[Virus] Win32:Rjump et Win32:Trojan-gen
Résolu
Sinai01
Messages postés
58
Statut
Membre
-
yubi -
yubi -
Bonjour à tous,
j'ai un soucis avec un ordi, merci d'avance aux bonnes âmes qui auront le courage de m'aider (pas très calée en informatique, n'hésitez pas à employer des termes simplissimes avec moi ! ;) )
On a eu des pubs intempestives (porno essentiellement, pub pour des antivirus parfois) sous IE. On a changé de navigateur et utilisé firefox. Pas de problemes dans un premier temps, puis c'est apparu sous firefox egalement.
Avast trouve Win32:Rjump[Wrm] dans C:\windows\adober.exe, et aussi dans C:\SystemVolumeInformation\-restore{E57F60AF-D3FE-448C-B9 (celui-là sort plusieurs fois)
Avast trouve Win32:Trojan-gen{Other} dans C:\WINDOWS\System32\prodsrvs.exe
J'ai fait un scan minutieux (j'ai vu que le scan des archives était desactivé, je ne sais pas si c'est ok), et j'ai mis toutes ces choses en quarantaines comme recommandé.
Pour info, pendant le scan, avast a signalé qu'un virus était actif et a recommandé de planifier un scan au démarrage, ce que je n'ai pas pu faire (il faut une version pro peut-être).
a la fin du scan, il dit avoir trouvé 8 fichiers infectés :
C:\SystemeVolumeInformation\...\A0135486.exe
C:\SystemeVolumeInformation\...\A0135580.exe
C:\SystemeVolumeInformation\...\A0142042.exe
C:\SystemeVolumeInformation\...\A0142536.exe
C:\SystemeVolumeInformation\...\A0142658.exe
C:\SystemeVolumeInformation\...\A0142877.exe
C:\SystemeVolumeInformation\...\A0151984.exe
Pour info, un scan avait été fait il y a un petit moment avec ClamWin, voici le rapport (il date un peu, mais comme rien n'a été fait depuis sauf le scan avast ci-dessus...) :
--------------------------------------
Scan started: Thu Apr 5 16:51:21 2007
ERROR: Can't open file C:\WINDOWS\SoftwareDistribution\EventCache\344849AC-FFE9-4E0F-B35C-B22BF231382E.bin
ERROR: Can't open file C:\WINDOWS\system32\CatRoot2\tmp.edb
ERROR: Can't open file C:\WINDOWS\system32\config\default
ERROR: Can't open file C:\WINDOWS\system32\config\SAM
ERROR: Can't open file C:\WINDOWS\system32\config\SECURITY
ERROR: Can't open file C:\WINDOWS\system32\config\software
ERROR: Can't open file C:\WINDOWS\system32\config\system
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\poigyegg.default\Cache\EFE1817Dd01: Email.Phishing.RB-524 FOUND
C:\Program Files\Wanadoo\Config\labarena\Firefox\Cache\FE186ED8d01: Email.Phishing.RB-324 FOUND
C:\WINDOWS\AdobeR.exe: Worm.Rjump-1 FOUND
C:\WINDOWS\system32\linewsrv.exe: Dialer-767 FOUND
-- summary --
Known viruses: 91349
Scanned directories: 6346
Scanned files: 86216
Infected files: 4
Data scanned: 13681.59 MB
I/O buffer size: 131072 bytes
Time: 21858.388 sec (364 m 18 s)
-------------------
Completed
-------------------
Je vais faire un rapport HijackThis, que je poste dans quelques instants
j'ai un soucis avec un ordi, merci d'avance aux bonnes âmes qui auront le courage de m'aider (pas très calée en informatique, n'hésitez pas à employer des termes simplissimes avec moi ! ;) )
On a eu des pubs intempestives (porno essentiellement, pub pour des antivirus parfois) sous IE. On a changé de navigateur et utilisé firefox. Pas de problemes dans un premier temps, puis c'est apparu sous firefox egalement.
Avast trouve Win32:Rjump[Wrm] dans C:\windows\adober.exe, et aussi dans C:\SystemVolumeInformation\-restore{E57F60AF-D3FE-448C-B9 (celui-là sort plusieurs fois)
Avast trouve Win32:Trojan-gen{Other} dans C:\WINDOWS\System32\prodsrvs.exe
J'ai fait un scan minutieux (j'ai vu que le scan des archives était desactivé, je ne sais pas si c'est ok), et j'ai mis toutes ces choses en quarantaines comme recommandé.
Pour info, pendant le scan, avast a signalé qu'un virus était actif et a recommandé de planifier un scan au démarrage, ce que je n'ai pas pu faire (il faut une version pro peut-être).
a la fin du scan, il dit avoir trouvé 8 fichiers infectés :
C:\SystemeVolumeInformation\...\A0135486.exe
C:\SystemeVolumeInformation\...\A0135580.exe
C:\SystemeVolumeInformation\...\A0142042.exe
C:\SystemeVolumeInformation\...\A0142536.exe
C:\SystemeVolumeInformation\...\A0142658.exe
C:\SystemeVolumeInformation\...\A0142877.exe
C:\SystemeVolumeInformation\...\A0151984.exe
Pour info, un scan avait été fait il y a un petit moment avec ClamWin, voici le rapport (il date un peu, mais comme rien n'a été fait depuis sauf le scan avast ci-dessus...) :
--------------------------------------
Scan started: Thu Apr 5 16:51:21 2007
ERROR: Can't open file C:\WINDOWS\SoftwareDistribution\EventCache\344849AC-FFE9-4E0F-B35C-B22BF231382E.bin
ERROR: Can't open file C:\WINDOWS\system32\CatRoot2\tmp.edb
ERROR: Can't open file C:\WINDOWS\system32\config\default
ERROR: Can't open file C:\WINDOWS\system32\config\SAM
ERROR: Can't open file C:\WINDOWS\system32\config\SECURITY
ERROR: Can't open file C:\WINDOWS\system32\config\software
ERROR: Can't open file C:\WINDOWS\system32\config\system
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\poigyegg.default\Cache\EFE1817Dd01: Email.Phishing.RB-524 FOUND
C:\Program Files\Wanadoo\Config\labarena\Firefox\Cache\FE186ED8d01: Email.Phishing.RB-324 FOUND
C:\WINDOWS\AdobeR.exe: Worm.Rjump-1 FOUND
C:\WINDOWS\system32\linewsrv.exe: Dialer-767 FOUND
-- summary --
Known viruses: 91349
Scanned directories: 6346
Scanned files: 86216
Infected files: 4
Data scanned: 13681.59 MB
I/O buffer size: 131072 bytes
Time: 21858.388 sec (364 m 18 s)
-------------------
Completed
-------------------
Je vais faire un rapport HijackThis, que je poste dans quelques instants
A voir également:
- [Virus] Win32:Rjump et Win32:Trojan-gen
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Virus informatique - Guide
69 réponses
Bon alors pas possible de faire le scan en ligne
(en fait je ne suis pas sur place avec l'ordi en question, je dicte les instructions au telephone pas à pas, la personne à l'autre bout du fil n'est pas très douée malgré le remâchage des infos que tu as dejà bien premâchées avant, là je suppose que c'est bêtement un blocage des fenetres pop-up qui fait qu'aucun scan en ligne ne peut être lancé, mais j'ai beau m'arracher les cheveux je n'arrive pas à lui faire trouver comment regler le probleme)
Bref, tout cela pour dire que si tu pense que c'est ok, est-ce qu'on prend le risque de passer à la suite sans ce dernier scan ?
(en fait je ne suis pas sur place avec l'ordi en question, je dicte les instructions au telephone pas à pas, la personne à l'autre bout du fil n'est pas très douée malgré le remâchage des infos que tu as dejà bien premâchées avant, là je suppose que c'est bêtement un blocage des fenetres pop-up qui fait qu'aucun scan en ligne ne peut être lancé, mais j'ai beau m'arracher les cheveux je n'arrive pas à lui faire trouver comment regler le probleme)
Bref, tout cela pour dire que si tu pense que c'est ok, est-ce qu'on prend le risque de passer à la suite sans ce dernier scan ?
ah ! on a peut-être un espoir avec bitdefender, il semble qu'on ait pu le lancer...
je reviens dès que c'est terminé...
je reviens dès que c'est terminé...
re
c'est sûr que par téléphone, ce n'est pas très facile. Si tu as pu lancer le scan en ligne, laisse le terminer et poste le rapport.
Je serais là plus tard dan sla soirée
c'est sûr que par téléphone, ce n'est pas très facile. Si tu as pu lancer le scan en ligne, laisse le terminer et poste le rapport.
Je serais là plus tard dan sla soirée
Bonsoir !
ben zut, on dirait que bitdefender a encore trouvé des cochonneries....
BitDefender Online Scanner
Rapport d'analyse généré à: Tue, May 15, 2007 - 19:11:29
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;
Statistiques
Temps
02:15:30
Fichiers
413706
Directoires
5567
Secteurs de boot
3
Archives
1883
Paquets programmes
42722
Résultats
Virus identifiés
4
Fichiers infectés
6
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
6
Info sur les moteurs
Définition virus
506396
Version des moteurs
AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)
Analyse des plugins
14
Archive des plugins
38
Unpack des plugins
6
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut
C:\Navipromo\Backups\Heuristic\instacs.exe.off
Infecté par: Trojan.Wintrim.6OJ
C:\Navipromo\Backups\Heuristic\instacs.exe.off
Echec de la désinfection
C:\Navipromo\Backups\Heuristic\instacs.exe.off
Supprimé
C:\RECYCLER\S-1-5-21-57989841-1078145449-725345543-1003\Dc1.exe
Infecté par: Worm.RJump.K
C:\RECYCLER\S-1-5-21-57989841-1078145449-725345543-1003\Dc1.exe
Echec de la désinfection
C:\RECYCLER\S-1-5-21-57989841-1078145449-725345543-1003\Dc1.exe
Supprimé
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP404\A0151995.exe
Infecté par: Trojan.Dialer.InstantAccess.B
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP404\A0151995.exe
Echec de la désinfection
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP404\A0151995.exe
Supprimé
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP406\A0152848.exe
Infecté par: Trojan.Wintrim.6OJ
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP406\A0152848.exe
Echec de la désinfection
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP406\A0152848.exe
Supprimé
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP406\A0152856.dll
Infecté par: Trojan.Mailskinner.DLL
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP406\A0152856.dll
Echec de la désinfection
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP406\A0152856.dll
Supprimé
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP411\A0154920.exe
Infecté par: Worm.RJump.K
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP411\A0154920.exe
Echec de la désinfection
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP411\A0154920.exe
Supprimé
ben zut, on dirait que bitdefender a encore trouvé des cochonneries....
