Problème avec mdm.exe détecté par antivir [Résolu/Fermé]

Signaler
Messages postés
45
Date d'inscription
mardi 10 mars 2009
Statut
Membre
Dernière intervention
6 décembre 2012
-
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
-
Bonjour,
Depuis quelques jours Antivir détecte en double sur C/users/nom d'utilisateur/appdata/local/temp/~temp/mlp302/mdm.exe. Il le classe dans la catégorie cheval de troie, et ce plusieurs fois par jour. Merci de m'aider à l'éradiquer


18 réponses

Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
781
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Messages postés
45
Date d'inscription
mardi 10 mars 2009
Statut
Membre
Dernière intervention
6 décembre 2012

Voici le rapport demandé
http://www.cijoint.fr/cjlink.php?file=cj201007/cijlu9KXP2.txt
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
781
Effectivement, ton ordinateur est infecté. Je te conseille de faire tout ce qui suit :


1) Désinstalle Spybot : ce logiciel est dépassé et le TeaTimer risque de gêner la désinfection.


2) Ensuite, pour commencer le nettoyage, utilise ce script :

* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle ce script et place le dans ZHPFix.
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse


3) Il faudrait que tu fasses analyser un fichier :

* Rends toi sur le site https://www.virustotal.com/gui/
* Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\Windows\system32\2C7B89F4B9.sys
* Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
* Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
* Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
* Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
* Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.


4) Utilise ce logiciel de désinfection généraliste stp :

* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

Messages postés
45
Date d'inscription
mardi 10 mars 2009
Statut
Membre
Dernière intervention
6 décembre 2012

Rapport de ZHPFix v1.12.3129 par Nicolas Coolman, Update du 27/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-30-07-2010-21-27-42.txt
Run by Emmanuelle at 30/07/2010 21:27:42
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Users\EMMANU~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe [92672] => Fichier supprimé au reboot

========== Clé(s) du Registre ==========
O69 - SBI: SearchScopes {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}- (Ask Search) - http://www.search.ask.com/?o=10148&l=dis => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente
O4 - HKCU\..\Run: [RegistryBooster] C:\Program Files\Uniblue\RegistryBooster\launcher.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-21-2461817562-3934211950-2688569834-1000\..\Run: [RegistryBooster] C:\Program Files\Uniblue\RegistryBooster\launcher.exe (.not file.) => Valeur absente

========== Elément(s) de donnée du Registre ==========
F3 - REG:win.ini: load=C:\Users\EMMANU~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\DaemonTools_WhenUSave_Installer => Supprimé et mis en quarantaine

========== Fichier(s) ==========

========== Logiciel(s) ==========
O42 - Logiciel: SweetIM Toolbar for Internet Explorer 3.1 - (.SweetIM Technologies Ltd..) [HKLM] => Logiciel supprimé avec succès
O42 - Logiciel: PopUp Destroy - (.Pas de propriétaire.) [HKLM] => Logiciel absent

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x8443E1D8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8443e1d8
IoDeviceObjectType -> DumpProcedure -> 0x50000000
DeleteProcedure -> 0x8244c8b
ParseProcedure -> 0x89044889
SecurityProcedure -> 0x8508d30
QueryNameProcedure -> 0x4c8d1376
\Device\Harddisk0\DR0 -> DumpProcedure -> 0x50000000
DeleteProcedure -> 0x8244c8b
ParseProcedure -> 0x89044889
SecurityProcedure -> 0x8508d30
QueryNameProcedure -> 0x4c8d1376
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8443e1d8
IoDeviceObjectType -> DumpProcedure -> 0x50000000
DeleteProcedure -> 0x8244c8b
ParseProcedure -> 0x89044889
SecurityProcedure -> 0x8508d30
QueryNameProcedure -> 0x4c8d1376
\Device\Harddisk0\DR0 -> DumpProcedure -> 0x50000000
DeleteProcedure -> 0x8244c8b
ParseProcedure -> 0x89044889
SecurityProcedure -> 0x8508d30
QueryNameProcedure -> 0x4c8d1376
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x8443E1D8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8443e1d8
IoDeviceObjectType -> DumpProcedure -> 0x50000000
DeleteProcedure -> 0x8244c8b
ParseProcedure -> 0x89044889
SecurityProcedure -> 0x8508d30
QueryNameProcedure -> 0x4c8d1376
\Device\Harddisk0\DR0 -> DumpProcedure -> 0x50000000
DeleteProcedure -> 0x8244c8b
ParseProcedure -> 0x89044889
SecurityProcedure -> 0x8508d30
QueryNameProcedure -> 0x4c8d1376
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8443e1d8
IoDeviceObjectType -> DumpProcedure -> 0x50000000
DeleteProcedure -> 0x8244c8b
ParseProcedure -> 0x89044889
SecurityProcedure -> 0x8508d30
QueryNameProcedure -> 0x4c8d1376
\Device\Harddisk0\DR0 -> DumpProcedure -> 0x50000000
DeleteProcedure -> 0x8244c8b
ParseProcedure -> 0x89044889
SecurityProcedure -> 0x8508d30
QueryNameProcedure -> 0x4c8d1376
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !


========== Récapitulatif ==========
1 : Processus mémoire
1 : Clé(s) du Registre
3 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
2 : Logiciel(s)
1 :Master Boot Record


End of the scan
Messages postés
45
Date d'inscription
mardi 10 mars 2009
Statut
Membre
Dernière intervention
6 décembre 2012

Fichier 2C7B89F4B9.sys reçu le 2010.07.30 20:41:49 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/42 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2010.07.30.00 2010.07.29 -
AntiVir 8.2.4.32 2010.07.30 -
Antiy-AVL 2.0.3.7 2010.07.30 -
Authentium 5.2.0.5 2010.07.30 -
Avast 4.8.1351.0 2010.07.30 -
Avast5 5.0.332.0 2010.07.30 -
AVG 9.0.0.851 2010.07.30 -
BitDefender 7.2 2010.07.30 -
CAT-QuickHeal 11.00 2010.07.30 -
ClamAV 0.96.0.3-git 2010.07.30 -
Comodo 5590 2010.07.30 -
DrWeb 5.0.2.03300 2010.07.30 -
Emsisoft 5.0.0.34 2010.07.30 -
eSafe 7.0.17.0 2010.07.29 -
eTrust-Vet 36.1.7751 2010.07.30 -
F-Prot 4.6.1.107 2010.07.30 -
F-Secure 9.0.15370.0 2010.07.30 -
Fortinet 4.1.143.0 2010.07.30 -
GData 21 2010.07.30 -
Ikarus T3.1.1.84.0 2010.07.30 -
Jiangmin 13.0.900 2010.07.29 -
Kaspersky 7.0.0.125 2010.07.30 -
McAfee 5.400.0.1158 2010.07.30 -
McAfee-GW-Edition 2010.1 2010.07.30 -
Microsoft 1.6004 2010.07.30 -
NOD32 5327 2010.07.30 -
Norman 6.05.11 2010.07.30 -
nProtect 2010-07-30.02 2010.07.30 -
Panda 10.0.2.7 2010.07.30 -
PCTools 7.0.3.5 2010.07.30 -
Prevx 3.0 2010.07.30 -
Rising 22.58.04.05 2010.07.30 -
Sophos 4.56.0 2010.07.30 -
Sunbelt 6665 2010.07.30 -
SUPERAntiSpyware 4.40.0.1006 2010.07.30 -
Symantec 20101.1.1.7 2010.07.30 -
TheHacker 6.5.2.1.328 2010.07.30 -
TrendMicro 9.120.0.1004 2010.07.30 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.30 -
VBA32 3.12.12.7 2010.07.30 -
ViRobot 2010.7.30.3963 2010.07.30 -
VirusBuster 5.0.27.0 2010.07.30 -
Information additionnelle
File size: 56 bytes
MD5...: 28302cf493e00781cee7aa3451e35490
SHA1..: ea0b55168d1b6521e7ae6881b7bf5c8a9983f3bb
SHA256: 6c9a9c658ba1cab18a88999c1466e50243769410ee3c8610d216ae4fd117dbe9
ssdeep: 3:/ldEVpiNrAnn:S6rCn
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: MS Flight Simulator Aircraft Performance Info (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Messages postés
45
Date d'inscription
mardi 10 mars 2009
Statut
Membre
Dernière intervention
6 décembre 2012

