Sujet Précédent Sujet Suivant

Virus reboot automatique - rapport HijackThis

Résolu
armelilla -  
jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour (et bonne année, tant qu'on y est),

J'ai un problème de virus/troyen (??) sur mon PC.
Je ne m'y connais pas du tout mais bon, en gros, les symptômes sont les suivants : la machine est très franchement ralentie voire complètement bloquée et, de temps en temps, l'ordi s'éteint et redémarre tout seul en quelques secondes.

J'ai un firewall (ZoneAlarm) et un anti-virus (Avira AntiVir), et ce dernier m'a détecté pas mal de petites choses qui trainaient par-ci par-là et qui ont été mise en "quarantaine".
Mais il y a un autre truc : à chaque démarrage, un exe Wintcps tente d'accéder à internet (troyen, n'est-ce pas ??).

J'ai aussi une vieille version de F-secure qui tourne encore et me détecte très régulièrement un "virus inconnu".

J'ai fait un scan HijackThis que voici juste en dessous.
Remarque : par souci d'anonymat et de sécurité, j'ai ajouté des "[...]" par 4 fois pour remplacer des détails du log, notamment la fin d'un url en "impot.gouv.fr/..." (?!??).

-------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:22:05, on 06/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\WINNT\system32\dllcache\wintcps.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.windupdates.com
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/ [...]
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - https://www.afternic.com/domains/downloadv3.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = [...]
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINNT\system32\dllcache\wintcps.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: Security - C:\WINNT\desktop.html
A voir également:

46 réponses

Précédent
Réponse 21 / 46
armelilla
 
Ok super, je fais ça demain.
Pour SpywareBlaster, installation faite ; tu me diras ce que je dois en faire...!

Merci beaucoup et @+ !
0
Réponse 22 / 46
jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
 
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Ok Demain @+
0
Réponse 23 / 46
armelilla
 
Hello ! Me revoilà !

Ci-dessous, mon dernier log HijackThis. J'ai vérifié et, sauf erreur, toutes les lignes que tu avais sélectionné ont disparu.
J'attends la suite des aventures... :)
Merci !

====================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:09, on 08/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
0
Réponse 24 / 46
jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
 
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Oui c bien !
2 Questions :
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx Tu connais et urtilises?
Sinon Coches et fixes.

--------------------------------------------------------------

Puis :
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
Ici C'est quoi ta version de Zone Alarm ? Pas la pro non ? Tu as la gratuite je crois ?

Fais un scan complet avec Antivir puis regardes sur le TUTO: https://www.malekal.com/avira-free-security-antivirus-gratuit/
Et analyses avec le ROOTKITS ''on''.
Puis postes-moi ta réponse et ton résultât de Antivir
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 46
armelilla Messages postés 6 Statut Membre
 
Alors, alors...

1 > La ligne "O3 - Toolbar: &Radio - [...]" ne me parle pas, donc je supprime.
2 > Oui, j'ai la version gratuite de Zone Alarm.

Pour le scan Antivir pas de souci (j'y vais de ce pas), mais par contre je ne comprends pas ce que tu entends par le Rootkits en mode "on". Je n'ai pas trouvé sur le tuto...

Et encore un truc : pour Antivir, scan en mode normal ou sans échec ? (le tuto dit que c'est mieux en mode sans échec, that's why)
0
Réponse 26 / 46
armelilla Messages postés 6 Statut Membre
 
Voilà le rapport du scan Antivir.
(mais sans le mode "on" pour es Rootkits, je n'ai toujours pas trouvé)

=========================

AntiVir PersonalEdition Classic
Report file date: mardi 8 janvier 2008 22:13

Scanning for 1003108 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows 2000
Windows version: (Service Pack 4) [5.0.2195]
Username: Administrateur
Computer name: ARMELILLA

