (x86)\ZHPDiag: supprimé !
C:\Users\Johan\AppData\Local\VirtualStore\Program Files (x86)\TrendMicro\HijackThis: supprimé !

Utilisateur anonyme · Answer

Re

Ok ,je te propose donc de clore ce post.
Pour l'activation de la recherche des rootkits,prend le temps de faire le tour complet de l'interface .

@+

Virus ? Rapport Cijoint + MBAM

34 réponses

Discussions similaires

Newsletters