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4371

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

30/07/2010 22:52:30
mbam-log-2010-07-30 (22-52-30).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 141631
Temps écoulé: 6 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Messages postés
45
Date d'inscription
mardi 10 mars 2009
Statut
Membre
Dernière intervention
6 décembre 2012

Je te reposte l'analyse de Virus Total, je ne sais pas si la première est satisfaisante. Merci de ton aide.
Fichier 2C7B89F4B9.sys reçu le 2010.07.30 21:02:52 (UTC)
Situation actuelle: terminé
Résultat: 0/42 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2010.07.30.00 2010.07.29 -
AntiVir 8.2.4.32 2010.07.30 -
Antiy-AVL 2.0.3.7 2010.07.30 -
Authentium 5.2.0.5 2010.07.30 -
Avast 4.8.1351.0 2010.07.30 -
Avast5 5.0.332.0 2010.07.30 -
AVG 9.0.0.851 2010.07.30 -
BitDefender 7.2 2010.07.30 -
CAT-QuickHeal 11.00 2010.07.30 -
ClamAV 0.96.0.3-git 2010.07.30 -
Comodo 5590 2010.07.30 -
DrWeb 5.0.2.03300 2010.07.30 -
Emsisoft 5.0.0.34 2010.07.30 -
eSafe 7.0.17.0 2010.07.29 -
eTrust-Vet 36.1.7751 2010.07.30 -
F-Prot 4.6.1.107 2010.07.30 -
F-Secure 9.0.15370.0 2010.07.30 -
Fortinet 4.1.143.0 2010.07.30 -
GData 21 2010.07.30 -
Ikarus T3.1.1.84.0 2010.07.30 -
Jiangmin 13.0.900 2010.07.29 -
Kaspersky 7.0.0.125 2010.07.30 -
McAfee 5.400.0.1158 2010.07.30 -
McAfee-GW-Edition 2010.1 2010.07.30 -
Microsoft 1.6004 2010.07.30 -
NOD32 5327 2010.07.30 -
Norman 6.05.11 2010.07.30 -
nProtect 2010-07-30.02 2010.07.30 -
Panda 10.0.2.7 2010.07.30 -
PCTools 7.0.3.5 2010.07.30 -
Prevx 3.0 2010.07.30 -
Rising 22.58.04.05 2010.07.30 -
Sophos 4.56.0 2010.07.30 -
Sunbelt 6665 2010.07.30 -
SUPERAntiSpyware 4.40.0.1006 2010.07.30 -
Symantec 20101.1.1.7 2010.07.30 -
TheHacker 6.5.2.1.328 2010.07.30 -
TrendMicro 9.120.0.1004 2010.07.30 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.30 -
VBA32 3.12.12.7 2010.07.30 -
ViRobot 2010.7.30.3963 2010.07.30 -
VirusBuster 5.0.27.0 2010.07.30 -
Information additionnelle
File size: 56 bytes
MD5 : 28302cf493e00781cee7aa3451e35490
SHA1 : ea0b55168d1b6521e7ae6881b7bf5c8a9983f3bb
SHA256: 6c9a9c658ba1cab18a88999c1466e50243769410ee3c8610d216ae4fd117dbe9
TrID : File type identification
MS Flight Simulator Aircraft Performance Info (100.0%)
ssdeep: 3:/ldEVpiNrAnn:S6rCn
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD : -
RDS : NSRL Reference Data Set
-
Messages postés
45
Date d'inscription
mardi 10 mars 2009
Statut
Membre
Dernière intervention
6 décembre 2012

Cher Antony5151,

Je reprends demain car il se fait un peu tard pour mes yeux. Malwarebytes n'a rien trouvé de suspect. Encore merci pour ta dispo et à demain si tu le veux et si tu le peux.
Cdlt
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
781
D'accord, à demain ;)
Il faudra que tu postes un nouveau rapport de ZHPDiag.