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 07/09/2007 22:41:32
AVSCAN.DLL : 7.0.6.0 49192 Bytes 07/09/2007 22:41:32
LUKE.DLL : 7.0.5.3 147496 Bytes 07/09/2007 22:41:33
LUKERES.DLL : 7.0.6.1 10280 Bytes 07/09/2007 22:41:33
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 21:40:34
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 22:49:59
ANTIVIR2.VDF : 7.0.1.170 311296 Bytes 28/12/2007 22:39:43
ANTIVIR3.VDF : 7.0.1.195 122368 Bytes 06/01/2008 23:21:05
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 21/12/2007 07:29:23
AVWINLL.DLL : 1.0.0.7 14376 Bytes 19/04/2007 22:06:28
AVPREF.DLL : 7.0.2.2 25640 Bytes 07/09/2007 22:41:32
AVREP.DLL : 7.0.0.1 155688 Bytes 19/04/2007 22:06:37
AVPACK32.DLL : 7.6.0.2 360488 Bytes 21/12/2007 07:29:24
AVREG.DLL : 7.0.1.6 30760 Bytes 07/09/2007 22:41:32
AVARKT.DLL : 1.0.0.20 278568 Bytes 07/09/2007 22:41:29
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 07/09/2007 22:41:29
NETNT.DLL : 7.0.0.0 7720 Bytes 19/04/2007 22:06:31
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/09/2007 22:41:02
RCTEXT.DLL : 7.0.62.0 86056 Bytes 07/09/2007 22:41:03
SQLITE3.DLL : 3.3.17.1 339968 Bytes 07/09/2007 22:41:34

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\program files\antivir personaledition classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: E:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mardi 8 janvier 2008 22:13

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'dslmon.exe' - '1' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'mspmspsv.exe' - '1' Module(s) have been scanned
Scan process 'WinMgmt.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'mstask.exe' - '1' Module(s) have been scanned
Scan process 'regsvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'LSASS.EXE' - '1' Module(s) have been scanned
Scan process 'SERVICES.EXE' - '1' Module(s) have been scanned
Scan process 'WINLOGON.EXE' - '1' Module(s) have been scanned
Scan process 'CSRSS.EXE' - '1' Module(s) have been scanned
Scan process 'SMSS.EXE' - '1' Module(s) have been scanned
22 processes with 22 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'A:\'
[NOTE] In the drive 'A:\' no data medium is inserted!

Starting to scan the registry.
The registry was scanned ( '9' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <Donnees>
Begin scan in 'A:\'
Search path A:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'E:\'
Search path E:\ could not be opened!
Le périphérique n'est pas prêt.

End of the scan: mardi 8 janvier 2008 22:45
Used time: 32:34 min

The scan has been done completely.

1612 Scanning directories
83011 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
83011 Files not concerned
495 Archives were scanned
1 Warnings
2 Notes
0
Réponse 27 / 46
armelilla
 
Hello Jal !

Résumé de la situation :

Zone Alarm = ok
-----------------------
Antivir = ok
-----------------------
Spyware Blaster = ok (mais pas de petit icône à droite en bas d'écran ; est-ce normal ?)
-----------------------
Spyware Guard = ok (avec, là, le petit icône qui rassure ; yes ! :)
-----------------------
Spybot Search & Destroy = problème à l'installation : marche pas. Enfin en tout cas je n'arrive jamais sur la fenêtre qui est montrée dans les tutos et donc je ne peux pas faire les réglages. Et dès le départ je n'avais pas la possibilité de le lancer en mode "avancé"... Bizarre. J'ai par contre un petit icône en bas à droite (carré blanc/bleu avec cadenas), et quand on passe le curseur dessus il apparait ceci :
Résident de Spybot-SD
58189 processus mis en liste noire.
App: C:\Program Files\Spybot - Search Destroy\
Data: C:\Documen (oui, oui, "Documen" sans le "t" !)

Un clic droit sur l'icône propose d'afficher un log, lequel log me dit :

09/01/2008 23:27:25 Autorisé(e) (based on user decision) value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") ajouté(e) in Browser Helper Object!

Où donc ai-je bien pu merd...er ?
-----------------------
A-squared Free = ok

Pour finir :

1) Me manque-t'il des choses au niveau protection ?

2) J'irai faire la mise à jour complète via l'ami Secunia inspector demain ou peut-être un peu plus tard car le temps va me manquer, mais en attendant, si tu peux me dire ce qui a pu se passer avec Spybot SD, ça serait top.
Sinon, je fais les mises à jours en laissant Spybot SD en l'état ?

Sur ce, je file...
Merci encore beaucoup pour ton temps et ton aide ; c'est quand même assez royal d'être guidée de cette façon...
0
Réponse 28 / 46
armelilla
 
Salut Jal,

Je n’ai pas eu beaucoup de temps dernièrement pour me pencher sur l'ordi, mais je te fais quand même un point de là où j’en suis.

=========

Spybot Search & Destroy : j’ai toujours quelques soucis. J’ai enlevé puis remis, mais je suis toujours avec mes 58189 processus en liste noire au lieu de 58980 comme tu l’as dit… En fait, après avoir refait deux essais, c'est toujours le même phénomène : Spybot « plante » juste après la mise à jour, et je suis obligée de le fermer via le gestionnaire des tâches Windows, et de le relancer. J’ai quand même réussi à faire une analyse qui a détecté 63 problèmes --> supprimés.
Petite note : le scan a duré presque 1 heure... Ca a l'air énorme par rapport à ce qui est annoncé dans le tuto (2 à 3 minutes ! :) ... Il y a un souci, non ? Qu'en penses-tu ?

=========

Secunia Inspector : je ne vois pas bien ce qu’il faut faire une fois sur le site… Peux-tu m’expliquer ce que tu entends par « faire toutes les mises à jour sur Secunia inspector » ?
Tu m’avais aussi parlé de « supprimer toutes les traces de vieux Java ((Sauf la 1.6.0_3)) » dans la foulée, mais ce n’est pas encore fait car je voulais d’abord éclaircir l’histoire Secunia inspector.

=========

RegSeeker : ok, installé. Il a tourné et trouvé et supprimé plein de trucs. J'ai l'impression que l'ordi a depuis gagné quelque peu en vitesse.

=========

Défragmentation + réactiver la restauration : pas encore fait, toujours parce que je me dis que l’histoire de mise à jour secunia inspector devrait être réglée avant.

Voilà pour l’état des lieux.
Qu’est-ce qui pourrait t’aider pour la suite ? Un log HijockThis pour faire le point ? Un log SDFix ?
Merci et à bientôt !

=========

Et pour la clarté des explications : oui oui, tiens, ça doit être l'accent ! :) Ou alors disons que quand on est débutant n'importe quelle explication peut sembler un peu trouble. Perso il m'a fallu un sacré moment d'observation des posts et des explications par-ci par-là sur le forum pour cerner ce que "faire un log HijackThis" pouvait bien vouloir dire... alors que ça doit sembler ultra basic pour plein d'autres gens. Toute la difficulté de communication vient sûrement du fait qu'il est impossible d'évaluer le niveau de l'interlocuteur que tu as en face...
0
Réponse 29 / 46
jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
 
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Bonsoir armelilla.
Je viens de terminer les dernières configurations pour d'autres demandants sur CCM et tout est nickel là.
Alors si tu as besoin d'aide en direct toi aussi , tu me le dis ok .
Jal
0
Réponse 30 / 46
armelilla
 
Euh.. Je comprends pas bien ce que tu veux dire ? (encore l'accent ?? ;)

Mon besoin d'aide c'est juste que tu expliques un peu plus ce que tu veux que je fasse avec Secunia Inspector pour ces histoires de mises à jour parce que sur le site je n'ai pas trop compris ce dont il s'agissait.

