Infection Trojan.Win32.Patched.aa

Re,


L2MRemover n'a pas trouvé de màj donc j'ai du faire un scan avec la version "de base" et il n'a rien trouvé. Voilà le rapport du scan ComboFix fait ensuite :


ComboFix 08-06-01.6 - milo 2008-06-06 8:08:12.7 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1033.18.549 [GMT 2:00]
Running from: C:\Documents and Settings\milo\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((( Files Created from 2008-05-06 to 2008-06-06 )))))))))))))))))))))))))))))))
.

2008-06-06 07:50 . 2008-06-06 07:50 <DIR> d-------- C:\Program Files\L2MRemover
2008-05-31 22:48 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-05-31 22:48 . 2007-07-30 19:19 25,944 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-05-31 22:48 . 2007-07-30 19:19 25,944 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-05-31 22:48 . 2007-07-30 19:18 20,312 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-05-31 22:03 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-31 21:26 . 2008-05-31 21:26 <DIR> d-------- C:\Program Files\NKProds
2008-05-31 21:26 . 2008-05-31 21:26 <DIR> d-------- C:\Documents and Settings\milo\Application Data\nCleaner
2008-05-31 19:58 . 2008-05-31 19:58 <DIR> d-------- C:\Program Files\Trend Micro
2008-05-31 18:55 . 2008-05-31 18:55 <DIR> d-------- C:\Documents and Settings\milo\Application Data\Malwarebytes
2008-05-31 18:55 . 2008-05-31 18:55 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-28 16:33 . 2008-05-28 16:33 <DIR> d-------- C:\Program Files\IGC
2008-05-23 09:13 . 2008-05-23 09:13 <DIR> d--h----- C:\WINDOWS\PIF
2008-05-23 08:43 . 2008-06-05 18:00 2,638 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-19 14:05 . 2008-05-19 14:59 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-05-15 11:43 . 2008-05-15 11:43 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-15 10:47 . 2004-08-03 22:58 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2008-05-15 10:47 . 2004-08-03 22:58 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2008-05-14 18:14 . 1998-07-30 12:51 305,152 --a------ C:\WINDOWS\IsUninst.exe
2008-05-14 18:10 . 2008-05-14 18:17 <DIR> d-------- C:\TEMP
2008-05-14 17:49 . 2008-05-14 17:49 <DIR> d-------- C:\Documents and Settings\milo\Application Data\TuneUp Software
2008-05-14 17:49 . 2008-05-14 17:49 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-14 17:49 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-05-14 17:48 . 2008-05-14 17:48 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\TuneUp Software
2008-05-14 14:18 . 2008-05-14 14:19 <DIR> d-------- C:\Documents and Settings\milo\IGC
2008-05-14 07:32 . 2008-05-14 07:32 <DIR> d-------- C:\Program Files\PDFCreator Toolbar
2008-05-14 07:32 . 2008-05-14 07:33 <DIR> d-------- C:\Program Files\PDFCreator
2008-05-14 07:32 . 2008-05-14 07:32 264,097 --a------ C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_9084.exe
2008-05-14 07:32 . 1998-07-13 02:08 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL
2008-05-14 07:32 . 1998-06-24 01:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX
2008-05-14 07:32 . 2001-10-28 17:42 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2008-05-14 07:32 . 1998-07-13 02:08 59,904 --a------ C:\WINDOWS\system32\MSCC2FR.DLL
2008-05-14 07:32 . 1998-07-06 01:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2008-05-13 09:07 . 2008-05-31 21:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-05-13 09:06 . 2008-05-31 21:08 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-05-13 08:44 . 2008-05-23 16:18 828 --a------ C:\WINDOWS\wininit.ini
2008-05-13 07:46 . 2008-05-13 07:46 <DIR> d-------- C:\Documents and Settings\milo\Application Data\TmpRecentIcons
2008-05-12 22:21 . 2008-05-20 14:23 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-12 22:16 . 2008-05-12 22:16 <DIR> dr------- C:\Documents and Settings\All Users\Application Data\SalesMon
2008-05-12 22:16 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-05-12 22:16 . 2001-03-08 18:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-05-12 22:09 . 2008-06-03 21:16 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-05-12 22:09 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-05-12 22:03 . 2008-05-12 22:03 1 --a------ C:\WINDOWS\system32\kr_done1de
2008-05-07 22:22 . 2008-05-31 21:08 <DIR> d-------- C:\PM
2008-05-06 11:18 . 2008-05-06 11:18 <DIR> dr-h----- C:\MSOCache

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-02 12:09 --------- d-----w C:\Program Files\F-Secure
2008-05-31 20:45 505,856 ----a-w C:\WINDOWS\system32\WINLOGON.EXE
2008-05-31 20:03 --------- d-----w C:\Program Files\Java
2008-05-31 19:56 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-22 13:08 58,368 ------w C:\WINDOWS\system32\spoolsv.exe
2008-05-22 13:08 16,896 ------w C:\WINDOWS\system32\svchost.exe
2008-05-22 13:08 14,336 ------w C:\WINDOWS\system32\lsass.exe
2008-05-22 13:08 110,080 ------w C:\WINDOWS\system32\services.exe
2008-05-12 20:05 1,034,240 ----a-w C:\WINDOWS\explorer.exe
2008-05-05 12:47 --------- d-----w C:\Documents and Settings\milo\Application Data\AdobeUM
2008-05-05 07:53 155,995 ----a-w C:\WINDOWS\java\Packages\ECZBJ13L.ZIP
2008-04-23 05:47 --------- d-----w C:\Documents and Settings\milo\Application Data\InterVideo
2008-03-26 08:09 151,583 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 08:20 219,936 ----a-w C:\WINDOWS\system32\msltus40.dll
2008-03-19 09:47 1,845,248 ----a-w C:\WINDOWS\system32\win32k.sys
.

------- Sigcheck -------

2008-05-22 15:08 16896 9491c2135c30b82bb1a6acf928063a59 C:\WINDOWS\system32\svchost.exe

2008-05-31 22:45 505856 6bdf6b80f3c6c37bef59637fa8a652f2 C:\WINDOWS\system32\WINLOGON.EXE

2008-05-12 22:05 1034240 6b06b770badd3ba36da67304ff587ce2 C:\WINDOWS\explorer.exe

2008-05-22 15:08 110080 5cee7e9d377fa228c9e3a95e7d60e08e C:\WINDOWS\system32\services.exe

2008-05-22 15:08 14336 110fb3121c028e5aaedf3307223787cd C:\WINDOWS\system32\lsass.exe
.
((((((((((((((((((((((((((((( snapshot@2008-06-03_20.45.58.58 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-03 18:28:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-06 06:04:29 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2007-03-13 13:15:41 33,376 ----a-w C:\WINDOWS\system32\CCM\Cache\F000002E.2.System\CLI_LibraryRoutines.vbs
+ 2008-06-04 11:32:21 25,383 ----a-w C:\WINDOWS\system32\CCM\Cache\F000002E.2.System\COM_LibraryRoutines.vbs
+ 2008-06-04 11:58:33 6,406 ----a-w C:\WINDOWS\system32\CCM\Cache\F000002E.2.System\ReRun_Failed_Advertisements.wsf
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SecurityBoxKernel"="C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe" [2005-11-21 23:17 364621]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.exe" [2004-09-09 11:03 118832]
"F-Secure TNB"="C:\Program Files\F-Secure\TNB\TNBUtil.exe" [2004-05-27 10:57 684032]
"AGRSMMSG"="AGRSMMSG.exe" [2005-11-16 15:12 88209 C:\WINDOWS\AGRSMMSG.exe]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 12:11 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 12:13 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 12:10 94208]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-09-02 00:57 282624]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
coedm-sessionwatcher.lnk - C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe [2007-07-24 07:34:51 231887]
Symantec NetBackup Desktop Agent.lnk - C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe [2007-06-26 13:26:10 7091576]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SBSCHED]
C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll 2004-01-30 05:08 24647 C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0[/u]\[u]0[/u]]
"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\GPOSecurityWorkstations\AddAdmins-ddom.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\1\[u]0[/u]]
"Script"=\\ddom.ad.corp\SysVol\ddom.ad.corp\scripts\SMSInstall.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1201654002-2523771428-1557942192-119212\Scripts\Logon\[u]0[/u]\[u]0[/u]]
"Script"=\\bdom.ad.corp\netlogon\buc\logonpierrelatte.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1201654002-2523771428-1557942192-119212\Scripts\Logon\[u]0[/u]\1]
"Script"=\\bdom.ad.corp\netlogon\buc\wuauserv.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-31118\Scripts\Logoff\[u]0[/u]\[u]0[/u]]
"Script"=CleanDocumentum.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-31118\Scripts\Logon\[u]0[/u]\[u]0[/u]]
"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\loginscript.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-5347\Scripts\Logoff\[u]0[/u]\[u]0[/u]]
"Script"=CleanDocumentum.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-5347\Scripts\Logon\[u]0[/u]\[u]0[/u]]
"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\loginscript.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"=C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
"WatchDog"=C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys [2004-11-10 14:58]
R0 VSP;VERITAS Snapshot Provider;C:\WINDOWS\system32\drivers\vsp.sys [2002-11-04 11:02]
R2 AM.EventService;Access Manager Event Service;"C:\Program Files\Remote Services\AM.utEventServer.exe" [2006-06-29 13:10]
R2 AM.ScriptService;Access Manager Script Service;"C:\Program Files\Remote Services\AM.blScriptEngine.exe" [2006-06-29 13:10]
R2 CcmExec;SMS Agent Host;C:\WINDOWS\system32\CCM\CcmExec.exe [2006-02-09 02:50]
R2 DLOChangeJournalSvc;Backup Exec DLO Agent Change Journal Reader;"C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe" [2007-06-26 11:44]
R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2004-09-10 18:14]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSgk.sys [2004-09-10 18:14]
R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys [2003-02-06 14:32]
R2 MCIMonitor;MCI Monitor Service;"C:\Program Files\Remote Services\WENGINE\wmonitor.exe" [2006-01-24 10:07]
R2 SBoxDisk;Security BOX® Disk Driver;C:\WINDOWS\system32\drivers\SBoxDisk.sys [2003-07-01 18:20]
R2 SBoxDiskSrv;Security BOX® Disk;"C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe" [2003-07-01 18:20]
R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2008-05-22 15:08]
R3 BW2NDIS5;BW2NDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BW2NDIS5.sys [2004-11-02 17:33]
R3 Eacfilt;Eacfilt Miniport;C:\WINDOWS\system32\DRIVERS\eacfilt.sys [2004-09-30 22:42]
R3 GTIPCI21;GTIPCI21;C:\WINDOWS\system32\DRIVERS\gtipci21.sys [2005-05-31 12:46]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-06-10 15:26]
R3 IPSECSHM;Nortel IPSECSHM Adapter;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2004-09-30 22:43]
S3 AM.InstallService;Access Manager Install Service;"C:\Program Files\Remote Services\AM.InstallService.exe" [2006-06-29 13:10]
S3 IPSECEXT;Nortel Extranet Access Protocol;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2004-09-30 22:43]
S3 prepdrvr;SMS Process Event Driver;C:\WINDOWS\system32\CCM\prepdrv.sys [2006-02-09 02:50]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-14 17:49]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C869BA1-A1E2-4818-8B12-F22A96DC7EAA}]
msiexec /fu {7C869BA1-A1E2-4818-8B12-F22A96DC7EAA} /qn

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}]
rundll32.exe advpack.dll,LaunchINFSectionEx C:\WINDOWS\INF\wmactedp.inf,PerUserStub,,4
.
Contents of the 'Scheduled Tasks' folder
"2008-06-06 06:04:46 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\PM\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 08:09:47
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-06-06 8:10:31
ComboFix-quarantined-files.txt 2008-06-06 06:10:24
ComboFix2.txt 2008-06-06 05:58:02
ComboFix3.txt 2008-06-05 07:21:55
ComboFix4.txt 2008-06-03 18:46:11

Pre-Run: 5,509,455,872 bytes free
Post-Run: 5,495,308,288 bytes free

196

Je vais voir si j'arrive quand même à trouver une màj pour L2MRemover, on ne sait jamais, je te tiens au courant s'il y a du changement.


@+

Re,

Effectivement on dirait qu'il y en a une, j'arrive pas à coller ma capture d'écran mais le nom de la clé est [u]0/u avec :
• Nom : (par défaut)
• Type : REG_SZ
• Données : (valeur non définie)

Son chemin d'accès est celui que tu as donné : HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0/u mais dans l'arborescence, le "dossier" [u]0/u contient un "sous-dossier" qui porte le même nom, à moins évidemment (je crois comprendre en l'écrivant) que ça ne corresponde à [u]0/u\[u]0/u avec l'anti-slash entre les deux qui indique justement l'arborescence ... Ouais, ça doit être ça, donc il y a bien cette clé dans le registre.

C'est grave Docteur ?


@+

Re,

Faut que j'y aille et pas d'internet avant lundi ...

Bon we

@+

Re,

Ca y est, suppressions effectuées. Par contre la clé [u]0/u n'était pa présente à toutes les adresses que tu listes dans ton message, apparemment pour certains "Logoff". Je me demande si en supprimant la clé dans "Logon" ça supprime automatiquement celle du "Logoff" correspondant.

D'après toi y a-t-il encore d'autres manip à faire ? Je n'ai plus de symptômes d'infection pour le moment.
En tout cas merci pour ton aide et ta patience (2 semaines que ça dure !).

@+

Re,


C'est une corriace c'te $@~£µ d'infection, je vois ça demain matin et je te tiens au courant.

Merci & bonne soirée

@+

Re,

Pas moyen de lancer le scan en ligne. Je devrais pouvoir essayer ça demain à partir d'un autre réseau qui, en général, est moins restrictif que celui que j'utilise actuellement.

Je te dis ça demain.

@+

Re,

Ca a enfin fonctionné ! Voici le rapport du scan (c'est normalement sous forme de tableaux mais j'arrive pas à coller correctement ou même insérer le fichier dans le message) :

BitDefender Online Scanner

Rapport d'analyse généré à: Thu, Jun 12, 2008 - 09:54:03

Voie d'analyse: C:\;D:\;

Statistiques

Temps
00:38:59

Fichiers
112133

Directoires
6375

Secteurs de boot
2

Archives
1907

Paquets programmes
11165


Résultats

Virus identifiés
1

Fichiers infectés
2

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
2




Info sur les moteurs

Définition virus
1260453

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
16

Archive des plugins
42

Unpack des plugins
7

E-mail plugins
6

Système plugins
5




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Message

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\System Volume Information\_restore{8402CBAA-D33C-483E-AED3-D25BECE3DA1B}\RP242\A0067010.dll
Infecté par: Trojan.Vundo.EPK

C:\System Volume Information\_restore{8402CBAA-D33C-483E-AED3-D25BECE3DA1B}\RP242\A0067010.dll
Supprimé

C:\System Volume Information\_restore{8402CBAA-D33C-483E-AED3-D25BECE3DA1B}\RP242\A0067012.dll
Infecté par: Trojan.Vundo.EPK

C:\System Volume Information\_restore{8402CBAA-D33C-483E-AED3-D25BECE3DA1B}\RP242\A0067012.dll
Supprimé



Voilà, apparemment les 2 infections détectées ont été supprimées. Peut-être les derniers ?
Je fais un nouveau scan ComboFix pour voir s'il y a une différence ?


@+

Re,

Juste pour info cette adresse correspond à un serveur de ma boîte. Le fait que ce soit répertorié comme site potentiellement infecté signifie que le lecteur réseau peut être infecté ou cela concerne uniquement mon PC ?

@+

Arf ... désolé je savais pas que c'était cette ligne qui te posait problème.

On est dans un secteur en plein renouveau et qui a plein d'amis ... le nucléaire ;)

Re,

@ cyrildu17 : Pour l'instant ça a l'air d'aller, pas de nouveau problème, ça fonctionne normalement :)

Merci pour tout, c'est bien sympa d'avoir passé autant de temps à m'aider. Du coup je pense qu'on peut mettre [Résolu] pour ce post, par contre faut que je regarde comment on fait.
Encore une question : si j'avais de nouveau des soucis du même genre, vaut mieux que je crée un nouveau post ou je peux reprendre celui-là (si je le retrouve) ?

@ afideg : j'ai l'impression que F-Secure est ... comment dire ... une m.... infâme. Un collègue l'avait sur son PC perso et le jour où il a changé il s'est rendu compte qu'il était bien infecté. Peut-être qu'ils essaient de développer une solution logicielle au problème de surchauffe des PC, avec les courants d'air qu'il y a là-dedans, ça devrait suffisamment ventiler ;))


Encore merci, @+

Re,

Après quelques jours, plus aucun signe d'infection, tout va bien.
Ma dernière question est de savoir comment on indique que le post est résolu ? Est-ce toi ou moi qui peut le faire ?
Merci pour ton aide.

@+

Bonjour afideg,

Pour la restauration système, je l'ai désactivée lorsque j'ai utilisé ComboFix (ça apparaît d'ailleurs dans le rapport) mais après redémarrage, elle était à nouveau active. Est-ce que ComboFix ou un autre utilitaire (voire Windows) peut la réactiver automatiqement ou est-ce anormal ?

Pour terminer le nettoyage faut aussi, comme le disait cyrildu17 plus haut, que je supprime tous les utilitaires téléchargés pour la désinfection. Encore un peu de ménage et ce devrait être bon.

Kaspersky est aussi l'antivirus que j'ai choisi pour mon PC perso et aucun pb non plus depuis 6 ans ! Malheureusement pour le PC pro, j'ai pas le choix donc il y a des chances que je revienne faire un tour par ici un jour ou l'autre. Tant mieux (si j'ai pas trop de dégâts), c'est sympa ici et surtout vous êtes de bon conseil alors vivement la prochaine infection ! ;)

@+