Infection ou pas ???Résolu/Fermé

Question

Bonjour, suite à une infection, je souhaiterais connaitre l'avis d'un connaisseur pour diagnostiquer le rapport de ZHPDiag :

https://www.cjoint.com/?3ItqxQ07KrQ




Configuration: Windows XP / Internet Explorer 8.0

juju666 · Answer

Bonjour,

Désinstalle spybot search & destroy rien du tout
Désinstalle également ceci :

SweetIM Toolbar for Internet Explorer 4.3 
ToolbarFR

============================

Suis ces instructions : https://forums-fec.be/entraide/viewtopic.php?f=11&t=232

J'attends donc 4 rapports.

A+

Ordi sos · Answer

Ou je peux trouver ToolbarFR ?

juju666 · Answer

Si tu ne le trouve pas, passe à la suite :)

Ordi sos · Answer

Les quels rapports que tu attends ?  Je m'y connais mais pas expert !!!
J'ai été infecté la semaine dernière par live security platinum.

juju666 · Answer

Ben si tu suis les instructions que je demande, il y en a 3, mais un des 3 programmes sortira 2 rapports, ce qui fait au total 4 rapports à me transmettre :)

Ordi sos · Answer

Bon, j'ai passé adwcleaner et voici les rapports : 
Dis moi les autres  rapport que tu veux :)


 # AdwCleaner v2.002 - Rapport créé le 20/09/2012 à 08:16:03
# Mis à jour le 16/09/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : HP_Propriétaire - CATHERINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\HP_Propriétaire\Bureau\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A81A974F-8A22-43E6-9243-5198FF758DA1}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0924543-15FD-4F3D-889C-0B4562A9CB45}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [989 octets] - [20/09/2012 08:16:03]

########## EOF - C:\AdwCleaner[R1].txt - [1048 octets] ##########

et le 2ème 

# AdwCleaner v2.002 - Rapport créé le 20/09/2012 à 08:16:43
# Mis à jour le 16/09/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : HP_Propriétaire - CATHERINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\HP_Propriétaire\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A81A974F-8A22-43E6-9243-5198FF758DA1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0924543-15FD-4F3D-889C-0B4562A9CB45}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

*************************

AdwCleaner[R1].txt - [1117 octets] - [20/09/2012 08:16:03]
AdwCleaner[S1].txt - [1082 octets] - [20/09/2012 08:16:43]

########## EOF - C:\AdwCleaner[S1].txt - [1142 octets] ##########

juju666 · Answer

le rapport MBAM et les rapports OTL demandés ici : https://forums-fec.be/entraide/viewtopic.php?f=11&t=228

Ordi sos · Answer

Ha ok, bon je commence par MBAB mais ça va prendre pas loin de 2H et après OTL et je t'envoie tout ça :)

juju666 · Answer

De toute manière je dois aller à la banque là :-)

Ordi sos · Answer

Je te poste le rapport de Malwarebytes mais avant, je voudrais te dire qu'a la fin de la supression, l'ordi ne s'est pas rallumé correctement, il est resté bloqué sur "Windows XP et la barre bleu dessous qui défilait toujours, alors, je l'ai éteint avec le bouton power et il s'est rallumé alors normalement. Est ce un soucis pour la supression ?

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.09.20.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
HP_Propriétaire :: CATHERINE [administrateur]

20/09/2012 09:32:19
mbam-log-2012-09-20 (09-32-19).txt

Type d'examen: Examen complet (C:\|D:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 336564
Temps écoulé: 1 heure(s), 39 minute(s), 28 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Documents and Settings\HP_Propriétaire\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)
 
Maintenant je procède avec OTL.

juju666 · Answer

non, un bug.

en attente d'OTL

Ordi sos · Answer

les rapports OTL :  

https://pjjoint.malekal.com/files.php?id=20120920_i7l11r14o15t13  

et l'autre :  

 https://pjjoint.malekal.com/files.php?id=20120920_j9h12p8o9y14 

je crois que j'ai envoyer 2 fois le même 

 https://pjjoint.malekal.com/files.php?id=20120920_p13y14f6o14h15

juju666 · Answer

Désinstalle spywareblaster et spybot
Supprime ce fichier : C:\END

Ordi sos · Answer

je fais ça.

Ordi sos · Answer

ça y est, c'est fait :)
et maintenant ?

juju666 · Answer

le final : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

Ordi sos · Answer

Le rapport Delfix : 

# DelFix v8.9 - Rapport créé le 20/09/2012 à 15:20:41
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : HP_Propriétaire - CATHERINE (Administrateur)
# Exécuté depuis : C:\Documents and Settings\HP_Propriétaire\Bureau\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\adwcleaner.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\Extras.Txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\OTL.Txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\OTL.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\Pre_Scan_19_09_2012_13_17_44.txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\Pre_Scan_19_09_2012_14_17_08.txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RKreport[1].txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RKreport[2].txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RKreport[3].txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RKreport[4].txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RogueKiller.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\UsbFix.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKCU\Software\USBFix
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[R1].txt - [2750 octets] - [20/09/2012 15:20:11]
DelFix[S1].txt - [2716 octets] - [20/09/2012 15:20:41]

########## EOF - C:\DelFix[S1].txt - [2840 octets] ##########

Ordi sos · Answer

Lorsque j'ouvre Poste de travail -> C-> Avira  bip et réagit au fichier autorun.inf. Avira bloque le fichier. Qu"est que ça veut dire ?  

Et autre chose, sur le bureau, il y a une icone Favoris réseau qui n'y était pas avant qui dit en pointant la souris dessus : Affiche les raccourcis vers les sites webs, les ordinateurs du réseau et les sites FTP. Puis-je la suprimer ?  

Et aussi une nouvelle icone Poste de travail, est ce que je peux également la suprimer ? 

Et une dernière fois, une icone Internet Explorer et en pontant la souris dessus ça dit : C:\Program Files\Internet Explorer, je peux la suprimer aussi celle là ?

et à l'instant on me demande une mise à jour de windows live messenger plus, est ce que je dois la faire ?

juju666 · Answer

Et autre chose, sur le bureau, il y a une icone Favoris réseau qui n'y était pas avant qui dit en pointant la souris dessus : Affiche les raccourcis vers les sites webs, les ordinateurs du réseau et les sites FTP. Puis-je la suprimer ?

Oui

Et aussi une nouvelle icone Poste de travail, est ce que je peux également la suprimer ?

Oui

Et une dernière fois, une icone Internet Explorer et en pontant la souris dessus ça dit : C:\Program Files\Internet Explorer, je peux la suprimer aussi celle là ?

Oui

et à l'instant on me demande une mise à jour de windows live messenger plus, est ce que je dois la faire ? 

Oui

Lorsque j'ouvre Poste de travail -> C-> Avira bip et réagit au fichier autorun.inf. Avira bloque le fichier. Qu"est que ça veut dire ? 

pour éviter les alertes @ autorun.inf , il suffit de désactiver le bloquage par Antivir:
Configuration > cocher mode expert > Guard > recherche > actions si resultat positif et décocher la case bloquer la fonction d'autodémarrage.

Ordi sos · Answer

Merci beaucoup pour tous ces conseils, je continue le nettoyage après désinfection.
Une chose, je crois que je vais suprimer Avira actuel et télécharger un nouveau parce que à chaque démarrage, il y a une fenêtre qui apparaît en disant  : avgnt a rencontré un problème et doit fermer. Et là, l'icone à côté de l'orloge disparaît. Et l'antivirus est toujours activé. Que faire ?

juju666 · Answer

Désinstalle-le.

Ensuite passe cet outil : Antivir Removal Tool 

Réinstalle cette version : Avira Free

Attention, si tu acceptes la protection web, tu accepte une toolbar sponsorisée par Ask.

Ordi sos · Answer

J'ai scanné avec avira,voilà le rapport : Avira AntiVir Personal Date de création du fichier de rapport : jeudi 20 septembre 2012 19:31 La recherche porte sur 4239956 souches de virus. Le programme fonctionne en version intégrale illimitée. Les services en ligne sont disponibles. Détenteur de la licence : Avira AntiVir Personal - Free Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows XP Version de Windows : (Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : HP_Propriétaire Nom de l'ordinateur : CATHERINE Informations de version : BUILD.DAT : 10.2.0.165 35934 Bytes 30/01/2012 15:45:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 06/09/2011 20:16:02 AVSCAN.DLL : 10.0.5.0 56680 Bytes 06/09/2011 20:16:02 LUKE.DLL : 10.3.0.5 45416 Bytes 06/09/2011 20:16:04 LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 06/09/2011 20:16:04 AVREG.DLL : 10.3.0.9 88833 Bytes 06/09/2011 20:16:04 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 12:32:36 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 14:08:09 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 18:24:21 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 16:18:35 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 15:43:51 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06/09/2012 07:37:32 VBASE007.VDF : 7.11.41.251 2048 Bytes 06/09/2012 07:37:32 VBASE008.VDF : 7.11.41.252 2048 Bytes 06/09/2012 07:37:32 VBASE009.VDF : 7.11.41.253 2048 Bytes 06/09/2012 07:37:33 VBASE010.VDF : 7.11.41.254 2048 Bytes 06/09/2012 07:37:33 VBASE011.VDF : 7.11.41.255 2048 Bytes 06/09/2012 07:37:33 VBASE012.VDF : 7.11.42.0 2048 Bytes 06/09/2012 07:37:33 VBASE013.VDF : 7.11.42.1 2048 Bytes 06/09/2012 07:37:33 VBASE014.VDF : 7.11.42.65 203264 Bytes 09/09/2012 07:37:34 VBASE015.VDF : 7.11.42.125 156672 Bytes 11/09/2012 10:42:45 VBASE016.VDF : 7.11.42.171 187904 Bytes 12/09/2012 06:29:08 VBASE017.VDF : 7.11.42.235 141312 Bytes 13/09/2012 06:23:43 VBASE018.VDF : 7.11.43.35 133632 Bytes 15/09/2012 10:07:55 VBASE019.VDF : 7.11.43.89 129024 Bytes 18/09/2012 08:00:04 VBASE020.VDF : 7.11.43.141 130560 Bytes 19/09/2012 11:02:25 VBASE021.VDF : 7.11.43.142 2048 Bytes 19/09/2012 11:02:25 VBASE022.VDF : 7.11.43.143 2048 Bytes 19/09/2012 11:02:25 VBASE023.VDF : 7.11.43.144 2048 Bytes 19/09/2012 11:02:25 VBASE024.VDF : 7.11.43.145 2048 Bytes 19/09/2012 11:02:25 VBASE025.VDF : 7.11.43.146 2048 Bytes 19/09/2012 11:02:25 VBASE026.VDF : 7.11.43.147 2048 Bytes 19/09/2012 11:02:25 VBASE027.VDF : 7.11.43.148 2048 Bytes 19/09/2012 11:02:26 VBASE028.VDF : 7.11.43.149 2048 Bytes 19/09/2012 11:02:26 VBASE029.VDF : 7.11.43.150 2048 Bytes 19/09/2012 11:02:26 VBASE030.VDF : 7.11.43.151 2048 Bytes 19/09/2012 11:02:26 VBASE031.VDF : 7.11.43.162 39936 Bytes 20/09/2012 11:02:26 Version du moteur : 8.2.10.164 AEVDF.DLL : 8.1.2.10 102772 Bytes 11/07/2012 09:51:22 AESCRIPT.DLL : 8.1.4.54 459131 Bytes 19/09/2012 08:00:07 AESCN.DLL : 8.1.8.2 131444 Bytes 27/01/2012 17:23:14 AESBX.DLL : 8.2.5.12 606578 Bytes 18/06/2012 06:59:59 AERDL.DLL : 8.1.9.15 639348 Bytes 11/09/2011 08:58:27 AEPACK.DLL : 8.3.0.36 811382 Bytes 15/09/2012 06:25:26 AEOFFICE.DLL : 8.1.2.42 201083 Bytes 21/07/2012 06:29:30 AEHEUR.DLL : 8.1.4.100 5280120 Bytes 15/09/2012 06:25:13 AEHELP.DLL : 8.1.23.2 258422 Bytes 29/06/2012 15:44:00 AEGEN.DLL : 8.1.5.36 434549 Bytes 24/08/2012 15:18:52 AEEXP.DLL : 8.1.0.86 90484 Bytes 10/09/2012 07:37:54 AEEMU.DLL : 8.1.3.2 393587 Bytes 11/07/2012 09:51:12 AECORE.DLL : 8.1.27.4 201078 Bytes 10/08/2012 11:33:01 AEBB.DLL : 8.1.1.0 53618 Bytes 17/08/2010 12:38:45 AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56 AVPREF.DLL : 10.0.3.2 44904 Bytes 06/09/2011 20:16:02 AVREP.DLL : 10.0.0.10 174120 Bytes 18/05/2011 07:33:36 AVARKT.DLL : 10.0.26.1 255336 Bytes 06/09/2011 20:16:01 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 06/09/2011 20:16:01 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56 NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 06/09/2011 20:16:00 RCTEXT.DLL : 10.0.64.0 100712 Bytes 06/09/2011 20:16:00 Configuration pour la recherche actuelle : Nom de la tâche...............................: Sélection manuelle Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\PROFILES\folder.avp Documentation.................................: par défaut Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Sélection de fichiers intelligente Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: avancé Catégories de dangers divergentes.............: +APPL,+GAME,+PFS, Début de la recherche : jeudi 20 septembre 2012 19:31 La recherche d'objets cachés commence. La recherche sur les processus démarrés commence : Processus de recherche 'rsmsink.exe' - '1' module(s) sont contrôlés Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés Processus de recherche 'vssvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'msdtc.exe' - '1' module(s) sont contrôlés Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'KBD.EXE' - '1' module(s) sont contrôlés Processus de recherche 'kpf4gui.exe' - '1' module(s) sont contrôlés Processus de recherche 'kpf4gui.exe' - '1' module(s) sont contrôlés Processus de recherche 'WMPNetwk.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'mbamgui.exe' - '1' module(s) sont contrôlés Processus de recherche 'kpf4ss.exe' - '1' module(s) sont contrôlés Processus de recherche 'c2c_service.exe' - '1' module(s) sont contrôlés Processus de recherche 'NMSAccessU.exe' - '1' module(s) sont contrôlés Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés Processus de recherche 'mbamscheduler.exe' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'avshadow.exe' - '1' module(s) sont contrôlés Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'brss01a.exe' - '1' module(s) sont contrôlés Processus de recherche 'brsvc01a.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD2 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD3 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD4 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '1172' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hp\bin\KillWind.exe [RESULTAT] Contient le modèle de détection de l'application APPL/KillApplicat.A C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP2\A0000222.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen Recherche débutant dans 'D:\' Début de la désinfection : C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP2\A0000222.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '5726cd0e.qua' ! C:\hp\bin\KillWind.exe [RESULTAT] Contient le modèle de détection de l'application APPL/KillApplicat.A [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ffde2e2.qua' ! Fin de la recherche : jeudi 20 septembre 2012 21:07 Temps nécessaire: 1:34:09 Heure(s) La recherche a été effectuée intégralement 14016 Les répertoires ont été contrôlés 570825 Des fichiers ont été contrôlés 2 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 2 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 0 Impossible de scanner des fichiers 570823 Fichiers non infectés 15645 Les archives ont été contrôlées 0 Avertissements 2 Consignes 81261 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés Qu'est ce que je fais, suprimer la quarantaine avant de désinstaller ?

juju666 · Answer

Bof il a rien supprimé :

2 trucs dans les points de restauration qu'on va purger ensemble
1 truc qui tue des processus mais nécessaire à une application HP ...

Ordi sos · Answer

Je purge la restauration ?

juju666 · Answer

bah oui continue où tu en étais arrivé dans le tuto

Ordi sos · Answer

Bon, j'ai assez fait pour aujourd'hui, je me lève a 4H, il faut que j'aille dormir.
Désolé de t'avoir dérangé mais je ne pensais pas que ça allait prendre autant de temps. Je continue demain vers 13H45.
merci et @+

juju666 · Answer

no problem bonne nuit :)

Ordi sos · Answer

Bonjour juju, me revoilà, maintenant, je vais procéder à la désinstallation d'avira et ensuite je scan mon ordi avec antivir removal tool.

Ordi sos · Answer

Bon je vois qu'il y a des avis partagés, quelle différence y a t'il entre les deux alors ?

Ordi sos · Answer

Ok, merci beaucoup, et lorsque j'installe un autre moteur de recherche, faut-il désinstaller IE ou l'ancien moteur de recherche ?

Ordi sos · Answer

Entre autre, j'ai un disque dur externe, comment savoir s'il n'a pas été infecté lui aussi ?

juju666 · Answer

Passe un coup d'usbfix en recherche ;)

http://eldesaparecido.com/usbfix.html

Ordi sos · Answer

Hum !!! au fait, j'ai mis ma clé usb et mon disque externe.
 Voilà le rapport, et après je fais quoi ???

############################## | UsbFix V 7.097 | [Recherche]

Utilisateur: HP_Propriétaire (Administrateur) # CATHERINE
Mis à jour le 02/09/2012 par El Desaparecido
Lancé à 14:10:24 | 25/09/2012

Site Web: https://www.sosvirus.net/
Forum: http://forum.eldesaparecido.com
Fichier suspect ? : http://eldesaparecido.com/upload.php
Contact: contact@eldesaparecido.com

PC: HP Pavilion 061 (EJ285AA-ABF t3237.fr) (X86-based PC
CPU: AMD Athlon(tm) 64 Processor 3200+ (1989)
RAM -> [Total : 1470 | Free : 914]
BIOS: Phoenix - Award BIOS v6.00PG
BOOT: Normal boot

OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [(!) Disabled]

C:\ (%systemdrive%) -> Disque fixe # 145 Go (36 Go libre(s) - 25%) [HP_PAVILION] # NTFS
D:\ -> Disque fixe # 4 Go (379 Mo libre(s) - 9%) [HP_RECOVERY] # FAT32
E:\ -> CD-ROM
G:\ -> Disque amovible # 8 Go (2 Go libre(s) - 23%) [CLÉHP CATHY] # FAT32
K:\ -> Disque fixe # 373 Go (142 Go libre(s) - 38%) [EXTERNE] # FAT32

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (512)
C:\WINDOWS\system32\winlogon.exe (636)
C:\WINDOWS\system32\services.exe (680)
C:\WINDOWS\system32\lsass.exe (692)
C:\WINDOWS\system32\Ati2evxx.exe (860)
C:\WINDOWS\system32\svchost.exe (876)
C:\WINDOWS\System32\svchost.exe (1016)
C:\WINDOWS\system32\svchost.exe (1148)
C:\WINDOWS\system32\brsvc01a.exe (1404)
C:\WINDOWS\system32\brss01a.exe (1440)
C:\WINDOWS\system32\spoolsv.exe (1448)
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe (1484)
C:\Program Files\Avira\AntiVir Desktop\sched.exe (1500)
C:\WINDOWS\system32\Ati2evxx.exe (1640)
C:\WINDOWS\Explorer.EXE (1744)
C:\Program Files\Avira\AntiVir Desktop\avguard.exe (1936)
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1968)
C:\HP\KBD\KBD.EXE (2020)
C:\WINDOWS\system32\svchost.exe (208)
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (336)
C:\Program Files\Bonjour\mDNSResponder.exe (368)
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (396)
C:\WINDOWS\system32\ctfmon.exe (476)
C:\WINDOWS\System32\svchost.exe (484)
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (568)
C:\Program Files\Windows Live\Messenger\msnmsgr.exe (1280)
C:\WINDOWS\System32\svchost.exe (1704)
C:\Program Files\Java\jre6\bin\jqs.exe (1616)
C:\Program Files\CDBurnerXP\NMSAccessU.exe (320)
C:\Documents and Settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe (600)
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe (1232)
C:\WINDOWS\system32\svchost.exe (1536)
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe (2552)
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe (2860)
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (3104)
C:\UsbFix\Go.exe (3264)
C:\WINDOWS\system32\wscntfy.exe (3792)

################## | Éléments infectieux |

Présent! G:\AUTORUN.INF
Présent! K:\AUTORUN.INF
Présent! K:\AUTORUN_.INF

################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
K:\AUTORUN_.INF -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F |

juju666 · Answer

C'est clean :)

Ordi sos · Answer

est ce qu'il faut faire une supression ou pas ?

juju666 · Answer

non.

Ordi sos · Answer

Ok, mais juste une question, j'ai vu que ma clé est vacciné, ça veut dire que par exemple, si ma clé est inséré dans un pc infecté sans le savoir, elle  ne sera pas infectée ? 
Si je regarde bien, la clé usb est le support G, or il n'a pas été vacciné !!

juju666 · Answer

Oui, ça empêchera les infections de s'installer sur ta clé.

Si tu pense que ça n'a pas été fait, relance USBFIX et clique sur VACCINER

Ordi sos · Answer

Ok metci, et au fait, just pour savoir, usbfix est le même type de logiciel que "Panda Usb vaccine" ?

Infection ou pas ???

39 réponses

Discussions similaires

Newsletters