Voilà. Merci d'avance encore une fois !
0
Réponse 31 / 46
armelilla
 
Hello Jal,

Bon, je n’avance pas énormément dans le sens où je n’arrive toujours à rien sur le site de Secunia Inspector, mais cette fois je pense que je sais pourquoi. Le responsable semble être Java : le site m’indique la chose suivante quand je tente de lancer le scan :
“ Status / Currently Processing:
There might be problems loading the Java Applet in your browser. “

Et du côté de la console Java :
“ java.lang.UnsupportedClassVersionError: com/secunia/SoftwareInspector/SIApplet (Unsupported major.minor version 49.0) “ ...

Que faire ?

Un deuxième truc qui me préoccupe est que l’ordi a mis une plombe à démarrer quand je l’ai lancé tout à l’heure, a priori à cause de Spybot S&D : une fenêtre m’indiquait que Spybot était en train de se « loader » (ce qui a duré un bon paquet de temps) puis, une fois l’ordi vraiment démarré, un scan s’est lancé de façon automatique, que j’ai arrêté (juste histoire de ne pas en prendre pour une heure comme l’autre fois ! :)

Ensuite, il y eu régulièrement de très gros ralentissements voir des blocages, donc par dépit j’ai fini par désinstaller Spybot et redémarrer. Deuxième démarrage un peu mieux mais pas top, et avec Zone Alarm qui m’indique la chose suivante « Generic Host Process for Win32 Services is trying to access the internet ». Qu'est-ce que ça signifie ?

Comme tout ça me semble un peu bizarre, je remets un log HijackThis juste en dessous, au cas où tu y détectes qqchose de louche.
(et j'ai un scan Antivir en cours ; je te dis s'il trouve quelque chose)

========================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:16:53, on 15/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Scanner A-squared Free\a-squared Free\a2service.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Java Web Start\javaws.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\Scanner A-squared Free\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
0
Réponse 32 / 46
jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
 
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Amarelia, est-ce que tu es là maintenant ou seulement demain ?
J'ai des questions pour toi et l'intervention est très longue !
0
Réponse 33 / 46
jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
 
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Vas en mode sans echec et coches puis fixes ces lignes avec HJKTS.

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/

----------------------------------------------------------------------------------------------------------------------------
Et regardes dans Programme file et assures-toi d'avoir supprimer toutes les vieilles versions de Java.
Tu ne dois avoir que la version 1.6.0_3.
0
Réponse 34 / 46
armelilla
 
Hello Jal,

Je serai "sur les rangs" aujourd'hui, mais seulement ce soir, une fois rentrée chez moi.
Ce qui veut dire vers 20h00 heure française, donc un petit peu moins pour toi, disons vers 14 heures.
Je ne sais pas si ça sera ok pour toi ; on verra...

A tout à l'heure !

Armelilla
0
Réponse 35 / 46
armelilla
 
Hello Jal,

Ca y est, je suis à mon poste (pour 2 heures environ).
Je suis en train de faire la manip ComboFix, ensuite je supprime les quelques lignes sous HJKTS et je suis de retour avec un log ComboFix (et puis un HJKTS tiens, tant qu'on y est) très vite.
A tout à l'heure !

Armelilla
0
Réponse 36 / 46
jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
 
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Oui tu as le rapport ???
0
Réponse 37 / 46
armelilla
 
Bon, l'heure est grave. Enfin pas tant que ça hein, c'est une formule...
Bref, voilà le tableau : après passage de ComboFix, plus possible d'accéder à internet... (d'où mon silence radio tout à fait involontaire ; désolée !).

J'ai un log ComboFix à t'envoyer + un log HJKTS réalisé après suppression des 3 lignes que tu m'as donné dans le post précédent + un rapport Antivir (qui m'a trouvé un worm...).

Mais problème : j'avais mis les rapports sur ma clé USB pour te les envoyer depuis mon boulot mais ce matin la clef USB est vide... Donc rdv demain matin, je ne peux pas faire mieux.
Et vraiment désolée que tout ça soit un peu (très !) décousu...

A suivre !
0
Réponse 38 / 46
jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
 
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Allo! Non ça va j'ai fais de la couture ! lol!
Ouais un soupçon ...
Mais qu'il plante la connection ???.
Ok J'attends la réaparition sur ta clé ou ailleurs ;-)
0
Réponse 39 / 46
armelilla
 
Bonjour Jal,

Ca y est, j'ai dompté ma clef USB un peu capricieuse ! ... Donc c'est parti pour les rapports divers et variés (je fais 3 posts différents) :

Log ComboFix
===============================
ComboFix 08-01-16.4 - Administrateur 16/01/2008 20:36:18.1 - NTFSx86
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.20 [GMT 1:00]
Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-16 to 2008-01-16 ))))))))))))))))))))))))))))))))))))
.

2008-01-16 20:35 . 00-08-31 08:00 51,200 --a------ C:\WINNT\NirCmd.exe
2008-01-14 00:28 . 02-08-22 23:00 53,248 --a------ C:\gendel32.exe
2008-01-14 00:06 . 08-01-14 00:06 <DIR> d-------- C:\Program Files\AusLogics Disk Defrag
2008-01-13 23:52 . 08-01-13 23:59 <DIR> d-------- C:\Program Files\RegSeeker
2008-01-13 21:20 . 08-01-14 00:28 159 --a------ C:\WINNT\wininit.ini
2008-01-10 00:50 . 08-01-10 00:50 <DIR> d-------- C:\Program Files\SDFix
2008-01-09 23:59 . 08-01-10 00:02 <DIR> d-------- C:\Program Files\Scanner A-squared Free
2008-01-09 23:22 . 08-01-15 22:25 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-09 23:10 . 08-01-09 23:23 <DIR> d-------- C:\Program Files\SpywareGuard
2008-01-08 01:13 . 08-01-15 23:36 554,604 ---h----- C:\WINNT\ShellIconCache
2008-01-08 01:07 . 05-08-25 18:19 115,920 --a------ C:\WINNT\system32\MSINET.OCX
2008-01-08 01:05 . 08-01-09 23:03 <DIR> d-------- C:\Program Files\SpywareBlaster
2008-01-08 00:15 . 08-01-08 00:16 <DIR> d-------- C:\WINNT\ERUNT
2008-01-07 01:31 . 08-01-10 00:41 <DIR> d-------- C:\Program Files\Ccleaner
2008-01-07 01:03 . 08-01-07 01:03 2,528 --a------ C:\WINNT\FSMAUNIN.MIF
2008-01-07 01:02 . 08-01-07 01:02 2,528 --a------ C:\WINNT\FSAVUNIN.MIF
2008-01-06 01:08 . 08-01-06 01:09 <DIR> d-------- C:\Program Files\Prevx-ComputerSecurityInvestigator
2008-01-05 23:40 . 08-01-05 23:40 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Prevx
2008-01-05 23:40 . 08-01-05 23:40 <DIR> d-------- C:\Documents and Settings\Administrateur\Application Data\PrevxCSI
2007-12-30 12:59 . 07-12-30 12:59 <DIR> d-------- C:\Program Files\ZoneAlarmSB
2007-12-30 12:55 . 07-12-30 12:55 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2007-12-30 12:54 . 07-11-14 16:05 75,248 --a------ C:\WINNT\zllsputility.exe
2007-12-30 12:54 . 04-04-27 04:40 11,264 --a------ C:\WINNT\system32\SpOrder.dll
2007-12-30 12:53 . 07-11-14 16:05 1,086,952 --a------ C:\WINNT\system32\zpeng24.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-07 00:17 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-06 23:34 2,971,136 ----a-w C:\WINNT\Internet Logs\xDBB.tmp
2008-01-06 23:34 1,571,328 ----a-w C:\WINNT\Internet Logs\xDBC.tmp
2008-01-06 01:38 2,895,872 ----a-w C:\WINNT\Internet Logs\xDB9.tmp
2008-01-06 01:38 1,569,792 ----a-w C:\WINNT\Internet Logs\xDBA.tmp
2008-01-06 01:25 2,908,672 ----a-w C:\WINNT\Internet Logs\xDB7.tmp
2008-01-06 01:25 1,569,280 ----a-w C:\WINNT\Internet Logs\xDB8.tmp
2008-01-05 23:59 3,536,896 ----a-w C:\WINNT\Internet Logs\xDB5.tmp
2008-01-05 23:59 1,565,696 ----a-w C:\WINNT\Internet Logs\xDB6.tmp
2008-01-05 20:48 3,012,096 ----a-w C:\WINNT\Internet Logs\xDB3.tmp
2008-01-05 20:48 1,557,504 ----a-w C:\WINNT\Internet Logs\xDB4.tmp
2007-12-30 14:19 2,847,671 ----a-w C:\WINNT\Internet Logs\tvDebug.zip
2007-12-30 14:17 3,090,432 ----a-w C:\WINNT\Internet Logs\xDB334.tmp
2007-12-30 14:17 1,556,480 ----a-w C:\WINNT\Internet Logs\xDB335.tmp
2007-12-30 14:16 --------- d-----w C:\Program Files\KaZaA Lite
2007-12-15 02:05 --------- d-----w C:\Program Files\w2ksp4_fr.exe
2006-01-03 23:08 33,960 ----a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2005-10-02 17:50 1,117,696 ----a-w C:\WINNT\Internet Logs\xDB1.tmp
2005-10-02 17:49 864,256 ----a-w C:\WINNT\Internet Logs\xDB2.tmp
2005-07-30 11:37 2,953,728 ----a-w C:\WINNT\Internet Logs\xDB28A.tmp
2005-07-30 11:37 1,101,824 ----a-w C:\WINNT\Internet Logs\xDB1E5.tmp
2004-11-24 19:26 913,408 ----a-w C:\WINNT\Internet Logs\xDB104.tmp
2004-11-24 19:26 2,705,920 ----a-w C:\WINNT\Internet Logs\xDB1EA.tmp
2004-11-14 14:49 881,664 ----a-w C:\WINNT\Internet Logs\xDB125.tmp
2004-11-14 14:49 790,016 ----a-w C:\WINNT\Internet Logs\xDB1E2.tmp
2004-11-12 08:53 878,592 ----a-w C:\WINNT\Internet Logs\xDB122.tmp
2004-11-12 08:52 431,616 ----a-w C:\WINNT\Internet Logs\xDB18F.tmp
2004-10-15 08:35 860,160 ----a-w C:\WINNT\Internet Logs\xDB139.tmp
2004-10-15 08:34 1,117,184 ----a-w C:\WINNT\Internet Logs\xDB1B4.tmp
2004-09-02 21:02 833,024 ----a-w C:\WINNT\Internet Logs\xDB106.tmp
2004-09-02 21:02 2,414,592 ----a-w C:\WINNT\Internet Logs\xDB17F.tmp
2004-07-19 17:10 786,944 ----a-w C:\WINNT\Internet Logs\xDBE0.tmp
2004-07-19 17:09 2,082,816 ----a-w C:\WINNT\Internet Logs\xDB163.tmp
2004-05-31 18:05 739,840 ----a-w C:\WINNT\Internet Logs\xDBB9.tmp
2004-05-31 18:05 2,240,512 ----a-w C:\WINNT\Internet Logs\xDB126.tmp
2001-12-22 03:15 271 ---h--w C:\Program Files\desktop.ini
2001-12-22 03:15 22,115 ---h--w C:\Program Files\folder.htt
1999-12-15 01:59 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}]
07-12-30 12:59 262144 --a------ C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}

[HKEY_CLASSES_ROOT\clsid\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 11:05 111888 C:\WINNT\system32\mobsync.exe]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [07-10-13 10:43 249896]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [07-11-14 16:05 919016]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoFavoritesMenu"= 0 (0x0)
"NoLogoff"= 0 (0x0)
"NoTrayContextMenu"= 0 (0x0)
"EnforceShellExtensionSecurity"= 0 (0x0)
"NoDeletePrinter"= 0 (0x0)
"NoAddPrinter"= 0 (0x0)
"NoPrinterTabs"= 0 (0x0)

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [07-09-07 23:41 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [07-09-07 23:41 ]
R1 VIAPFD;VIAPFD;C:\WINNT\system32\Drivers\VIAPFD.SYS [01-05-04 16:24 ]

*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-16 20:42:23
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-16 20:44:28 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-16 19:44:22
0
Réponse 40 / 46
armelilla
 
Log Antivir (un worm détecté mis en quarantaine)
===============================

AntiVir PersonalEdition Classic
Report file date: mercredi 16 janvier 2008 21:40

Scanning for 1041443 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows 2000
Windows version: (Service Pack 4) [5.0.2195]
Username: Administrateur
Computer name: ARMELILLA

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 07/09/2007 22:41:32
AVSCAN.DLL : 7.0.6.0 49192 Bytes 07/09/2007 22:41:32
LUKE.DLL : 7.0.5.3 147496 Bytes 07/09/2007 22:41:33
LUKERES.DLL : 7.0.6.1 10280 Bytes 07/09/2007 22:41:33
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 21:40:34
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 22:49:59
ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15/01/2008 22:25:26
ANTIVIR3.VDF : 7.0.2.1 2048 Bytes 15/01/2008 22:25:26
AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 15/01/2008 22:25:28
AVWINLL.DLL : 1.0.0.7 14376 Bytes 19/04/2007 22:06:28
AVPREF.DLL : 7.0.2.2 25640 Bytes 07/09/2007 22:41:32
AVREP.DLL : 7.0.0.1 155688 Bytes 19/04/2007 22:06:37
AVPACK32.DLL : 7.6.0.3 360488 Bytes 15/01/2008 22:25:28
AVREG.DLL : 7.0.1.6 30760 Bytes 07/09/2007 22:41:32
AVARKT.DLL : 1.0.0.20 278568 Bytes 07/09/2007 22:41:29
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 07/09/2007 22:41:29
NETNT.DLL : 7.0.0.0 7720 Bytes 19/04/2007 22:06:31
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/09/2007 22:41:02
RCTEXT.DLL : 7.0.62.0 86056 Bytes 07/09/2007 22:41:03
SQLITE3.DLL : 3.3.17.1 339968 Bytes 07/09/2007 22:41:34

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\program files\antivir personaledition classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: E:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 16 janvier 2008 21:40

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'USERINIT.EXE' - '1' Module(s) have been scanned
Scan process 'WinMgmt.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'LSASS.EXE' - '1' Module(s) have been scanned
Scan process 'SERVICES.EXE' - '1' Module(s) have been scanned
Scan process 'WINLOGON.EXE' - '1' Module(s) have been scanned
Scan process 'CSRSS.EXE' - '1' Module(s) have been scanned
Scan process 'SMSS.EXE' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'A:\'
[NOTE] In the drive 'A:\' no data medium is inserted!

Starting to scan the registry.
The registry was scanned ( '11' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\Administrateur\Bureau\SDFix\SDFix\backups\backups.zip
[0] Archive type: ZIP
--> backups/wintcps.exe
[DETECTION] Contains detection pattern of the worm WORM/VanBot.IY
[INFO] The file was moved to '47f16c8d.qua'!
Begin scan in 'D:\' <Donnees>
Begin scan in 'A:\'
Search path A:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'E:\'
Search path E:\ could not be opened!
Le périphérique n'est pas prêt.

End of the scan: mercredi 16 janvier 2008 22:26
Used time: 46:27 min

The scan has been done completely.

1618 Scanning directories
83201 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
83200 Files not concerned
546 Archives were scanned
1 Warnings
2 Notes
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses