Fiabilité des scan antivirus ? et PC infecté

Résolu/Fermé
Signaler
-
 MIMI -
Bonjour

Je suis infecté par des virus et des trojans a tel point que la cellule abuse@orange.fr s'est cru obligée de m'adresser un mail. Elle ferait mieux de s'attaquer au coeur du problème.

J'ai passé toute une journée sans arriver à me débarasser de ces foutus malware, en tentant de lire des réponses glanées ici et là sur les forums et en appliquant les conseils donnés, mais il semble vraiment que chaque cas soit particulier.

en résumé,
1- le logiciel a-squared m'informe avoir trouvé des virus : W32/drefir.E.worm
Trj/downloader.MRR
Trj/abox.A
Trj/DeskAsx.A
etc....
des outils indésirables :
Application/Winfixer2005
des dialers :
Dialer.Gen
des spyware :
Cookies....

2- Aucun des outils de scan que j'aie pu utiliser ne m'en a débarassé. J'avais cru comprendre qu'il fallait redémarrer en mode sans echec pour pouvoir les éradiquer pendant qu'ils étaient inactifs

3- Lors de mon redémarrage en mode sans echec, je n'ai trouvé aucun des fichiers concernés dans les chemins que j'ai parcourrus !!! donc impossibilité d'en supprimer.

4- J'ai refait un scan a l'aide de l'outil securitoo dispo sur le site d'Orange. celui-ci me trouve 6 virus Trojan-downloads.Win32.Vbt détectés dans un répertoir quasi unique :
C/..../temporaryinternetfiles/contentIE5/XXXXXX\get-message2(1).htm
et un 7ème C/Windows/router.exe

5- j'installe le soft TheCleaner 4.2 pro dont j'ai lu qu'il pouvait détruire les trojans. Après update de ses bases de données et un scan completed 100% il m'informe :"trojans found : 0" !!!!

alors que je vois très bien mon scanner résident avast s'exciter en raison d'un très grand nombre d'envois de mails à mon insu (à l'origine je pense du mail reçu de la cellule abuse d'orange).

Mais en même temps que je vous écris, je prends conscience que j'ai paramétré TheCleaner pour deleter tout de suite les trojans, sans les mettre en quarantaine. Ai-je bien fait ? est-ce pour ça qu'il m'annonce n'avoir rien trouvé (auquel cas le fonctionnement dudit machin est complètement idiot !!) ?

Merci de vos réponses et au final, quelqu'un peut-il m'indiquer quelque(s) manipulations simples afin que je vérifie avec fiabilité avoir un PC désinfecté ?

UN GRAND MERCI A CEUX QUI M'AIDERONT ET BRAVO POUR LEURS COMPETENCES....

Ca fait un moment que je pense qu'en maitrisant les technologies de l'internet (donc l'informatique) voire la téléphonie en plus, on est un peu les rois du monde.....

Phil

5 réponses

Salut


Voiçi un autre antivirus trés efficace a la place du tiens!
faire deux a trois fois les mis a jours et scanner!

http://www.commentcamarche.net/download/telecharger-118-avg

aprés:

AVG = antispyware : http://free.grisoft.com/doc/5390/lng/us/tpl/v5#avg-anti-spyware-free


après:
HijackThis = évaluation des logs:
https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

et après le poster

et après, ciao
0
Gary, Bonjour.

J'ai installé tes softs et executé l'intégralité des scans proposés dans ton mail ce matin...
Tout s'est a priori bien passé.

Voici donc le fichier des logs HijackThis : Que faut-il en déduire ?

Merci de ta réponse.
:o)


Logfile of HijackThis v1.99.1
Scan saved at 17:24:29, on 16/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\oneclick\oneclick.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\dispatcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\PVSW\Bin\w3dbsmgr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\The Cleaner\tca.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Documents and Settings\Phil\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [OneClick] "C:\Program Files\oneclick\oneclick.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PC Suite for Smartphones] "C:\Program Files\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Dispatcher] C:\WINDOWS\dispatcher.exe
O4 - HKLM\..\Run: [tcactive] D:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Pervasive.SQL Workgroup Engine.lnk = C:\PVSW\Bin\w3dbsmgr.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/B/F/CBF23A2C-3E55-4664-BC5C-762780D79BA0/OGAControl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www.nordnet.com/securite
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
S'il y a des "lignes" a supprimer, des soft à eliminer, merci de ton aide preciseuse, en me disant si tu en as le temps, pourkoi il faut l'eliminer, et en quoi cela presente un interet....

@+
0
merci pour cette reponse.

je mets en application....

@ bientot pour l'analyse du rapport

:o)
0
re:

fixe:
O4 - HKLM\..\Run: [Dispatcher] C:\WINDOWS\dispatcher.exe
Nasty Effacer à tout prix !Troj/Dloadr-As

et enleve un antivirus "avast" pour éviter les conflits et instal un firewall
par exemple Zone alarme:
http://telechargement.journaldunet.com/telechargement/803/2/zone_alarm/index.html

ciao
0
bonsoir et encore merci de tes reponses.

juste une precision....je ne comprends pas ce ke tu ve dire par :

"fixe:
O4 - HKLM\..\Run: [Dispatcher] C:\WINDOWS\dispatcher.exe "

merci a toi.

et pour info, je suis expert comptable, si a charge de revanche je peux t'aider en koi ke ce soit ki releve de mon domaine, c'est avec plaisir....

:o)
0
ok:

fixe: = Suprimer


ok, dac ! merçi Ô Ô
I
(__)
0
Bonjour, mon PC est infecté par un TROJ DLOADR.CS, impossible de le nettoyer, je supprime donc les fichiers infectés, mais il revient à chaque fois. Merci pour votre aide
0