Messages postés
45
Date d'inscription
mardi 10 mars 2009
Statut
Membre
Dernière intervention
6 décembre 2012

Bonjour,

Quel dévouement ! voici le rapport de ZHPDiag. Merci

http://www.cijoint.fr/cjlink.php?file=cj201007/cijj3U3UUx.txt
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
781
Fais une analyse avec AntiVir pour voir s'il détecte encore quelque chose :

* Double clique sur l'icone d'AntiVir près de l'horloge --> configuration --> coche "Mode expert" --> coche "Rech rootkits au dem de la recherche" --> clique sur OK
* Mets à jour AntiVir manuellement : fais un clic droit sur l'icone d'AntiVir près de l'horloge et clique sur "Démarrer la mise à jour"
* Double clique sur l'icone d'AntiVir près de l'horloge --> clique sur "Contrôler syst maintenant" pour lancer l'analyse.
* A la fin du scan, clique sur "Rapport" et envoie le moi dans ta prochaine réponse.


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
Messages postés
45
Date d'inscription
mardi 10 mars 2009
Statut
Membre
Dernière intervention
6 décembre 2012

Je viens de me rendre compte que mon compte paypal avait été piraté. Je viens de les appeler et tout doit rentrer dans l'ordre d'ici quelques jours. Crois-tu que cela puisse venir du virus mdm.exe ?
Le scan antivir est en train de se faire, je te le poste rapidement.
Merci
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
781
Oui c'est bien possible... De toute façon, dès que je serai en mesure de te confirmer que ton ordinateur n'est plus infecté, il faudra que tu changes tous tes mots de passe importants.

Messages postés
45
Date d'inscription
mardi 10 mars 2009
Statut
Membre
Dernière intervention
6 décembre 2012

Voilà le scan Antivir



Avira AntiVir Personal
Date de création du fichier de rapport : samedi 31 juillet 2010 14:28

La recherche porte sur 2661693 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : MONLORDY

Informations de version :
BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 14:27:24
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 14:27:24
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 14:27:24
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 14:27:24
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 09:47:15
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 17:59:30
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 16:57:18
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 17:15:59
VBASE008.VDF : 7.10.9.166 2048 Bytes 23/07/2010 17:16:00
VBASE009.VDF : 7.10.9.167 2048 Bytes 23/07/2010 17:16:00
VBASE010.VDF : 7.10.9.168 2048 Bytes 23/07/2010 17:16:00
VBASE011.VDF : 7.10.9.169 2048 Bytes 23/07/2010 17:16:00
VBASE012.VDF : 7.10.9.170 2048 Bytes 23/07/2010 17:16:00
VBASE013.VDF : 7.10.9.198 157696 Bytes 26/07/2010 18:09:19
VBASE014.VDF : 7.10.9.255 997888 Bytes 29/07/2010 16:20:36
VBASE015.VDF : 7.10.10.0 2048 Bytes 29/07/2010 16:20:37
VBASE016.VDF : 7.10.10.1 2048 Bytes 29/07/2010 16:20:37
VBASE017.VDF : 7.10.10.2 2048 Bytes 29/07/2010 16:20:37
VBASE018.VDF : 7.10.10.3 2048 Bytes 29/07/2010 16:20:37
VBASE019.VDF : 7.10.10.4 2048 Bytes 29/07/2010 16:20:37
VBASE020.VDF : 7.10.10.5 2048 Bytes 29/07/2010 16:20:38
VBASE021.VDF : 7.10.10.6 2048 Bytes 29/07/2010 16:20:38
VBASE022.VDF : 7.10.10.7 2048 Bytes 29/07/2010 16:20:38
VBASE023.VDF : 7.10.10.8 2048 Bytes 29/07/2010 16:20:38
VBASE024.VDF : 7.10.10.9 2048 Bytes 29/07/2010 16:20:38
VBASE025.VDF : 7.10.10.10 2048 Bytes 29/07/2010 16:20:38
VBASE026.VDF : 7.10.10.11 2048 Bytes 29/07/2010 16:20:38
VBASE027.VDF : 7.10.10.12 2048 Bytes 29/07/2010 16:20:38
VBASE028.VDF : 7.10.10.13 2048 Bytes 29/07/2010 16:20:38
VBASE029.VDF : 7.10.10.14 2048 Bytes 29/07/2010 16:20:38
VBASE030.VDF : 7.10.10.15 2048 Bytes 29/07/2010 16:20:38
VBASE031.VDF : 7.10.10.25 97280 Bytes 30/07/2010 12:27:28
Version du moteur : 8.2.4.32
AEVDF.DLL : 8.1.2.1 106868 Bytes 30/07/2010 16:21:14
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 30/07/2010 16:21:13
AESCN.DLL : 8.1.6.1 127347 Bytes 13/05/2010 09:24:15
AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 13:38:20
AERDL.DLL : 8.1.8.2 614772 Bytes 20/07/2010 14:21:35
AEPACK.DLL : 8.2.3.3 471414 Bytes 30/07/2010 16:21:08
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22/07/2010 14:17:55
AEHEUR.DLL : 8.1.2.10 2830711 Bytes 30/07/2010 16:21:04
AEHELP.DLL : 8.1.13.2 242039 Bytes 20/07/2010 14:20:20
AEGEN.DLL : 8.1.3.18 393589 Bytes 30/07/2010 16:20:44
AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 13:38:17
AECORE.DLL : 8.1.16.2 192887 Bytes 20/07/2010 14:20:03
AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 13:38:16
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 22/02/2010 07:43:23
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +PFS,

Début de la recherche : samedi 31 juillet 2010 14:28

La recherche d'objets cachés commence.
'108217' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FlashUtil10h_ActiveX.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'conime.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ApntEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ApMsgFwd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtkBtMnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ImApp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WLIDSVCM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'capuserv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRecoveryService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'YahooAUService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'XAudio.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TuneUpUtilitiesApp32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ePowerSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WLIDSVC.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TuneUpUtilitiesService32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MobilityService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'InCDsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eNet Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eLockServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALaunchSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'agrsmsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ACService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FLVSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'InCD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Apoint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'79' processus ont été contrôlés avec '79' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '43' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <ACER>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Windows\System32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <DATA>


Fin de la recherche : samedi 31 juillet 2010 16:06
Temps nécessaire: 1:38:02 Heure(s)

La recherche a été effectuée intégralement

25306 Les répertoires ont été contrôlés
411518 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
3 Impossible de contrôler des fichiers
411515 Fichiers non infectés
3230 Les archives ont été contrôlées
3 Avertissements
2 Consignes
108217 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
781
Très bien, ton ordinateur n'est plus infecté :)
Voici les conseils de finition :


1) Sécurise ton ordinateur

* Logiciels de protection :
Garde un antivirus (AntiVir dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.
Tu peux donc désactiver Windows Defender

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)

* Adobe Reader n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option lors du téléchargement).

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce petit programme (décoche « run at startup » lors de l'installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)

* Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) --> lance l'installation avec les paramètres par défaut --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir --> Fais un clic droit sur le raccourci de USBFix et choisis 'Exécuter en tant qu'administrateur' --> Au menu principal, choisis l'option 3 (Vaccination).



2) Optimisation :

* Les barres d'outils sont inutiles, elles ralentissent le navigateur et peuvent provoquer des problèmes. Je te conseille de désinstaller les tiennes : Yahoo toolbar / Freecorder toolbar / Windows live toolbar (pour celle-ci, il faudra sélectionner « installation windows live » et cocher seulement « toolbar » pour la désinstallation).

* Télécharge Ccleaner. Installe le et lance le.
Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : Freecorder FLV Service / Sidebar / ehTray.exe / WMPNSCFG / Incredimail / WindowsWelcomeCenter / Adobe Reader Speed Launcher / Adobe ARM

* Télécharge ce fichier --> lance le par un clic-droit dessus et choisis Exécuter en temps qu'administrateur --> accepte la modification du Registre.

* Télécharge Defraggler. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation) puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



3) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aider



4) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Messages postés
45
Date d'inscription
mardi 10 mars 2009
Statut
Membre
Dernière intervention
6 décembre 2012

Je te remercie vivement pour ton efficacité et ta disponibilité envers moi.
Je vais appliquer rapidement tous tes conseils.
Je ne peux pas te renvoyer l'ascenseur dans ce domaine, car pas assez calée.
Bonne fin de journée.
Messages postés
45
Date d'inscription
mardi 10 mars 2009
Statut
Membre
Dernière intervention
6 décembre 2012

Antony5151,


Je reviens vers toi car je ne peux pas exécuter le fichier d'optimisation en tant qu'administrateur. Je peux fusionner ou ouvrir avec ?
Merci de ta réponse.
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
781
De rien ;)

Choisis "Fusionner" et confirme la modification du Registre si un fenêtre te le demande.

L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis