Trojans Worms/ntech et TR/pandex

Résolu/Fermé

fch22 Messages postés 53 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 17 juillet 2013 - 29 janv. 2008 à 19:35
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 11 févr. 2008 à 21:28

Bonjour,

J'utilise antivir + Avast (uniquement pour le courrier) et je n'arrive pas à me débarasser de ces trojans. J'ai lancer l'antivirus (avast, antivir, bit defender) plusieurs fois , il me trouve à chaque fois des virus que je mets en quarantaine et pourtant chaque fois que je me cconnecte au réseau je les retrouve (il prenne mon PC pour un emetteur de mail et j'ai gardé Avast, car il detecte l'émission anormal de mail => j'espere que cela evite à certaines personnes d'être pollués)

la derniere manip en date :
J'ai arrete le restore system, booté en mode sans echec , passer antivir, puis rebooté normal et remise en place du restore system. Et dès que je connecte sur internet , badaboom ca recommence.

J'ai le log du scan antivir (passé en mode sans echec), du hijackthis que j'ai passé après. Je peux les poster si quelqu'un peut m'aider.

Je vois dans les autres sujets, que je ne suis pas seul dans ce cas, par contre, je ne suis pas sur que je puisse réutiliser tel quel les procedures decrites. Donc d'avance, grand merci à un petit coup de main.

les derniers virus detect&é par antivir sont TR/Pandex.L.2 et WORM/Ntech.Z.4

A voir également:

Trojans Worms/ntech et TR/pandex
Google tr - Télécharger - Traduction
Sennheiser tr 4200 problème - Forum TV & Vidéo
Problème casque sennheiser 4200 - Forum Casque et écouteurs
Que veut dire tr ✓ - Forum Loisirs / Divertissements
Tr/crypt.xpack.gen ✓ - Forum Virus

91 réponses

Réponse 21 / 91

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 13:16

salut fch22,

tres bien pour avg...

tu peux garder adaware.

j´aimerais maintenant que tu performe un scan complet de ta machine a l´aide d´antivir et que tu post le rapport ici sur le forum.

effectue les reglages suivants avant de le lancer :

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite, dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

@+

Réponse 22 / 91

fch22 Messages postés 53 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 17 juillet 2013
30 janv. 2008 à 19:06

Salut, désolé je rentre seuleument du boulot
J'ai regardé la config de Antivir et c'est déjà ce que j'avais -à part les offline files).

Voici déjà un premier rapport d'un scan que j'ai lancé ce midi (qui n'est pas fini car n'ayant pas coché la case automatic action for concerning files, il n'a pas fini et je l'ai interrompu en rentrantr (et oui , il m'a quand même trouvé WORM/Sober.Y, et W32/Magistr.B dans mon Inbox)

D'ailleurs, tu conseilles quoi comme action automatique ? copy before action ? primary action = repair ? secondary = ignore ?
J'attends ta réponse avant de le lancer.

voila le rapport de cet AM

AntiVir PersonalEdition Classic
Report file date: mercredi 30 janvier 2008 12:53

Scanning for 1084989 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: FAMILLE

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 22:37:06
ANTIVIR2.VDF : 7.0.2.49 1339904 Bytes 25/01/2008 09:12:33
ANTIVIR3.VDF : 7.0.2.70 200192 Bytes 30/01/2008 11:38:07
AVEWIN32.DLL : 7.6.0.57 3215872 Bytes 30/01/2008 11:38:07
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 23/01/2008 22:37:08
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: mercredi 30 janvier 2008 12:53

Starting search for hidden objects.
'87798' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'FINDFAST.EXE' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'QuickAccess.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'AOSD.EXE' - '1' Module(s) have been scanned
Scan process 'WinPatrol.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'opware32.exe' - '1' Module(s) have been scanned
Scan process 'ABOARD.EXE' - '1' Module(s) have been scanned
Scan process 'PCMService.exe' - '1' Module(s) have been scanned
Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'slrundll.exe' - '1' Module(s) have been scanned
Scan process 'fxssvc.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned
Scan process 'AOLacsd.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
42 processes with 42 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0083
Master boot sector HD1
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD2
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD3
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD4
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '28' files ).

Starting the file scan:

Begin scan in 'C:\' <HDD>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\parents\Application Data\Thunderbird\Profiles\1h0ngh60.default\Mail\pop.libertysurf.fr\Inbox
[0] Archive type: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <403C457200E778DC@mail01.pds.libertysurf.fr> (a][From: roger.saussol@edfgdf.fr][Subject: Re: Here is the document]198.mim
[1] Archive type: MIME
--> document_full.pif
[DETECTION] Contains detection pattern of the worm WORM/Netsky.D.Dam
--> Mailbox_[From: Post@cia.gov][Subject: Your_IP_was_logged][Message-ID: <bfcaf.1aa6d25293274@cia.gov>]622.mim
[1] Archive type: MIME
--> question_list.zip
[DETECTION] Contains detection pattern of the worm WORM/Sober.Y
[2] Archive type: ZIP
--> File-packed_dataInfo.exe
[DETECTION] Contains detection pattern of the worm WORM/Sober.Y
[3] Archive type: ZIP SFX (self extracting)
[WARNING] The file was ignored!
C:\Documents and Settings\parents\Mes documents\backup ancien PC\Profiles\parents\Application Data\Mozilla\Profiles\default\xefakpc9.slt\Mail\pop\Inbox
[0] Archive type: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <3bd95f7b3bfcc530@citronier.wanadoo.fr> (added ][From: bouffant.construction <bouffant.construction@wa][Subject: INSTALLATION AND CONFIGURATION]554.mim
[1] Archive type: MIME
--> steps.exe
[DETECTION] Contains code of the Windows virus W32/Magistr.B
[WARNING] The file was ignored!

End of the scan: mercredi 30 janvier 2008 18:50
Used time: 5:57:03 min

The scan has been canceled!

4857 Scanning directories
114125 Files were scanned
4 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
114121 Files not concerned
4863 Archives were scanned
4 Warnings
1 Notes
87798 Objects were scanned with rootkit scan
0 Hidden objects were found

Réponse 23 / 91

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 19:29

re,

oui refais le scan avec les reglages que je t´ai stipulés et post le rapport...

@+

Réponse 24 / 91

fch22 Messages postés 53 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 17 juillet 2013
30 janv. 2008 à 19:40

tu conseilles quoi comme action automatique ? copy before action ? primary action = repair ? secondary = ignore ?

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 91

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
30 janv. 2008 à 19:51

G!rly

Attention

Avais-tu remarqué ceci dans le ComboFix :
[code]<pre>
----a-w 5,512,872 2007-01-09 00:00:42 C:\Documents and Settings\parents\Mes documents\outils\securité\kerio\kerio 4.2 - kerio.probb.fr .exe <== observe bien l'intervalle anormal.
</pre>

sUBs a créé un outil afin de traiter l'infection > RenV.exe
Le tool est téléchargeable depuis cette adresse >
http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe

Le sais-tu ?

Réponse 26 / 91

fch22 Messages postés 53 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 17 juillet 2013
30 janv. 2008 à 20:22

Pourtant je l'ai téléchargé hier quand j'était avec G!rly !!

Cela veut dire qu'il faut que je desinstalle Kerio ?

Réponse 27 / 91

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 21:35

je suis partie dinner...

salut afideg,

concernant kerio, ne crois tu pas que l´espace est du au double point?

kerio 4.2 - kerio.probb.fr .exe

merci pour le lien concernant l´infection rev.exe.

je lui ferais passé apres le scan d´antivir...

fch22,

pour le scan avec antivir choisie l´action interactive et les reglages que je t´ai donnés plus haut.

@+

Réponse 28 / 91

fch22 Messages postés 53 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 17 juillet 2013
30 janv. 2008 à 23:21

Bonsoir,

du coup j'ai desinstallé la version 4.2 que j'avais et j'ai reinstallé la derniere (de toutes facons j'avais une erreur lorsque la 4.2 essayait d'installer la derniere version).
et j'en ai profité pour faire une sauvegarde
Bon vue l'heure (et la duree du scan) , je vais lancer antivir mais en mettant automatiquement en quarantaine (de toutes facons, c'est l'action que j'effectue habituellement).
Je vous souhaite une bonne soirée, et je vous poste le rapport demain.
Merci encore pour l'aide.

Réponse 29 / 91

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 23:22

ok tres bien,

bonne nuit

@demain

Réponse 30 / 91

fch22 Messages postés 53 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 17 juillet 2013
31 janv. 2008 à 07:44

Bonjour, voici le rapport Antivir du matin.
J'ai bien vérifié que j'avais utilise le mode mise en quarantaine automatique.
je vois que j'ai 4 virus dans une vieille archive, je vais verifier que j'en ai une copie et je vais la virer.
Par contre j'ai 2 virus dans ma boite aux lettres, je vais essayer d'identifier les mails infectés et les virer si cela peut aider

AntiVir PersonalEdition Classic
Report file date: jeudi 31 janvier 2008 02:00

Scanning for 1085601 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: FAMILLE

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 22:37:06
ANTIVIR2.VDF : 7.0.2.49 1339904 Bytes 25/01/2008 09:12:33
ANTIVIR3.VDF : 7.0.2.72 208896 Bytes 30/01/2008 22:23:07
AVEWIN32.DLL : 7.6.0.59 3232256 Bytes 30/01/2008 22:23:07
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 23/01/2008 22:37:08
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Local Hard Disks
Configuration file...............: c:\program files\avira\antivir personaledition classic\alldiscs.avp
Logging..........................: low
Primary action...................: quarantine
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: jeudi 31 janvier 2008 02:00

Starting search for hidden objects.
'87908' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'thunderbird.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'FINDFAST.EXE' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'QuickAccess.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'AOSD.EXE' - '1' Module(s) have been scanned
Scan process 'WinPatrol.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'opware32.exe' - '1' Module(s) have been scanned
Scan process 'ABOARD.EXE' - '1' Module(s) have been scanned
Scan process 'PCMService.exe' - '1' Module(s) have been scanned
Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'slrundll.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'fxssvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned
Scan process 'slserv.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'AOLacsd.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
45 processes with 45 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0083
Master boot sector HD1
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD2
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD3
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD4
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '28' files ).

Starting the file scan:

Begin scan in 'C:\' <HDD>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\parents\Application Data\Thunderbird\Profiles\1h0ngh60.default\Mail\pop.libertysurf.fr\Inbox
[0] Archive type: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <403C457200E778DC@mail01.pds.libertysurf.fr> (a][From: roger.saussol@edfgdf.fr][Subject: Re: Here is the document]198.mim
[1] Archive type: MIME
--> document_full.pif
[DETECTION] Contains detection pattern of the worm WORM/Netsky.D.Dam
--> Mailbox_[From: Post@cia.gov][Subject: Your_IP_was_logged][Message-ID: <bfcaf.1aa6d25293274@cia.gov>]622.mim
[1] Archive type: MIME
--> question_list.zip
[DETECTION] Contains detection pattern of the worm WORM/Sober.Y
[2] Archive type: ZIP
--> File-packed_dataInfo.exe
[DETECTION] Contains detection pattern of the worm WORM/Sober.Y
[3] Archive type: ZIP SFX (self extracting)
[WARNING] The file was ignored!
C:\Documents and Settings\parents\Mes documents\backup ancien PC\Profiles\parents\Application Data\Mozilla\Profiles\default\xefakpc9.slt\Mail\pop\Inbox
[0] Archive type: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <3bd95f7b3bfcc530@citronier.wanadoo.fr> (added ][From: bouffant.construction <bouffant.construction@wa][Subject: INSTALLATION AND CONFIGURATION]554.mim
[1] Archive type: MIME
--> steps.exe
[DETECTION] Contains code of the Windows virus W32/Magistr.B
[WARNING] The file was ignored!
C:\Documents and Settings\parents\Mes documents\backup ancien PC\Profiles\parents\Application Data\Mozilla\Profiles\default\xefakpc9.slt\Mail\pop\Trash
[0] Archive type: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <3bd95f7b3bfcc530@citronier.wanadoo.fr> (added ][From: bouffant.construction <bouffant.construction@wa][Subject: INSTALLATION AND CONFIGURATION]372.mim
[1] Archive type: MIME
--> steps.exe
[DETECTION] Contains code of the Windows virus W32/Magistr.B
[WARNING] The file was ignored!
C:\Documents and Settings\parents\Mes documents\backup ancien PC\Profiles\parents\Application Data\Mozilla\Profiles\default\xefakpc9.slt\Mail\pop-1\Inbox
[0] Archive type: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <3bd95f7b3bfcc530@citronier.wanadoo.fr> (added ][From: bouffant.construction <bouffant.construction@wa][Subject: INSTALLATION AND CONFIGURATION]554.mim
[1] Archive type: MIME
--> steps.exe
[DETECTION] Contains code of the Windows virus W32/Magistr.B
[WARNING] The file was ignored!
C:\Documents and Settings\parents\Mes documents\backup ancien PC\Profiles\parents\Application Data\Mozilla\Profiles\default\xefakpc9.slt\Mail\pop.libertysurf.fr\Inbox
[0] Archive type: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <403C457200E778DC@mail01.pds.libertysurf.fr> (a][From: roger.saussol@edfgdf.fr][Subject: Re: Here is the document]198.mim
[1] Archive type: MIME
--> document_full.pif
[DETECTION] Contains detection pattern of the worm WORM/Netsky.D.Dam
[WARNING] The file was ignored!
C:\WINDOWS\system32\drivers\Nru68.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!

End of the scan: jeudi 31 janvier 2008 03:24
Used time: 1:24:35 min

The scan has been done completely.

12677 Scanning directories
493748 Files were scanned
7 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
4 Files cannot be scanned
493741 Files not concerned
15471 Archives were scanned
9 Warnings
2 Notes
87908 Objects were scanned with rootkit scan
0 Hidden objects were found

Réponse 31 / 91

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
31 janv. 2008 à 16:23

salut fch22,

supprime tous ces mails et n´en fais surtout pas de copie :

C:\Documents and Settings\parents\Application Data\Thunderbird\Profiles\1h0ngh60.default\Mail\pop.libertysurf.fr\Inbox

--> Mailbox_[Message-ID: <403C457200E778DC@mail01.pds.libertysurf.fr> (a][From: roger.saussol@edfgdf.fr][Subject: Re: Here is the document]198.mim
--> Mailbox_[From: Post@cia.gov][Subject: Your_IP_was_logged][Message-ID: <bfcaf.1aa6d25293274@cia.gov>]622.mim
--> question_list.zip
--> File-packed_dataInfo.exe

C:\Documents and Settings\parents\Mes documents\backup ancien PC\Profiles\parents\Application Data\Mozilla\Profiles\default\xefakpc9.slt\Mail\pop\Inbox
--> Mailbox_[Message-ID: <3bd95f7b3bfcc530@citronier.wanadoo.fr> (added ][From: bouffant.construction <bouffant.construction@wa][Subject: INSTALLATION AND CONFIGURATION]554.mim
--> steps.exe

C:\Documents and Settings\parents\Mes documents\backup ancien PC\Profiles\parents\Application Data\Mozilla\Profiles\default\xefakpc9.slt\Mail\pop\Trash
--> Mailbox_[Message-ID: <3bd95f7b3bfcc530@citronier.wanadoo.fr> (added ][From: bouffant.construction <bouffant.construction@wa][Subject: INSTALLATION AND CONFIGURATION]372.mim
--> steps.exe

C:\Documents and Settings\parents\Mes documents\backup ancien PC\Profiles\parents\Application Data\Mozilla\Profiles\default\xefakpc9.slt\Mail\pop-1\Inbox
--> Mailbox_[Message-ID: <3bd95f7b3bfcc530@citronier.wanadoo.fr> (added ][From: bouffant.construction <bouffant.construction@wa][Subject: INSTALLATION AND CONFIGURATION]554.mim
--> steps.exe

C:\Documents and Settings\parents\Mes documents\backup ancien PC\Profiles\parents\Application Data\Mozilla\Profiles\default\xefakpc9.slt\Mail\pop.libertysurf.fr\Inbox

--> Mailbox_[Message-ID: <403C457200E778DC@mail01.pds.libertysurf.fr> (a][From: roger.saussol@edfgdf.fr][Subject: Re: Here is the document]198.mim
--> document_full.pif

et passe le fix proposé par afideg :

http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe

post le rapport

@+

Réponse 32 / 91

fch22 Messages postés 53 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 17 juillet 2013
31 janv. 2008 à 20:34

Bonsoir G!rly,

Je n'arrive pas à supprimer le répertoire , il me dit que certain fichiers sont utilisés par un autre programme, tu as une méthode à proposer ?
et concernant les 2 emails, je ne les trouve pas dans Thunderbird, je supprime les fichiers directement ?

PS: pour la copye, c'est loupe, je viens de griller un DVD avec entre autre ces fichiers

Réponse 33 / 91

fch22 Messages postés 53 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 17 juillet 2013
31 janv. 2008 à 21:51

j'ai reussi à supprimer les 4 messages archivés, il ne me reste plus que les 2 ci-dessous (je n'ai pas tout rescanner):

Begin scan in 'C:\Documents and Settings\parents\Application Data\Thunderbird\Profiles'
C:\Documents and Settings\parents\Application Data\Thunderbird\Profiles\1h0ngh60.default\Mail\pop.libertysurf.fr\Inbox
[0] Archive type: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <403C457200E778DC@mail01.pds.libertysurf.fr> (a][From: roger.saussol@edfgdf.fr][Subject: Re: Here is the document]198.mim
[1] Archive type: MIME
--> document_full.pif
[DETECTION] Contains detection pattern of the worm WORM/Netsky.D.Dam
--> Mailbox_[From: Post@cia.gov][Subject: Your_IP_was_logged][Message-ID: <bfcaf.1aa6d25293274@cia.gov>]622.mim
[1] Archive type: MIME
--> question_list.zip
[DETECTION] Contains detection pattern of the worm WORM/Sober.Y
[2] Archive type: ZIP
--> File-packed_dataInfo.exe
[DETECTION] Contains detection pattern of the worm WORM/Sober.Y
[3] Archive type: ZIP SFX (self extracting)
[WARNING] The file was ignored!

par contre je ne le trouve pas

tiens voici le resultat de Renv:

[code]
Ran on 31/01/2008 - 21:41:29,07

Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
/code

j'ai aussi de faire analyser Nru68, mais il n'arrive toujours pas à l'uploader sur le site

Réponse 34 / 91

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
31 janv. 2008 à 22:42

re,

en mode sans echec tu as essayé?

Réponse 35 / 91

fch22 Messages postés 53 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 17 juillet 2013
31 janv. 2008 à 22:46

G!irly
a priori il ne me reste que le mail infecté dans mon inbox, mais je ne le vois pas sous Thunderbird, et je ne sais pas ouvrir le fichier Inbox

Réponse 36 / 91

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
31 janv. 2008 à 22:49

re,

si tu fais un scan avec antivir en mode sans echec a mon avis il devrait pouvoir le supprimer...

-> Redémarre en mode sans échec :

Comment redémarrer en mode sans echec?

Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5.

et lance le scan et post le resultat

je sais c´est long mais...

@+

Réponse 37 / 91

fch22 Messages postés 53 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 17 juillet 2013
31 janv. 2008 à 23:03

G!rly,
quand je lance le scan en mode interactif, Antivir me dit :
This file is a mailbox, to avoid damaging your emails, this file will not be repaired or deleted.
Tu crois qu'en mode sans ehec , ca changera quelque chose ?

Réponse 38 / 91

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
31 janv. 2008 à 23:17

Salut à vous

Pourquoi ne pas supprimer C:\Documents and Settings\parents\Application Data\Thunderbird\Profiles\1h0ngh60.default\Mail\pop.libertysurf.fr\Inbox ?

Ce qui est en gras avec OT-moveId .
Et c'est quoi ce 1h0ngh60.default ?

Al.

Réponse 39 / 91

fch22 Messages postés 53 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 17 juillet 2013
1 févr. 2008 à 00:14

Salut,

ca a l'air d'être la boite aux lettres de Thunderbird, je préfere la garder :-)

Allez bonne nuit

Réponse 40 / 91

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
1 févr. 2008 à 00:22

Re,

Bon, pour pop.libertysurf.fr, tant pis.
En effet, je vois sur Google < https://www.google.be/search?hl=fr&q=pop.libertysurf.fr&btnG=Recherche+Google&meta=lr%3Dlang_fr&gws_rd=ssl >
J'aurais pu consulter Google avant de parler.

Mais c'est quoi alors 1h0ngh60.default ?

J'ai abandonné Thunderbird, trop de chicanes .

Al.

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR

casque sans fil Sennheiser TR 4200 ne fonctionne plus

Signification "TR"

Casque sans fil senheiser TR 120

WORMS ARMAGEDDON GRATUIT SUR MAC OS X