Sujet Précédent Sujet Suivant

[Virus]rapport de secuser, suppression de dll

Résolu/Fermé
Sharmila - 7 avril 2007 à 22:53
 Utilisateur anonyme - 24 avril 2007 à 00:25
Bonsoir à tous,

Après rapport de secuser, j'ai 11 fichiers infectés, j'en avait 61 lundi (oops), mais à coup de ad-axare,ewido,ccleaner et suppression manuelles jen ai encore 11.

Voilà les fichiers infecté

c/windows/Last Good/System32/mswsock.dll =) je suis tentée de le supprimé car répertoire Last Good, c'est suspect

c/windows/servicespack files/i386/mswsock.dll
c/windows/system/regserv.exe

c/windows/system/svchctrl .exe et c/windows/system/svchostw.exe ) tentée de les supprimer aussi car me parait suspect comme fichier, un dérivée de svchost ?
est ce vraiment des fichiers systemes?

c/windows/system32/dllcache/mswsock.dll
c/windows/system32/adirka.exe
c/windows/system32/mswsock.dll
c/windows/system32/rsvp32.dll
c/windows/system32/srchostu.exe
c/windows/system32/wincom32.sys

Voilou mon ptit rapport, je compte remplacer les dll infectés par d'autres dll téléchargés sur le net, je voudrais savoir ce que vous en pensez? est ce une bonne idée?
Aussi ya-t-il des dlls inutiles que je puisse supprimer manuellement?
J'ai pas tellement envie de formater...lol
Pourriez vous m'aider svp et me conseiller ?
Merci à vous et bonne soirée

Sharmila ^^

24 réponses

Précédent
  • 1
  • 2
Réponse 21 / 24
Sharmila
20 avril 2007 à 19:47
Bonsoir Evasion600,

Mon pc se comporte parfaitement bien !
Ca fait plaisir de retrouver son ptit pc. :)
J'ai fixé les 2 lignes que tu as cité et je vais désisntaller les logiciels que tu m'a fais installer sauf avg.

En tous cas un GRAND MERCI à toi et tes amis de PCA.
Vous savez que je vous aime bien ? lol ^^

Encore merci, et bonne soirée

@+
Sharmila
0
Utilisateur anonyme
20 avril 2007 à 22:05
Re Sharmila

...Bonne continuation, et merci de ns avoir fais confiance (PCA @ CCM )
...Tu dois absolument trouver un ami(e), avec une copie autorisée et enregistrée de WinXP, pour faire tes mise à jour en SP2 ;)
...Un peu de lecture :
https://forum.pcastuces.com/sujet.asp?f=25&s=25842&page=1
https://forum.pcastuces.com/default.asp

il serait peut être bon que tu défragmentes ton PC

il est fortement recommandé d'avoir tous ses logiciels de sécurité à jour, afin d'éviter les failles par lesquelles s'engouffrent les infections
pour suivre l'évolution des mise à jour des logiciels de protection ainsi que de java, je te conseille de regarder ici https://forum.pcastuces.com/sujet.asp?f=25&s=25842

Tu peux supprimer tous les logiciels que nous avons utilisés (Type: lopxpmh, Blacklight, SDFix, ect.....)
qui traitent des infections spécifiques et qui sont mis à jour réguliérement.
Tu peux par contre, garder AVG antispyware et CCleaner.

=========================================================================

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration système"
afin de créer un point de restauration sain;
Pour ce faire

"Comment faire pour ...."(lettre A)--->lien dans ma signature sur PCA

=========================================================================

Pour améliorer la sécurité de ton PC prend quelques instants pour lire

Sécuriser son PC +WIFI (versions "hot" & "light")

==========================================================================

Dénonce ton infection pour faire condamner les auteurs.


Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne = Blackdor @ Trojan

---> https://malwarecomplaints.info/

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
conforme au règle du forum (age, ville, département etc..)


============================================================================

S'il te plait, note ton sujet en RÉSOLU....sur CCM

MICHEL
0
Réponse 22 / 24
Sharmila
20 avril 2007 à 22:26
Re Evasion600,

Encore merci à toi et à tes amis de PCA.
Je vais suivre tes conseils !
Bonne soirée

PS: comment afficher Problème résolu ?
0
Utilisateur anonyme
20 avril 2007 à 22:57
Oups, sur CCM, je ne sais pas comment marquer un topic "Résolu", je suis nouveau ici ,)

...Edit: supprime la quarantine d' Avenger, ( j'ai oublié ) / DSL
C:\Avenger
Vide ta corbeille

Bon surf avec prudence / Michel

nota: je me renseigne aussi, pour tes MAJ de WinXP, vers SP2 ( malgré ta copie illégitime, mais là je ne suis sur de rien / OK )
0
olivier
21 avril 2007 à 00:54
Bonsoir à tous les deux

Sharmila, juste pour satisfaire ma curiosité perso :-) après avoir suivi la résolution de ton problème avec intérêt et seulement si tu n'as pas encore utilisé de nettoyeurs de fichiers comme Ccleaner, est-ce que tu pourrais poster le contenu du ficher texte:
C:\Windows\Setupapi.log
Souvent dans ce type d'infection il arrive malheureusement que des fichiers système comme svchost.exe, explorer.exe ou winlogon.exe celon les variantes, soient corrompus ou purement et simplement supprimés et remplacés.
Si jamais ca avait été le cas, le rapport du fichier Setupapi.log le mentionne quelques fois.
Apparement l'infection remonte au 28/03/2007 date à laquelle mswsock.dll a été patchée ou remplacée et a été updaté ensuite le 11/04/2007

Evasion, le rapport diaghelp mentionne la modif du fichier système ndis.sys après l'update de l'infection:

C:\WINDOWS\System32/drivers\ndis.sys -->11/04/2007 14:49:56
Peut-être qu'une vérification de l'intégrité des fichiers système via SFC, ne serait pas superflue...

Dernière chose et je m'éclipse lol, ces fichiers font aussi partis de l'infection, ils sont non actifs et peuvent être supprimés sans problèmes:
C:\WINDOWS\system32\pfxzmtaim.dll
C:\WINDOWS\system32\pfxzmtforum.dll
C:\WINDOWS\system32\pfxzmtgtal.dll
C:\WINDOWS\system32\pfxzmticq.dll
C:\WINDOWS\system32\pfxzmtwbmail.dll
C:\WINDOWS\system32\pfxzmtymsg.dll

a++ et bonne continuation
0
Sharmila > olivier
21 avril 2007 à 12:43
Bonjour Olivier,

Voici le rapport de Setupapi.log :

[Journal SetupAPI]
Version du système d'exploitation = 5.1.2600
ID plate-forme = 2 (NT)
Service Pack = 0.0
Suite = 0x0100
Type de produit = 1
Architecture = x86
[2007/04/15 23:15:53 372.1]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\FileUploader.dll" sur "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\FileUploader.dll".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\FileUploader.dll" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0x800b0100: Il n'y avait pas de signature dans le sujet.
[2007/04/15 23:16:01 372.2]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\FileUploader.inf" sur "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\FileUploader.inf".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\FileUploader.inf" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0x800b0100: Il n'y avait pas de signature dans le sujet.
[2007/04/16 09:40:34 3112.1]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\FileUploader.dll" sur "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\FileUploader.dll".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\FileUploader.dll" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0x800b0100: Il n'y avait pas de signature dans le sujet.
[2007/04/16 09:40:37 3112.2]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\FileUploader.inf" sur "C:\WINDOWS\Downloaded Program Files\FileUploader.inf".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\FileUploader.inf" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0x800b0100: Il n'y avait pas de signature dans le sujet.
[2007/04/18 19:19:07 540.30]
#-199 Exécution de "\??\C:\WINDOWS\system32\winlogon.exe" avec la ligne de commande : winlogon.exe
#-167 SPFILENOTIFY_NEEDMEDIA : Label = "\win51ip", Description = "CD-ROM Windows XP Professionnel", Chemin source = "F:\i386", Fichier source = "mswsock.dll", Indicateurs = 0x00000000.
#E169 SPFILENOTIFY_NEEDMEDIA : renvoi de FILEOP_ABORT. Erreur 1223: L'opération a été annulée par l'utilisateur.
#W187 L'installation a échoué. La restauration des fichiers originaux est tentée.
[2007/04/18 19:21:04 540.33]
#-199 Exécution de "\??\C:\WINDOWS\system32\winlogon.exe" avec la ligne de commande : winlogon.exe
#-167 SPFILENOTIFY_NEEDMEDIA : Label = "\win51ip", Description = "CD-ROM Windows XP Professionnel", Chemin source = "F:\i386", Fichier source = "mswsock.dll", Indicateurs = 0x00000000.
#E169 SPFILENOTIFY_NEEDMEDIA : renvoi de FILEOP_ABORT. Erreur 1223: L'opération a été annulée par l'utilisateur.
#W187 L'installation a échoué. La restauration des fichiers originaux est tentée.
[2007/04/19 20:34:15 536.30]
#-199 Exécution de "\??\C:\WINDOWS\system32\winlogon.exe" avec la ligne de commande : winlogon.exe
#-167 SPFILENOTIFY_NEEDMEDIA : Label = "\win51ip", Description = "CD-ROM Windows XP Professionnel", Chemin source = "F:\i386", Fichier source = "mswsock.dll", Indicateurs = 0x00000000.
#E169 SPFILENOTIFY_NEEDMEDIA : renvoi de FILEOP_ABORT. Erreur 1223: L'opération a été annulée par l'utilisateur.
#W187 L'installation a échoué. La restauration des fichiers originaux est tentée.
[2007/04/19 21:48:54 2104.1]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\rufsi.dll" sur "C:\WINDOWS\Downloaded Program Files\rufsi.dll".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\rufsi.dll" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0x800b0110: Le certificat n'est pas valide pour l'usage requis.
[2007/04/19 21:48:56 2104.2]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\CabSA.inf" sur "C:\WINDOWS\Downloaded Program Files\CabSA.inf".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\CabSA.inf" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0x800b0100: Il n'y avait pas de signature dans le sujet.
[2007/04/19 21:49:35 2104.3]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#E361 Un fichier "c:\docume~1\rani\locals~1\temp\icd2.tmp\enavweb.inf" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 1168: Élément introuvable.
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\naveng32.dll" sur "C:\WINDOWS\Downloaded Program Files\naveng32.dll".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\naveng32.dll" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\navex32a.dll" vers "C:\WINDOWS\Downloaded Program Files\navex32a.dll" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET9.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\navex32a.dll" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\catalog.dat" vers "C:\WINDOWS\Downloaded Program Files\catalog.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SETA.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\catalog.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\ecmsvr32.dll" vers "C:\WINDOWS\Downloaded Program Files\ecmsvr32.dll" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SETB.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\ecmsvr32.dll" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\ecbootil.vxd" vers "C:\WINDOWS\Downloaded Program Files\ecbootil.vxd" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SETC.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\ecbootil.vxd" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscant.dat" vers "C:\WINDOWS\Downloaded Program Files\virscant.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SETD.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscant.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan1.dat" vers "C:\WINDOWS\Downloaded Program Files\virscan1.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SETE.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan1.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan2.dat" vers "C:\WINDOWS\Downloaded Program Files\virscan2.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SETF.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan2.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan3.dat" vers "C:\WINDOWS\Downloaded Program Files\virscan3.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET10.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan3.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan4.dat" vers "C:\WINDOWS\Downloaded Program Files\virscan4.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET11.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan4.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan5.dat" vers "C:\WINDOWS\Downloaded Program Files\virscan5.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET12.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan5.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan6.dat" vers "C:\WINDOWS\Downloaded Program Files\virscan6.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET13.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan6.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan7.dat" vers "C:\WINDOWS\Downloaded Program Files\virscan7.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET14.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan7.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan8.dat" vers "C:\WINDOWS\Downloaded Program Files\virscan8.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET15.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan8.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan9.dat" vers "C:\WINDOWS\Downloaded Program Files\virscan9.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET16.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan9.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\zdone.dat" vers "C:\WINDOWS\Downloaded Program Files\zdone.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET17.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\zdone.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan.inf" vers "C:\WINDOWS\Downloaded Program Files\virscan.inf" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET18.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\virscan.inf" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\scrauth.dat" vers "C:\WINDOWS\Downloaded Program Files\scrauth.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET19.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\scrauth.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tinf.dat" vers "C:\WINDOWS\Downloaded Program Files\tinf.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET1A.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tinf.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tinfidx.dat" vers "C:\WINDOWS\Downloaded Program Files\tinfidx.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET1B.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tinfidx.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tinfl.dat" vers "C:\WINDOWS\Downloaded Program Files\tinfl.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET1C.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tinfl.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tscan1.dat" vers "C:\WINDOWS\Downloaded Program Files\tscan1.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET1D.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tscan1.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tscan1hd.dat" vers "C:\WINDOWS\Downloaded Program Files\tscan1hd.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET1E.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tscan1hd.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\symaveng.inf" vers "C:\WINDOWS\Downloaded Program Files\symaveng.inf" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET1F.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\symaveng.inf" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\symaveng.cat" vers "C:\WINDOWS\Downloaded Program Files\symaveng.cat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET20.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\symaveng.cat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tcdefs.dat" vers "C:\WINDOWS\Downloaded Program Files\tcdefs.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET21.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tcdefs.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tcscan7.dat" vers "C:\WINDOWS\Downloaded Program Files\tcscan7.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET22.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tcscan7.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tcscan8.dat" vers "C:\WINDOWS\Downloaded Program Files\tcscan8.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET23.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tcscan8.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tcscan9.dat" vers "C:\WINDOWS\Downloaded Program Files\tcscan9.dat" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET24.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\tcscan9.dat" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\v.grd" vers "C:\WINDOWS\Downloaded Program Files\v.grd" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET25.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\v.grd" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\v.sig" vers "C:\WINDOWS\Downloaded Program Files\v.sig" via le fichier temporaire "C:\WINDOWS\Downloaded Program Files\SET26.tmp".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\v.sig" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe000022f: Le fichier INF de tierce partie ne contient pas d'informations de signature numérique.
#E197 L'écriture de "C:\WINDOWS\INF\enavweb.inf" vers "C:\WINDOWS\INF" n'est pas une méthode d'installation approuvée des fichiers INF. Utilisez une entrée 'CopyINF' à la place.
#-336 Copie en cours du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD2.tmp\enavweb.inf" vers "C:\WINDOWS\INF\enavweb.inf" via le fichier temporaire "C:\WINDOWS\INF\SET29.tmp".
#E361 Un fichier "C:\WINDOWS\INF\SET29.tmp" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0xe0000237: Un fichier INF a été copié de manière incorrect dans le répertoire Windows INF.
[2007/04/19 21:49:47 2104.7]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\AXXPEE.dll" sur "C:\WINDOWS\Downloaded Program Files\AXXPEE.dll".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\AXXPEE.dll" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0x800b0110: Le certificat n'est pas valide pour l'usage requis.
[2007/04/19 21:49:48 2104.8]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\ecmldr32.dll" sur "C:\WINDOWS\Downloaded Program Files\ecmldr32.dll".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\ecmldr32.dll" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0x800b0110: Le certificat n'est pas valide pour l'usage requis.
[2007/04/19 21:49:48 2104.9]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\navapi.vxd" sur "C:\WINDOWS\Downloaded Program Files\navapi.vxd".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\navapi.vxd" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0x800b0100: Il n'y avait pas de signature dans le sujet.
[2007/04/19 21:49:48 2104.10]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\navapi32.dll" sur "C:\WINDOWS\Downloaded Program Files\navapi32.dll".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\navapi32.dll" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0x800b0110: Le certificat n'est pas valide pour l'usage requis.
[2007/04/19 21:49:48 2104.11]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\avsniffdlgs.dll" sur "C:\WINDOWS\Downloaded Program Files\avsniffdlgs.dll".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\avsniffdlgs.dll" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0x800b0110: Le certificat n'est pas valide pour l'usage requis.
[2007/04/19 21:49:49 2104.12]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\avsniff.dll" sur "C:\WINDOWS\Downloaded Program Files\avsniff.dll".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\avsniff.dll" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0x800b0110: Le certificat n'est pas valide pour l'usage requis.
[2007/04/19 21:49:49 2104.13]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
#-024 Copie du fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\avsniff.inf" sur "C:\WINDOWS\Downloaded Program Files\avsniff.inf".
#E361 Un fichier "C:\DOCUME~1\rani\LOCALS~1\Temp\ICD1.tmp\avsniff.inf" non signé ou incorrectement signé sera installé (Stratégie = ignorer). Erreur 0x800b0100: Il n'y avait pas de signature dans le sujet.

Voilà merci à Evasion encore, j'ai supprimé le dossier Avenger :)

PS: Olivier, tu ne saurait pas comment afficher mon topic comme résolu stp ? merci

@+
Sharmila
0
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162 > Sharmila
21 avril 2007 à 14:59
Salut à vous !

Coucou Olive ;-))

Les Modérateurs et Contributeurs peuvent le faire aussi ;-)

c'est Fait !

@+
0
olivier > olivier
21 avril 2007 à 14:46
Salut Sharmila

Pour que tu puisses marquer le topic résolu il faut obligatoirement que tu soit inscrite en tant que membre sur le site, sinon ce n'est pas possible.

Merci pour la copie du rapport, mais c'est vraiment dommage qu'il ne soit pas exploitable.
Setupapi.log a été crée le 15 avril mais le début de l'infection elle, date d'une bonne quinzaine plus tôt, donc pas possible de vérifier une éventuelle modif d'un fichier systeme de cette
manière.
Ce que tu peux faire en attendant le retour d'Evasion et pour lui permettre de vérifier s'il reste des anomalies dues à l'infection que vous avez éradiqué, c'est :

- Un scan ADS avec hijackthis:

Lance hijackthis, clic sur [Open the misc tools section]
Clic sur [Open ADS spy]
Décoche ces deux options: Quick Scan et Ignore safe system infos stream
Clic sur Scan, puis une fois l'analyse terminée, clic sur Save log
Poste le rapport ici.

Et:
- Menu Démarrer >> Exécuter
tape: cmd
Valide avec la touche [Entrée]

Dans la fenêtre noire qui s'ouvrira, copie la première ligne de la liste ci-dessous et valide avec [Entrée] et fais ensuite la même choses avec les lignes suivantes. 
dir /a /s \iexplore.exe>>\ccm.txt
dir /a /s \svchost.exe>>\ccm.txt
dir /a /s \winlogon.exe>>\ccm.txt
dir /a /s \ndis.sys>>\ccm.txt

Une fois fait, rends toi dans Poste de travail et clic sur l'icône de ton disque dur.
Tu trouveras un fichier nommé: ccm.txt, ouvres-le et copie et colle son contenu ici.
Ce rapport permettra à Evasion de vérifier s'il y a bien eu modification ou remplacement de certains fichiers qui peuvent être, et sont souvent la cible de ce type d'infection.

Bonne continuation, et bon week-end :-)

Olivier
0
Réponse 23 / 24
Utilisateur anonyme
21 avril 2007 à 22:23
Re Sharmila--->Merci de me confirmer le comportement de ta station

...Green Day / Olivier : bonsoir à tous les deux , et merci de vos réponses

Que se passe t-il ?
Avenger à bien travaillé / Escan aussi --->Que voulez vs que je fasse de plus avec un WinXP, illégitime, et je ne puis rien faire pour ses MAJ, sinon, Sharmila sera sur une " blackliste---de CroSoft ( je lui ai conseillé déjà une tricherie, pret d'un CD WinXP officiel, mais je ne suis pas helper pour faire, ou orienter les visiteurs sur ce genre de démarche )

...Pour les "temporaires" de Shirmila ( les traces, donc) / CCleaner, puis EasyCleaner, ICI :

-2- Lance CCleaner, pour un nettoyage, supprime tout ce qu'il trouve

-3- Lance EasyCleaner, pour deux scans : " Inutile ", puis " Registre ", (pas autre chose)
Dans les deux scans supprime tout ce qu'il trouve

Liens :
https://forum.pcastuces.com/sujet.asp?f=25&s=25842&page=1

Bonne réception à tous / Evasion 600
0
Réponse 24 / 24
olivier
22 avril 2007 à 00:20
Bonsoir

Sharmila... ne tiens pas compte de mon message précédent, ton problème est résolu.
Evasion, message reçu...il ne se passe rien.
Avenger/Escan ?
Perso j'aurais plutôt dit merci SDFix et au boulot que fait Andy Manchesta sur cette infection quant on sait l'évolution rapide et agressive qu'a eu cette infection en moins d'un mois, sans quoi la version téléchargé de mswsock.dll aurait été réinfecté un reboot après...

Désolé pour l'incruste, bonne continuation.
0
Utilisateur anonyme
22 avril 2007 à 00:51
Bonsoir Olivier, et merci de ta réponse de tout à l'heure (-45mn )

...SDFix ( et merci à Andy Manchesta ) n'a pas pu casser cette dll infectieuse, et c'est bien un script Avenger ( après désenregisration de la dll, ripoux ), qui l'a sauté!!
...Pour Escan, aucun débat ( relie les posts )

Bon dimanche à toi / Evasion ---->Dodo
0
mOe
22 avril 2007 à 11:58
Salut Evasion

Merci de ne pas me lire en diagonale lol, Avenger a bien fait son boulot pour le remplacement certes, et je n'ai jamais prétendu le contraire.
Pour avoir testé 3 variantes de cette saleté en VM, le remplacement d'un fichier système corrompu ne sert absolument à rien si les éléments qui corrompent ce même fichier ne sont pas supprimés avant, sinon un reboot après il est positif à nouveau.
Cette infection était protégée par plusieurs rootkits et j'ai beau relire le rapport Escan et regarder tes scripts Avenger, je ne vois aucune trace de détection de ces roots, mis à part Bitdef qui au tout début de ce post en a bien détecté et supprimés quelques uns, mais ils étaient à nouveau là un reboot après.
Donc je maintiens qu'SDFix, qui au passage à suprimé aussi Rustock B de la bécane de Sharmila... a proprement supprimé ces rootkits et a permis ensuite que le remplacement de dll que tu as préconisé ne soit pas du boulot fait pour rien.
C'est simplement en çà que je salut le travail et la réactivité d'Andy Manchesta, vu la confiance très moyenne qu'on peut accorder aux AV pour la détection et suppression surtout, de ce type d'infections.
Quant à "casser la dll", no comment...
Elle est essentielle pour la connexion au net et vu que l'infection a écrasé toutes les sauvegardes possibles je ne vois pas ce que pouvait faire de plus SDFix, à part se débarrasser de tout les éléments infectieux sensés se servir de cette dll corrompue et laisser à Sharmila l'accès au net.
Personnellement j'approuve totalement ce choix, tout comme celui de S!ri en son temps pour Smitfraudfix, de ne pas avoir fait supprimer le fichier wininet.dll infecté via le fix, s'il ne trouvait aucune version de secours.
Faudrait pas non plus qu'un outil sensé réparer une infection ne fasse plus de dégats que l'infection en elle même...

Ceci dit, le débat est tout à fait clos en ce qui me concerne.
J'ai juste essayé en passant ici de tenter de mettre en avant ce que j'ai pu constater lors de tests sur cette infection et d'alerter au passage sur des modifications importantes que certaines variantes récentes peuvent occasionner sur des fichiers système.
Libre à chacun ensuite d'y croire ou pas, je le comprend très bien.

Bonne continuation sur les forums et ... Bonne chasse ! :-)

Olivier.
0
Utilisateur anonyme > mOe
24 avril 2007 à 00:25
Bonsoir Olivier
...et merci de toutes ces précisions, pour : SDFix
...je ne suis quand formation ( helper / PCA), et suis partis de très haut avec Sharmila ( son infection )
...il va falloir que j'approfondisse, mes exos ;)

En attendant, merci pour tout / Michel / Evasion600
0

Discussions similaires

XINPUT1_3.dll manquant (missing)
Maxirugue -
dan -

39 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses