INFECTIO MALGRE MON (TRES BON ?) ANTIVIRUS.
Fermé
KOKURYU
-
28 nov. 2010 à 11:03
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 28 nov. 2010 à 20:05
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 28 nov. 2010 à 20:05
A voir également:
- INFECTIO MALGRE MON (TRES BON ?) ANTIVIRUS.
- Comodo antivirus - Télécharger - Sécurité
- Panda antivirus - Télécharger - Antivirus & Antimalwares
- Desactiver antivirus windows 10 - Guide
- Bitdefender antivirus gratuit - Télécharger - Antivirus & Antimalwares
- Avast antivirus gratuit - Télécharger - Antivirus & Antimalwares
9 réponses
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
28 nov. 2010 à 11:12
28 nov. 2010 à 11:12
Bonjour,
Pour voir,
Poste les deux rapports de malwarebytes.
Tu les trouveras dans l'onglet rapport/logs.
A+
Pour voir,
Poste les deux rapports de malwarebytes.
Tu les trouveras dans l'onglet rapport/logs.
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
28 nov. 2010 à 12:23
28 nov. 2010 à 12:23
Re,
C'est plutot des faux positifs pour ces deux fichiers de kaspersky.
On peut analyser les deux fichiers mais il y a des chances qu'ils ne soient pas infectieux.
Ouvre malwarebytes
# Dans l'onglet quarantaine, clique sur ces deux fichiers et choisis restaurer.
------------------------------------
Ensuite,
Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/
# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :
Chemin : C:\ProgramData\Kaspersky Lab\AVP11\Report\01\0000000C_objdt.dat
# Tu cliques ensuite sur envoyer le fichier.
# A la fin de l'analyse et affichage des résultats, copie l'adresse de la page.
Indique moi le lien dans ta prochaine réponse.
Même manip avec
C:\ProgramData\Kaspersky Lab\AVP11\Report\01\00000015_objdt.dat
A+
C'est plutot des faux positifs pour ces deux fichiers de kaspersky.
On peut analyser les deux fichiers mais il y a des chances qu'ils ne soient pas infectieux.
Ouvre malwarebytes
# Dans l'onglet quarantaine, clique sur ces deux fichiers et choisis restaurer.
------------------------------------
Ensuite,
Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/
# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :
Chemin : C:\ProgramData\Kaspersky Lab\AVP11\Report\01\0000000C_objdt.dat
# Tu cliques ensuite sur envoyer le fichier.
# A la fin de l'analyse et affichage des résultats, copie l'adresse de la page.
Indique moi le lien dans ta prochaine réponse.
Même manip avec
C:\ProgramData\Kaspersky Lab\AVP11\Report\01\00000015_objdt.dat
A+
ça ne sert à rien d'avoir un antivirus dans ce cas ... Je suis un peu énervé ( pas contre vous hein ;) ... ) parce que je paye pour ça et qu'au final, ça ne sert à rien !
Voici le premier rapport MBAM, je posterai le second un peu plus tard si cela ne vous embête pas.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 5199
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
27/11/2010 12:59:16
mbam-log-2010-11-27 (12-59-16).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 222298
Temps écoulé: 54 minute(s), 16 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\ProgramData\Kaspersky Lab\AVP11\Report\01\0000000C_objdt.dat (Spyware.PWS) -> Delete on reboot.
C:\ProgramData\Kaspersky Lab\AVP11\Report\01\00000015_objdt.dat (Spyware.PWS) -> Delete on reboot.
Voici le premier rapport MBAM, je posterai le second un peu plus tard si cela ne vous embête pas.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 5199
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
27/11/2010 12:59:16
mbam-log-2010-11-27 (12-59-16).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 222298
Temps écoulé: 54 minute(s), 16 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\ProgramData\Kaspersky Lab\AVP11\Report\01\0000000C_objdt.dat (Spyware.PWS) -> Delete on reboot.
C:\ProgramData\Kaspersky Lab\AVP11\Report\01\00000015_objdt.dat (Spyware.PWS) -> Delete on reboot.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
28 nov. 2010 à 13:43
28 nov. 2010 à 13:43
KOKURYU,
Ce ne doit pas être trop grave.
Vu leur localisation, ils sont peut être générés lors des analyses et la création de rapports.
je ferais remonter l'info vers malwarebytes.
Tu peux poster le deuxième rapport de malwarebytes.
A+
Ce ne doit pas être trop grave.
Vu leur localisation, ils sont peut être générés lors des analyses et la création de rapports.
je ferais remonter l'info vers malwarebytes.
Tu peux poster le deuxième rapport de malwarebytes.
A+
Ok, Verni ce serait cool si tu pouvais faire remonter.
Je ne peux pas poster le second rapport tout de suite car je n'ai pas accès au pc pour l'instant mais je le ferai dès que possible, probablement dès ce soir ou, au pire demain.
Encore merci, a tout à l'heure.
Je ne peux pas poster le second rapport tout de suite car je n'ai pas accès au pc pour l'instant mais je le ferai dès que possible, probablement dès ce soir ou, au pire demain.
Encore merci, a tout à l'heure.
Comme convenu, voici le second rapport MBAM :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 5199
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975
28/11/2010 03:12:35
mbam-log-2010-11-28 (03-12-35).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 338725
Temps écoulé: 4 heure(s), 21 minute(s), 54 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings\tm (Trojan.Downloader) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Utilisateur\Local Settings\Application Data\wceuyew_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 5199
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975
28/11/2010 03:12:35
mbam-log-2010-11-28 (03-12-35).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 338725
Temps écoulé: 4 heure(s), 21 minute(s), 54 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings\tm (Trojan.Downloader) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Utilisateur\Local Settings\Application Data\wceuyew_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
28 nov. 2010 à 20:05
28 nov. 2010 à 20:05
Re,
Deux infections en effet dans ce rapport.
-----------------------------------------------------
Télécharge Navilog d'il mafioso sur ton bureau.
http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe
· Double-clique sur navilog ( sur le bureau ).
Si sous Vista , clique droit sur le fichier et choisis exécuter en tant qu'administrateur
· Sélectionne la langue puis valide.
· Choisis l'option 1 ( ne choisit pas une autre option )
Une fois l'analyse terminée, un rapport va s'ouvrir dans le bloc-notes.
Tu copies et colles le texte de ce rapport dans ton prochain message.
Note : Si tu ne le trouves pas, il est en C:\Cleannavi.txt.
-----------------------------------------------------
Pour plus d'infos
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante.
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
Deux infections en effet dans ce rapport.
-----------------------------------------------------
Télécharge Navilog d'il mafioso sur ton bureau.
http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe
· Double-clique sur navilog ( sur le bureau ).
Si sous Vista , clique droit sur le fichier et choisis exécuter en tant qu'administrateur
· Sélectionne la langue puis valide.
· Choisis l'option 1 ( ne choisit pas une autre option )
Une fois l'analyse terminée, un rapport va s'ouvrir dans le bloc-notes.
Tu copies et colles le texte de ce rapport dans ton prochain message.
Note : Si tu ne le trouves pas, il est en C:\Cleannavi.txt.
-----------------------------------------------------
Pour plus d'infos
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante.
netsvcs Drivers32 msconfig activex /md5start iaStor.sys nvstor.sys atapi.sys iastorv.sys userinit.exe winlogon.exe explorer.exe wininit.exe /md5stop %SYSTEMDRIVE%\*.exe %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %appdata%\*.exe /s %APPDATA%\*. %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles CREATERESTOREPOINT
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
Pour info un antivirus ne suffit pas, de par leur conception même. Ils sont étudiés pour ne détecter que des menaces connues sur base de signatures. L'heuristique est totalement défaillante.
Solution :
- ne surfer qu'avec un compte limité
J'ai déjà fait l'expérience avec Avira p.ex. : aller sur un site infecté (volontairement, dans une machine virtuelle). Le navigateur est défoncé par un buffer overflow, l'antivirus gueule MAIS la bestiole s'installe, et c'est l'écran bleu.
Au redémarrage le trojan se cache (fonctionnalités de rootkit).
Et pour le retirer..... mamaaaaan !
Autre solution : modifier le token du navigateur (limiter ses droits). Microsoft publie un petit prog pour cela : DropMyRights (gratos).
Solution :
- ne surfer qu'avec un compte limité
J'ai déjà fait l'expérience avec Avira p.ex. : aller sur un site infecté (volontairement, dans une machine virtuelle). Le navigateur est défoncé par un buffer overflow, l'antivirus gueule MAIS la bestiole s'installe, et c'est l'écran bleu.
Au redémarrage le trojan se cache (fonctionnalités de rootkit).
Et pour le retirer..... mamaaaaan !
Autre solution : modifier le token du navigateur (limiter ses droits). Microsoft publie un petit prog pour cela : DropMyRights (gratos).