BitDefender Online Scanner
Rapport d'analyse généré à: Tue, May 15, 2007 - 19:11:29
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;
Statistiques
Temps
02:15:30
Fichiers
413706
Directoires
5567
Secteurs de boot
3
Archives
1883
Paquets programmes
42722
Résultats
Virus identifiés
4
Fichiers infectés
6
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
6
Info sur les moteurs
Définition virus
506396
Version des moteurs
AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)
Analyse des plugins
14
Archive des plugins
38
Unpack des plugins
6
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut
C:\Navipromo\Backups\Heuristic\instacs.exe.off
Infecté par: Trojan.Wintrim.6OJ
C:\Navipromo\Backups\Heuristic\instacs.exe.off
Echec de la désinfection
C:\Navipromo\Backups\Heuristic\instacs.exe.off
Supprimé
C:\RECYCLER\S-1-5-21-57989841-1078145449-725345543-1003\Dc1.exe
Infecté par: Worm.RJump.K
C:\RECYCLER\S-1-5-21-57989841-1078145449-725345543-1003\Dc1.exe
Echec de la désinfection
C:\RECYCLER\S-1-5-21-57989841-1078145449-725345543-1003\Dc1.exe
Supprimé
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP404\A0151995.exe
Infecté par: Trojan.Dialer.InstantAccess.B
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP404\A0151995.exe
Echec de la désinfection
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP404\A0151995.exe
Supprimé
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP406\A0152848.exe
Infecté par: Trojan.Wintrim.6OJ
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP406\A0152848.exe
Echec de la désinfection
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP406\A0152848.exe
Supprimé
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP406\A0152856.dll
Infecté par: Trojan.Mailskinner.DLL
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP406\A0152856.dll
Echec de la désinfection
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP406\A0152856.dll
Supprimé
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP411\A0154920.exe
Infecté par: Worm.RJump.K
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP411\A0154920.exe
Echec de la désinfection
C:\System Volume Information\_restore{E57F60AF-D3FE-488C-B9A1-8C9F729F8A7D}\RP411\A0154920.exe
Supprimé
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bonsoir,
non, ne t'inquiète pas ce sont :
les backups de navipromo, tu vas supprimer
la corbeille, tu vas la vider
et la restauration système, tu vas la désactiver pour recréer un nouveau point propre en procédant de cette manière
* Tu peux supprimer tous les logiciels que nous avons utilisés (Type: SmitFraufix, Blacklight, SDFix, ect.....)
qui traitent des infections spécifiques et qui sont mis à jour réguliérement.
* démarrer-----------panneau de configuration------------système----------
onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------
redémarre l'ordinateur
réactive la ensuite
maintenant, on peut passer au reste si tu veux.
non, ne t'inquiète pas ce sont :
les backups de navipromo, tu vas supprimer
la corbeille, tu vas la vider
et la restauration système, tu vas la désactiver pour recréer un nouveau point propre en procédant de cette manière
* Tu peux supprimer tous les logiciels que nous avons utilisés (Type: SmitFraufix, Blacklight, SDFix, ect.....)
qui traitent des infections spécifiques et qui sont mis à jour réguliérement.
* démarrer-----------panneau de configuration------------système----------
onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------
redémarre l'ordinateur
réactive la ensuite
maintenant, on peut passer au reste si tu veux.
Chouette !
pour info, on m'a signalé que le PC est maintenant moins lent...
pour résumer ce que je peux supprimer, histoire d'être sûre :
- Navipromo
- brute force uninstaller (dont winsoftaware.bfu et EGDACCESS.bfu)
- Les fichiers des scan en ligne (panda, secuser, symantec, bitdefender)
C'est ok, ceux-là on n'en aura plus besoin ?
Je garde AVG, regcleaner, et ccleaner ?
pour info, on m'a signalé que le PC est maintenant moins lent...
pour résumer ce que je peux supprimer, histoire d'être sûre :
- Navipromo
- brute force uninstaller (dont winsoftaware.bfu et EGDACCESS.bfu)
- Les fichiers des scan en ligne (panda, secuser, symantec, bitdefender)
C'est ok, ceux-là on n'en aura plus besoin ?
Je garde AVG, regcleaner, et ccleaner ?
Je garde AVG, regcleaner, et ccleaner ?
oui tu peux garder.
pour les autres si plus d'infection, plus besoin, ils sont mis régulièrement à jour, donc ils seront inutiles dans qq temps
Ok, on va faire ça (demain je pense)
Est-ce que tu veux déjà me donner les instructions suivantes pour la suite ?
(au cas où, je precise que dejà je ne sais pas comment on fait une analyse avec hijackthis sur autre chose que C: ...
J'espère que tu n'en a pas trop marre de mon cas !! en tout cas, merci beaucoup pour tout ton boulot...
Est-ce que tu veux déjà me donner les instructions suivantes pour la suite ?
(au cas où, je precise que dejà je ne sais pas comment on fait une analyse avec hijackthis sur autre chose que C: ...
J'espère que tu n'en a pas trop marre de mon cas !! en tout cas, merci beaucoup pour tout ton boulot...
demain ce sera mieux, vu l'heure tardive ce soir
pour l'autre pc, il faudra ceci :
* Télécharge HijackThis et poste le rapport stp
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm
pour l'autre pc, il faudra ceci :
* Télécharge HijackThis et poste le rapport stp
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm
En fait, il reste à nettoyer :
- le disque D du meme PC (a moins que les manip dejà faites l'aient traitées en meme temps que C ?)
- Un peripherique MPIO
- Un ordi pas connecté au net (est-ce que je peux telecharger les logiciels necessaires sur clé usb, puis les installer sur ce second ordi, puis revenir avec les rapports sur le premier PC pour les poster via la cle USB ? Mais j'ai dans l'idée que ça va tout réinfecter, non ?) (Meme probleme pour traiter le periphérique Mpio d'ailleurs)
Comment est-ce que je peux generer un rapport sur autre chose que C ? En l'installant sur D, par exemple ?
(desolée pour les questions bêtes ! Tu m'as beaucoup appris à force, mais ça j'ai encore jamais fait ! ;) )
- le disque D du meme PC (a moins que les manip dejà faites l'aient traitées en meme temps que C ?)
- Un peripherique MPIO
- Un ordi pas connecté au net (est-ce que je peux telecharger les logiciels necessaires sur clé usb, puis les installer sur ce second ordi, puis revenir avec les rapports sur le premier PC pour les poster via la cle USB ? Mais j'ai dans l'idée que ça va tout réinfecter, non ?) (Meme probleme pour traiter le periphérique Mpio d'ailleurs)
Comment est-ce que je peux generer un rapport sur autre chose que C ? En l'installant sur D, par exemple ?
(desolée pour les questions bêtes ! Tu m'as beaucoup appris à force, mais ça j'ai encore jamais fait ! ;) )
- le disque D du meme PC (a moins que les manip dejà faites l'aient traitées en meme temps que C ?)
ah oui c'est une autre partition, pas un autre pc.
non il faut faire la même chose sur D
- Un peripherique MPIO
oups ! je sais pas ce que c'est .....
- Un ordi pas connecté au net (est-ce que je peux telecharger les logiciels necessaires sur clé usb, puis les installer sur ce second ordi, puis revenir avec les rapports sur le premier PC pour les poster via la cle USB ?
oui on n'aura pas trop le choix autrement
Mais j'ai dans l'idée que ça va tout réinfecter, non ?) (Meme probleme pour traiter le periphérique Mpio d'ailleurs)
non puisque tu ne posteras que des rapports.
Comment est-ce que je peux generer un rapport sur autre chose que C ? En l'installant sur D, par exemple ?
oui pour faire sur D
(desolée pour les questions bêtes ! Tu m'as beaucoup appris à force, mais ça j'ai encore jamais fait ! ;) )
y a pas de soucis t'inquiète pas
Bonjour !
en fait, le peripherique dont je parle (un mpio HD200) est à la base un baladeur MP3 de 5 Go, mais là il est utilisé comme clé USB ou comme disque dur externe. (J'ai d'ailleurs bien peur que ce soit lui qui nous serve de clé USB pour la suite, mais comme semble-t-il il est infecté, ça va tout réinfecter, non ?)
Pour info sur cet objet : http://www.mpiofrance.com/hd200.asp
Sinon, on a fait le rapport HijackThis pour le disque D:, on a bien installé Hijackthis dans D: et lancé le scan depuis D:,, mais j'ai l'impression qu'il a analysé C:... Si c'est le cas, je ne sais pas comment faire autrement ?
Je te mets quand même le rapport obtenu :
Logfile of HijackThis v1.99.1
Scan saved at 16:26:28, on 17/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ECB-BP.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\MSWorks\Calendrier\WKCALREM.EXE
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ARC3\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ARC4\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\ECB-BP.exe" /dontopenmycards
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ClamWin] C:\Program Files\ClamWin\bin\ClamTray.exe --logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\MSWorks\Calendrier\WKCALREM.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
en fait, le peripherique dont je parle (un mpio HD200) est à la base un baladeur MP3 de 5 Go, mais là il est utilisé comme clé USB ou comme disque dur externe. (J'ai d'ailleurs bien peur que ce soit lui qui nous serve de clé USB pour la suite, mais comme semble-t-il il est infecté, ça va tout réinfecter, non ?)
Pour info sur cet objet : http://www.mpiofrance.com/hd200.asp
Sinon, on a fait le rapport HijackThis pour le disque D:, on a bien installé Hijackthis dans D: et lancé le scan depuis D:,, mais j'ai l'impression qu'il a analysé C:... Si c'est le cas, je ne sais pas comment faire autrement ?
Je te mets quand même le rapport obtenu :
Logfile of HijackThis v1.99.1
Scan saved at 16:26:28, on 17/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ECB-BP.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\MSWorks\Calendrier\WKCALREM.EXE
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ARC3\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ARC4\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\ECB-BP.exe" /dontopenmycards
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ClamWin] C:\Program Files\ClamWin\bin\ClamTray.exe --logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\MSWorks\Calendrier\WKCALREM.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
BitDefender Online Scanner Rapport d'analyse généré à: Tue, May 15, 2007 - 19:11:29 Voie d'analyse: A:\;C:\;D:\;E:\;F:\;
est-ce que ça ne veut pas dire que D a déjà été analysé par bitdefender ?
En fait là on galère pour lancer un scan en ligne sur D, systematiquement ça commence par analyser C...
Pour info, sur D il n'y a que des fichiers documents, images, musique... Aucun programme installé dessus.
re
oui il a été analysé, puisqu'on a fait les disques locaux. logique, je m'y perds .....lol
donc normalement le pc doit être clean
sur ta clé tu as des choses que tu veux conserver je suppose ?
oui il a été analysé, puisqu'on a fait les disques locaux. logique, je m'y perds .....lol
donc normalement le pc doit être clean
sur ta clé tu as des choses que tu veux conserver je suppose ?
lol ! Ben tant mieux, d'un autre côté...
Oui, effectivement il y a des trucs à conserver sur la clé autant que possible...
Est-ce qu'on peut la nettoyer sans tout virer ?
Et si ce n'est pas possible, que faut-il faire pour qu'elle soit propre ?
Oui, effectivement il y a des trucs à conserver sur la clé autant que possible...
Est-ce qu'on peut la nettoyer sans tout virer ?
Et si ce n'est pas possible, que faut-il faire pour qu'elle soit propre ?
je n'ai jamais eu à le faire. Tjs avec un scan en ligne, regarde si tu peux scanner ta clé que tu auras branchée au préalable
ok, je vais tenter ça...
juste je n'osais pas trop brancher la clé, de peur qu'elle ne reinfecte l'ordi maintenant tout propre.
Je tente le coup et je te tiens au courant !
juste je n'osais pas trop brancher la clé, de peur qu'elle ne reinfecte l'ordi maintenant tout propre.
Je tente le coup et je te tiens au courant !
Au risque d'être un peu casse bonbons : je viens de farfouiller sur le net pour essayer d'en savoir un peu plus (j'ai le secret espoir d'être capable un jour futur de moins t'embêter avec mes problèmes de débutante !! ;) , et il semblerait que lorsqu'une clé usb est infectée par adober.exe elle infecte dès sa connection l'ordi auquel elle est branchée, grace à un certain fichier autorun.inf (je te cite tout ça en vrac, ça doit être plus clair pour toi que pour moi !)
Alors je me demandais s'il ne valait pas mieux faire un scan de la clé usb avec un avast ou avg en mode sans echec ? (enfin... je ne sais pas si ça réduit vraiment les risques finalement)
Qu'en penses-tu ?
Alors je me demandais s'il ne valait pas mieux faire un scan de la clé usb avec un avast ou avg en mode sans echec ? (enfin... je ne sais pas si ça réduit vraiment les risques finalement)
Qu'en penses-tu ?
Bonsoir ! J'espère que tu as passé un bon week-end... (au moins, je n'étais pas là, et je ne t'ai pas surchargée de travail, c'est déjà ça ! ;) )
Alors voilà ce que nous avons fait pour la clé USB (me suis largement inspirée de Malekal) :
- on a affiché les dossiers cachés, décoché "masquer les fichiers protégés".
- on a branché la clé usb.
- on a lancé (en mode sans echec) un scan de la clé usb (H:) par Clamwin (avg ne trouvant rien, et avast ne parvenant pas à mettre les fichiers infectés en quarantaine), dont voici le rapport :
--------------------------------------
Scan started: Mon May 21 14:28:26 2007
H:\System Volume Information\_restoreE57F60AF-D3FE-488C-B9A1-8C9F729F8A7D\RP392\A0142540.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restoreE57F60AF-D3FE-488C-B9A1-8C9F729F8A7D\RP1\A0000379.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP304\A0155392.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP304\A0155401.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP310\A0155644.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP310\A0155659.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP311\A0155686.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP311\A0155716.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP312\A0155757.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP312\A0155765.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP312\A0155775.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP312\A0155806.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP312\A0155815.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP313\A0155826.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP314\A0155882.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP314\A0155953.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP315\A0155976.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP316\A0156002.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP322\A0156615.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP322\A0156647.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP322\A0156663.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP322\A0156673.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP323\A0156712.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP324\A0156769.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP326\A0157858.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP327\A0158015.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP328\A0158044.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore1E7E9672-0000-41CE-889B-B4941F342CD3\RP21\A0003247.exe: Worm.Rjump-1 FOUND
-- summary --
Known viruses: 93166
Scanned directories: 43
Scanned files: 284
Infected files: 28
Data scanned: 276.21 MB
I/O buffer size: 131072 bytes
Time: 264.838 sec (4 m 24 s)
-------------------
Completed
-------------------
- Pour ouvrir la clé usb, pas de double click, mais click droit puis ouvrir (sinon ça lance adober.exe, parait-il)
- Là on a supprimé les fichiers louches : adober, autorun, et ravmonlog (tu connais ?)
- ensuite, on a lancé un scan AVG (en mode sans echec), mais il ne trouve toujours rien.
- Puis un scan avast ; il trouve Win32:RJump[WRM] dans la clé usb (H:) aux endroits suivants :
H:\Systeme Volume Information\_restore{E57F6QAF-D3FE-488C-B9
(il le signale 2 fois)
H:\Systeme Volume Information\_restore{9AEDEF4B-1977-4657-B8
(Il le signale plus de 10 fois)
H:\Systeme Volume Information\_restore{1E7E9672-0000-41CE-889
(Il le signale 1 fois)
Puis Avast s'est fermé de façon tout a fait spontanée et surprenante avant de finir son scan (il avait analysé environ 5000 fichiers). Aucune idée du pourquoi de la chose...
- on a installé sur H:, puis lancé, hijackthis, dont voici le rapport (je ne sais pas si ça t'aidera, je ne sais pas trop s'il a analysé H: dans l'histoire) :
Logfile of HijackThis v1.99.1
Scan saved at 15:01:54, on 21/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ECB-BP.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\MSWorks\Calendrier\WKCALREM.EXE
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\PROGRA~1\Wanadoo\Watch.exe
H:\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\ECB-BP.exe" /dontopenmycards
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ClamWin] C:\Program Files\ClamWin\bin\ClamTray.exe --logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\MSWorks\Calendrier\WKCALREM.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Voilà, je ne sais pas ce que tu pense de tout ça ? Moi je ne vois pas du tout quoi faire....
Alors voilà ce que nous avons fait pour la clé USB (me suis largement inspirée de Malekal) :
- on a affiché les dossiers cachés, décoché "masquer les fichiers protégés".
- on a branché la clé usb.
- on a lancé (en mode sans echec) un scan de la clé usb (H:) par Clamwin (avg ne trouvant rien, et avast ne parvenant pas à mettre les fichiers infectés en quarantaine), dont voici le rapport :
--------------------------------------
Scan started: Mon May 21 14:28:26 2007
H:\System Volume Information\_restoreE57F60AF-D3FE-488C-B9A1-8C9F729F8A7D\RP392\A0142540.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restoreE57F60AF-D3FE-488C-B9A1-8C9F729F8A7D\RP1\A0000379.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP304\A0155392.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP304\A0155401.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP310\A0155644.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP310\A0155659.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP311\A0155686.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP311\A0155716.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP312\A0155757.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP312\A0155765.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP312\A0155775.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP312\A0155806.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP312\A0155815.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP313\A0155826.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP314\A0155882.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP314\A0155953.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP315\A0155976.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP316\A0156002.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP322\A0156615.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP322\A0156647.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP322\A0156663.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP322\A0156673.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP323\A0156712.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP324\A0156769.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP326\A0157858.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP327\A0158015.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore9AEDEF4B-1977-4657-B854-EFDB21259CFF\RP328\A0158044.exe: Worm.Rjump-1 FOUND
H:\System Volume Information\_restore1E7E9672-0000-41CE-889B-B4941F342CD3\RP21\A0003247.exe: Worm.Rjump-1 FOUND
-- summary --
Known viruses: 93166
Scanned directories: 43
Scanned files: 284
Infected files: 28
Data scanned: 276.21 MB
I/O buffer size: 131072 bytes
Time: 264.838 sec (4 m 24 s)
-------------------
Completed
-------------------
- Pour ouvrir la clé usb, pas de double click, mais click droit puis ouvrir (sinon ça lance adober.exe, parait-il)
- Là on a supprimé les fichiers louches : adober, autorun, et ravmonlog (tu connais ?)
- ensuite, on a lancé un scan AVG (en mode sans echec), mais il ne trouve toujours rien.
- Puis un scan avast ; il trouve Win32:RJump[WRM] dans la clé usb (H:) aux endroits suivants :
H:\Systeme Volume Information\_restore{E57F6QAF-D3FE-488C-B9
(il le signale 2 fois)
H:\Systeme Volume Information\_restore{9AEDEF4B-1977-4657-B8
(Il le signale plus de 10 fois)
H:\Systeme Volume Information\_restore{1E7E9672-0000-41CE-889
(Il le signale 1 fois)
Puis Avast s'est fermé de façon tout a fait spontanée et surprenante avant de finir son scan (il avait analysé environ 5000 fichiers). Aucune idée du pourquoi de la chose...
- on a installé sur H:, puis lancé, hijackthis, dont voici le rapport (je ne sais pas si ça t'aidera, je ne sais pas trop s'il a analysé H: dans l'histoire) :
Logfile of HijackThis v1.99.1
Scan saved at 15:01:54, on 21/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ECB-BP.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\MSWorks\Calendrier\WKCALREM.EXE
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\PROGRA~1\Wanadoo\Watch.exe
H:\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\ECB-BP.exe" /dontopenmycards
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ClamWin] C:\Program Files\ClamWin\bin\ClamTray.exe --logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\MSWorks\Calendrier\WKCALREM.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Voilà, je ne sais pas ce que tu pense de tout ça ? Moi je ne vois pas du tout quoi faire....
