Win 32 Trojan Gen à l'assaut Résolu/Fermé

Question

Bonjour,

Avast a détecté un certain Win 32 Trojan Gen dans le document C:\DOCUME~1\boutboul\LOCALS~1\Temp\LongX911.Exe qu'Avast supprime à chaque fois mais le virus réapparaît sous d'autres formes apparemment, donc Avast le resupprime à chaque fois, mais je sens que l'ordinateur ralentit étrangement.
J'ai essayé de suivre les instructions d'autres victimes sur ce forum, mais je reconnais que je suis virtuellement handicapé de l'ordinateur donc j'y comprends niette. 
J'ai téléchargé le HiJackThis et j'ai fait un rapport. 
Le comble c'est que mon ordinateur s'est fait récemment dévasté par ce virus (il faut que je reformate entièrement) mais je dois dire que je le méritais puisque je n'avais aucun antivirus. Là il se retrouve sur celui d'une pote qui va mal le vivre, je pense que j'ai du le transmettre par une clef USB ou quelque chose du genre. 

Par pitié à l'aide...

afideg · Answer

Bonjour Biberkopf

Si tu l'as, poste le rapport HijackThis ici. Merci

Ensuite fais ceci ==> Est-ce bien la même alerte? ==> Avast a sorti un correctif
https://support.avast.com/avast_maintenance_page?startURL=%2Findex.php%3F_m%3Dknowledgebase%26_a%3Dviewarticle%26kbarticleid%3D307

Peux-tu faire ceci, SVP:

A)- Scan en ligne de Kaspersky</scan>" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr sous "Internet Explorer".
<gras> Branche ton Disque Externe (clé USB) éventuellement
- Clique sur "Démarrer Online-Scanner" ( en bas à droite de la page) .
- Clique maintenant sur "J'accepte".
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des "Mises à jour".
Clic sur « Paramètres d'analyse »
Coche la case "Étendue" >> Ok
- Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ».
- Sauvegarde puis colle le rapport généré en fin d'analyse.
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif

AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 >
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641 (par Morgane & nico_dodo)

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

B)- Utiliser RAV ANTIVIRUS par Evosla à télécharger ici
Ou là < http://ww25.evosla.com/compteur.php?soft=rav_antivirus >
Brancher les disques amovibles (clef USB,stick mémoire,disque externe)
NOTE : NE PAS FAIRE DE DOUBLE-CLIC SUR CES CLÉS .
Lancer RAV en mode sans échec ( http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
Quand tu as le curseur qui clignote, tu peux avoir un temps d'ouverture du mode sans échec qui va jusqu'à 15 minutes. Il faut donc être patient.
Il faut laisser aller le PC à son rythme, pour que s'installe le bureau; après quoi, tu réutilises ta souris.
Choisir sa session habituelle, (pas le compte "Administrateur" ou une autre). )

Le décompresser (clic droit >> Extraire ici) et double-cliquer sur le fichier RAV.exe
Une fois RAV ANTIVIRUS lancé, le laisser agir (il scanne automatiquement tous les lecteurs).
À propos du nettoyage en temps réel, quand le soft détecte un « autorun » sur un disk, il le supprime (sauf si vous utilisez un lecteur virtual comme virtual daemon).
Si un virus est trouvé, un log s'établira; sinon rien se passera et le soft affichera (Votre Ordinateur est Sain).
Retirer les disques amovibles et redémarrer le PC.
Poster un rapport ensuite.

Un petit tuto ici < http://smilblick.free.fr/tuto/ravantivirus.PDF >

Merci
Al.

Biberkopf · Answer

tout d'abord merci de ta réponse. je vais essayer de faire les manips que tu m'as indiqué, enfin ce que j'en ai compris (je n'ai pas compris l'utilisation de la clé usb, ça ne risque pas de l'infecter aussi ?)

voilà donc le scan hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:17:32, on 25/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme Cha\antivirus\aawservice.exe
C:\Programme Cha\antivirus\avast\aswUpdSv.exe
C:\Programme Cha\antivirus\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Programme Cha\antivirus\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme Cha\antivirus\avast\setup\avast.setup
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~2\ANTIVI~1\avast\ashDisp.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme Cha\Musique\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme Cha\Utilitaire\SuperCopier2\SuperCopier2.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Programme Cha\Utilitaire\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme Cha\Musique\Last.fm\LastFMHelper.exe
C:\Documents and Settings\boutboul\Bureau\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme Cha\Utilitaire\Digital Imaging\bin\hpqgalry.exe
C:\Programme Cha\antivirus\avast\ashMaiSv.exe
C:\Programme Cha\antivirus\avast\ashWebSv.exe
C:\Program Files\Spyware Doctor\pctsGui.exe
C:\Program Files\iPod\bin\iPodService.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.ircfast2.com/index.php?rvs=hompag
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme Cha\antivirus\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~2\ANTIVI~1\avast\ashDisp.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme Cha\Musique\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Programme Cha\Utilitaire\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme Cha\Utilitaire\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\RunOnce: [FFTI] C:\Documents and Settings\boutboul\Application Data\Mozilla\Firefox\Profiles\0l47rxmg.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Documents and Settings\boutboul\Application Data\Mozilla\Firefox\Profiles/0l47rxmg.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Programme Cha\Utilitaire\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme Cha\Musique\Last.fm\LastFMHelper.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\UTILIT~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\UTILIT~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\UTILIT~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{737FE387-1B4C-423E-8977-F0D8C5D14C11}: NameServer = 193.252.19.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{4F5BFD0C-F9B5-4C76-8B42-48B0B7FBABDE}: NameServer = 212.27.53.252,212.27.54.252
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme Cha\antivirus\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme Cha\antivirus\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme Cha\antivirus\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme Cha\antivirus\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme Cha\antivirus\avast\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme Cha\antivirus\Personal Firewall\kpf4ss.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

Biberkopf · Answer

et également non ce n'est pas cette annonce là qui apparaît, mais bien celle du Win 32 Gen

Biberkopf · Answer

Je suis sur Firefox, ça change quelque chose pour le téléchargement de Kapersky ?
Quoiqu'il en soit je télécharge déjà en attendant tes instructions. 
Merci d'avance

Biberkopf · Answer

Alors là en fait les données deviennent contradictoires, Spyware Doctor m'annonce qu'en fait j'ai le virus trojan PWS WOW AIC et Avast ne pipe plus mot. 
Je ne saisis plus là...

afideg · Answer

Re,
Bonsoir,

A)- Traitement de cette ligne:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe 

Pour VISTA, suivre cette procédure MSNFix  indiquée ici   https://www.malekal.com/supprimer-virus-desinfecter-pc/
Poste le rapport ici.


B)- Analyse de cette ligne:
O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll

Télécharge et installe Malwarebyte's Anti-Malware 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

A la fin de l'installation, veille à ce que l'option "Mettre à jour Malwarebytes Anti-Malware" soit cochée. >>> clique sur "Terminer" 

Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau. 
Au premier lancement, une fenêtre t'annonce que la version est gratuite >>> clique sur ok 
Laisse les Mises à jour se télécharger 
*** Referme le programme *** 

Redémarre en "Mode sans échec" 
Regarde ici pour exécuter le mode sans échec, sans stresser : 
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > 
Il faut laisser aller le PC à son rythme, pour que s'installe le bureau; après quoi, tu réutilises ta souris. 
Quand tu as le curseur qui clignote, tu peux avoir un temps d'ouverture du mode sans échec qui va jusqu'à 15 minutes. Il faut donc être patient. 
Choisir sa session habituelle.

Lance Malwarebyte's Anti-Malware 
Onglet "Recherche" >>> coche « Exécuter un examen complet » >>> « Rechercher » 
Sélectionne ton disque dur >>> clic sur « Lancer l'examen » 

A la fin du scan >>> clique sur « Afficher les résultats » >>> « Enregistrer le Rapport » 
Suppression des éléments détectés >>>> clique sur « Supprimer la sélection » 
S'il t'est demandé de redémarrer >>> clique sur "Yes" 

Un rapport de scan s'ouvre, poste le rapport.


Merci
Al.

Biberkopf · Answer

Alors, juste avant de faire la manip (je télécharge le malwarebyte), j'annonce quand même que je n'ai pas Vista, que je suis sur un Dell (on sait jamais ça peut être utile de le savoir) et que Spydoctor a quand même un verdict pas rassurant : Trojan Pow Wow Aic, Trojan Downloader.VB (rien que ça) (autrement connus sous les noms de Trojan PSW WIN 32 WOW aic ou encore Worm.Win32.Autorun.all Kapersky).
A tout de suite pour le rapport de Malwarebyte.

Merci encore...

afideg · Answer

OK

Ce n'est pas grave, je me suis trompé de lien
Voici le tuto de l'auteur de MSNFix   http://sosvirus.changelog.fr/ 

Merci
Al.

Biberkopf · Answer

ok voilà donc le bilan de "mbam", qui me semble curieux, étant donné qu'il n'y a aucune trace détextée du troyen, alors que Spyware Doctor convient toujours qu'il est bien là...
je m'occupe du MSNfix

mbam rapport (j'ai ensuite supprimé la sélection comme prévu)

Malwarebytes' Anti-Malware 1.18
Version de la base de données: 870

23:40:44 25/06/2008
mbam-log-6-25-2008 (23-40-37).txt

Type de recherche: Examen rapide
Eléments examinés: 46068
Temps écoulé: 17 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

afideg · Answer

Elément(s) de données du Registre infecté(s): 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHe­lp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. 

Il faut suivre la procédure indiquée !

A la fin du scan >>> clique sur « Afficher les résultats » >>> « Enregistrer le Rapport » 
Suppression des éléments détectés >>>> clique sur « Supprimer la sélection » S'il t'est demandé de redémarrer >>> clique sur "Yes" 

Poste ensuite le rapport

Biberkopf · Answer

Ben en fait j'avais d'abord enregistré le rapport et ensuite tapé sur supprimer et le logiciel m'avait effectivement demandé de redémarrer.
J'ai télécharger MSNfix, je vais l'exécuter en mode sans échec pour être bien sûr que ça soit efficace, et je posterai le rapport. 

Merci grandement de ton aide, surtout aussi tard... Mais en plus je culpabilise parce que c'est pas mon ordi...

Biberkopf · Answer

Voilà donc ce que MSNfix me raconte (tout en m'ayant fait apparaître un étrange dossier zip "Upload Me").
J'ai la sensation que son verdict n'est pas très positif...

MSNFix 1.726  
 
C:\Program Files\MSNFix 
Fix exécuté le 26/06/2008 -  0:25:19,21 By boutboul 
mode sans échec           
    
************************ Recherche les fichiers présents      
    
Aucun Fichier trouvé 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\DOCUME~1\boutboul\LOCALS~1\Temp\rj1b7q52.zip] B0B86E1668047B7F26FD2C1F8E0772FD 
[C:\DOCUME~1\boutboul\LOCALS~1\Temp\swt-3.3-win32-win32-x86.zip] 3D057F1EAA8BC7BD316C468597D2E07B 
[C:\DOCUME~1\boutboul\LOCALS~1\Temp\rj1b7q52.zip] B0B86E1668047B7F26FD2C1F8E0772FD 
[C:\DOCUME~1\boutboul\LOCALS~1\Temp\swt-3.3-win32-win32-x86.zip] 3D057F1EAA8BC7BD316C468597D2E07B 

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier  [b] C:\DOCUME~1\boutboul\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr

 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 26062008_ 0264770.zip
 
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\WINDOWS\system32\userinit.exe, 

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

Biberkopf · Answer

au passage, je ne comprends pas très bien pourquoi, Spyware Doctor change son diagnostic et considère que finalement  Trojan PWS WOW AIC n'est plus qu'une "menace moyenne" alors qu'il le considérait comme une "haute menace" au paravant... Cependant le Trojan Downloader VB est toujours une haute menace, mais les 2 ont moins de fichiers infectés...

afideg · Answer

Re,


1°- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau. 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
2°- Double-cliquer sur OTMoveIt.exe pour le lancer. 
3°- Dans le cadre de OTMoveIt2 : "Paste List of Files/Folders to be moved"
http://nsa01.casimages.com/img/2008/04/04/0804041233502840681.jpg
faire un copier/coller de cette liste en gras, telle quelle:

C:\Documents and Settings\boutboul\Local Settings\Temp\rj1b7q52.zip
C:\Documents and Settings\boutboul\Local Settings\Temp\swt-3.3-win32-win32-x86.zip


4°- Clique sur le bouton rouge MoveIt! pour lancer la suppression. 
-Le résultat apparaîtra dans le cadre "Results". 
Note :  Copier tout ce qui se trouve dans la zone “Results” (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic-droit puis en choisissant Copier), et coller ces résultats en réponse sur le forum (clic-droit > coller).
* Clique sur "Exit" pour fermer Fermer OTMoveIt2
5°- Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
Nécessaire après toute action dans les registres, il te sera demandé de redémarrer le pc pour achever la suppression.
6°-  Le rapport se trouve en C:\_OTMoveIt\MovedFiles; tu ouvres le dossier et tu trouveras le rapport à poster. (fichier de ce type ********_******.log (mm/jj/aaaa_hh/mm/ss = date et horaire de la suppression)



Al.

Biberkopf · Answer

voilà donc ce que OTMove It en pense

C:\Documents and Settings\boutboul\Local Settings\Temp\rj1b7q52.zip moved successfully.
C:\Documents and Settings\boutboul\Local Settings\Temp\swt-3.3-win32-win32-x86.zip moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06262008_010144

Biberkopf · Answer

Bon je suppose que l'heure est fort tardive, je reprendrai les manipulations demain matin...
Merci cependant pour ce début d'aide. L'ordi est vaguement plus fluide depuis, et Doctor Spyware considère que les menaces se sont amoindries, mais qu'elles sont toujours présentes... Je ne pense pas que mon ordinateur ne mute en gremlins dans la nuit.

Biberkopf · Answer

Rebonjour

Trojan Downloader.VB et Trojan PWS WOW AIC sont toujours d'actualité selon Spyware Doctor et mon ordi met plus de 10 minutes au démarrage. Que dois-je faire maintenant ?? 
Merci d'avance

Biberkopf · Answer

Accessoirement Avast s'est réveillé et m'annonce que Win 32 Gen Other est toujours bien là...

afideg · Answer

Re,
Bonjour,

# 6 Malwarebyte's Anti-Malware ==> FAIT : élément trouvé supprimé
# 12 MSNFix ==> FAIT : éléments trouvés supprimés

Vu que Malwarebyte's Anti-Malware peut favorablement se substituer à Spyware Doctor, désactive Spyware Doctor et sa protection résidente.

Exécute Scan en ligne de Kaspersky (quelle difficulté as-tu de lancer cette application sous IE comme recommandé ?), et exécute RAV ANTIVIRUS de Evosla comme ça avait été proposé au post # 1, et poste-nous les deux rapports issus.

Veux-tu bien lancer cet Antispyware :
Télécharge PCA (d'Evosla) < http://ww25.evosla.com/pca_cpt.php?agr=pca_securite >
• Décompresse-le sur ton " Bureau " au moyen d'un clic-droit (Extraire ici...),
• Ensuite relance "pca.exe" (( en forme de grenade qui est sur le bureau )
- Clique sur l'onglet "Analyse (anti-spyware)"
http://www.evosla.com/images/capture45.jpg ---> lance l'analyse "Scanner"/"Analyser"
- Enregistre le rapport ( en bas à droite ) sur le bureau
- ATTENTION: Clic sur [Nettoyer] s’il y a lieu.
Poste le rapport mis sur ton bureau " PCA_SCAN-LOG.txt " »
Tuto < http://ww25.evosla.com/pca.php >

Je devrai quitter le PC
Merci
Al.

Biberkopf · Answer

Kapersky, à part ouvrir des popups un peu partout, ça lance rien. Mais c'est peut être du au fait que je ne sois pas sur Internet Explorer.

Biberkopf · Answer

Je lance le RAV et le PCA de ce pas.

Biberkopf · Answer

PCA dit ça, et ne propose pas de nettoyage. # PCA Sécurité V 1.2.11, (fichier LOG Anti-Spyware). # Analyse du :26/06/2008 10:38:01 Microsoft Windows XP Service Pack 2 Objets reconnus : 000 Processus reconnus :000 - - - - - - - - - - - - - - [26/06/2008 10:37:10] - ==>>> Scan des Processus <<<== [26/06/2008 10:37:11] - ==>>> Scan de la base de registre <<<== [26/06/2008 10:37:11] - ==>>> Scan de : c:\ [26/06/2008 10:37:11] - ==>>> Scan de : d:\ [26/06/2008 10:37:17] - ==>>> Scan de : C:\WINDOWS [26/06/2008 10:37:19] - ==>>> Scan de : C:\WINDOWS\SYSTEM\ [26/06/2008 10:37:19] - ==>>> Scan de : C:\WINDOWS\system32 [26/06/2008 10:37:35] - ==>>> Scan de : C:\Documents and Settings\boutboul [26/06/2008 10:37:35] - ==>>> Scan de : C:\Documents and Settings\boutboul\Menu Démarrer [26/06/2008 10:37:35] - ==>>> Scan de : C:\Documents and Settings\boutboul\Menu Démarrer\Programmes\Démarrage [26/06/2008 10:37:35] - ==>>> Scan de : C:\Documents and Settings\All Users\Menu Démarrer [26/06/2008 10:37:35] - ==>>> Scan de : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage [26/06/2008 10:37:35] - ==>>> Scan de : C:\Documents and Settings\boutboul\Bureau [26/06/2008 10:37:35] - ==>>> Scan de : C:\Documents and Settings\boutboul\Bureau [26/06/2008 10:37:35] - ==>>> Scan de : C:\Documents and Settings\All Users\Bureau [26/06/2008 10:37:35] - ==>>> Scan de : C:\Program Files [26/06/2008 10:37:35] - ==>>> Scan de : C:\Documents and Settings\boutboul\Application Data [26/06/2008 10:37:35] - ==>>> Scan de : C:\Documents and Settings\boutboul\Local Settings\Application Data

Biberkopf · Answer

RAV a tourné pendant pratiquement 45 minutes et n'a rien trouvé.

afideg · Answer

Re,

Désolé pour ce retard, mais j'ai reçu livraison de 6 stères de bois; et j'ai dû tout ranger ensuite.


Recherche IE dans les répertoires.
Connecte-toi sur IE et lance Scan en ligne de Kaspersky
http://www.vista-xp.fr/forum/topic109.html

Comment fais-tu les mises à jour de Windows ?


Al.

Biberkopf · Answer

de rien pour le retard, c'est déjà assez miraculeux que quelqu'un m'aide...
Qu'est ce que les répertoires ? Qu'est ce qu'IE ? Je ne sais pas comment sont faites les mises à jour sur cet ordi, ce n'est pas le mien... 
En ce qui concerne Kaspersky je vais d'abord me télécharger un Internet Explorer.
En attendant j'étais en train de me faire un Spybot search and destroy, un ami me l'a conseillé, on ne sait jamais...

afideg · Answer

Re,

Répertoire = http://www.tout-savoir.net/lexique/definition/6284/repertoire/
IE = Internet Explorer = http://www.tout-savoir.net/lexique.php?rub=definition&code=3858
Mise à jour de Windows XP = http://www.aidewindows.net/windowsxp.php#sp2

IE6 ou 7, n'est-il pas déjà contenu dans ce PC ?
Lance une recherche sur " Internet Explorer " et trouve son exécutable (fichier avec l'extension en .exe)


Pas besoin d'accumuler les Antispyware sur ton PC
Laisse tomber Spybot S&D

Al.

Biberkopf · Answer

OK Internet Explorer était déjà là. J'en suis au Kapersky scan, mais il ne semble visiblement pas vouloir s'exécuter, alors que j'ai désactivé tous les antivirus ?

Biberkopf · Answer

non ok ça fonctionne j'avais oublié un truc.....

afideg · Answer

OK,

Soit patient, ça peut parfois durer 1 heure.

Al.

Biberkopf · Answer

la question est la suivante : je dois vraiment y aller là, le problème est : n'est-ce pas un peu dangereux de laisser l'ordinateur terminer le scan et rester allumé sans antivirus jusqu'à au moins 22H je pense ??

merci beaucoup pour l'aide en tout cas

afideg · Answer

Non, ta protection est assurée par Kaspersky en cours
à+..
Al.

Biberkopf · Answer

Le scan Kapersky s'arrête toujours systématiquement vers 12772 fichiers et refuse de continuer ensuite... ça fait 3 fois que ça me fait le coup...

afideg · Answer

Salut Biberkopf, Cette réaction de Kaspersky est tout à fait anormal, et tu t'en doutes bien. On va essayer de le soulager en commençant par celui-ci qui élimine déjà pas mal (s'il y a lieu) ScanOnline chez Bitdefender : < http://www.bitdefender.fr/bd/site/page.php > ou < https://www.bitdefender.fr/ > ( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX) * En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE" http://download.bitdefender.com/resources/images/new_design/onlinescanner.gif * Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence ) Accepter et installer le contrôle des ActivesX * La fenêtre change encore, clique sur "Click here to scan" * Les signatures se chargent, etc. •- Sauvegarde le rapport comme ceci: Clic sur "Enregistrer sous..." > choisis « bureau » ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier HTML" (*.html) • > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum. Tuto Morgane < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm > (Merci Morgane ;) ) Al.

Biberkopf · Answer

bitdefender a déclaré ne pas pouvoir mettre à jour toutes ses signatures de virus et par conséquent qu'il ne pourrait faire qu'une analyse approximative. il n'a rien trouvé. après l'ordinateur fonctionne à peu prêt bien maintenant, peut être que avast est vraiment arrivé à le supprimer ? je vais faire un simple scan avast.

le rapport

BitDefender Online Scanner
	

 
	

 

Rapport d'analyse généré à: Fri, Jun 27, 2008 - 16:42:53

 
	

 
	

 

Voie d'analyse: C:\Documents and Settings\boutboul\Mes documents;C:\Documents and Settings\boutboul\Bureau\FAC;C:\Documents and Settings\boutboul\Bureau\Vrac;
	

 
	

 

 
	

 
	

 

Statistiques

Temps
	

00:00:41

Fichiers
	

556

Directoires
	

490

Secteurs de boot
	

3

Archives
	

0

Paquets programmes
	

1
	

 
	

 

Résultats

Virus identifiés
	

0

Fichiers infectés
	

0

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

0
	

 
	

 

Info sur les moteurs

Définition virus
	

0

Version des moteurs
	

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
	

0

Archive des plugins
	

8

Unpack des plugins
	

2

E-mail plugins
	

0

Système plugins
	

1
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

Aucun virus trouvé.

Biberkopf · Answer

non faut pas rêver, Win 32 est toujours là, s'appellant désormais plutôt Win32Agent selon avast...

afideg · Answer

Bon. Il faut retrousser ses manches. A)- Suppression des outils utilisés antérieurement. Télécharge ToolsCleaner (de A.Rothstein) à l’aide de ce lien : < http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe >, et enregistre-le sur le “Bureau”. Et exécute-le. Clique sur Recherche et laisse le scan se terminer. Clique sur Suppression pour finaliser. Clique sur Quitter, pour que le rapport puisse se créer. Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). B)- Tu as la possibilité de vider le cache Internet de tous ses fichiers temporaires avec ce petit logiciel que tu lances tous les jours à la fin de ta session de travail Télécharge : ATF-Cleaner < http://www.atribune.org/ccount/click.php?id=1 > - Tuto < http://mickael.barroux.free.fr/securite/atf_cleaner.php > C)- Je constate que Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!). Alors, fais-moi plaisir; applique ceci: 1)- Télécharger ANTIVIR https://www.avira.com/ Ou à partir de ce tuto http://www.libellules.ch/tuto_antivir.php TUTORIELS : < https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement. - ou < http://www.malekal.com/tutorial_antivir.html > 2)- Désinstaller AVAST: < https://www.avast.com/fr-fr/uninstall-utility > 3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation. - Attention : Sers-toi du tutoriel pour installer ANTIVIR, http://www.vista-xp.fr/forum/topic227.html 4)- Procédure d'utilisation: Après l'installation du programme et avant de lancer l'analyse, ... ...il faut redémarrer le PC en mode sans échec, comme ceci: < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > . L'analyse: - Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir » - Cliquer sur l’onglet « scanner » - Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut) - Une fenêtre va s’ouvrir « Luke Filewalker » - Le scan va démarrer. - Mettre tout ce qu il trouve en "quarantine" Le rapport: Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître. Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau). Voici un lien pour ne plus avoir de popup intempestif pour acheter la version payante lors des mises à jour https://forum.malekal.com/viewtopic.php?p=45326#p45326 Pour tes soucis de mise à jour éventuelle, télécharger les maj d'antivir ici : https://www.bytesin.com/software/Download-Avira-Antivir-Virus-Definition-File-Update/ Merci Al.

Biberkopf · Answer

bon alors on commence par tools cleaner. Cette fois ci je sens que c'est la bonne !

-->- Recherche: 

C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Bureau\MSNFix.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\MsnFix: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\MSNFix\MSNFix.lnk: trouvé !
C:\Documents and Settings\boutboul\Bureau\MSNFix.exe: trouvé !
C:\Documents and Settings\boutboul\Bureau\OtMoveIt2.exe: trouvé !
C:\Documents and Settings\boutboul\Bureau\HijackThis.exe: trouvé !
C:\Program Files\MsnFix: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Bureau\MSNFix.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\MSNFix\MSNFix.lnk: supprimé !
C:\Documents and Settings\boutboul\Bureau\MSNFix.exe: supprimé !
C:\Documents and Settings\boutboul\Bureau\OtMoveIt2.exe: supprimé !
C:\Documents and Settings\boutboul\Bureau\HijackThis.exe: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\MsnFix: supprimé !
C:\Program Files\MsnFix: supprimé !

Biberkopf · Answer

je le crois pas : cet abruti d'avast ne veut pas se désinstaller. Le logiciel en question ne veut même pas s'ouvrir, il annonce que l'operation can't be completed. est-ce que juste désactiver avast ne suffirait il pas ?

afideg · Answer

Re,

As-tu pu télécharger  aswClear.exe sur le bureau  ?
Le vois-tu ?
As-tu pu redémarrer en Mode sans Echec ?
Vois-tu encore  aswClear.exe sur le bureau  ?

Biberkopf · Answer

ben oui il est là le Aswclear.exe, sur le bureau, mais il veut pas. bon je vais faire tout ça en mode sans échec, l'ordi n'est pas encore à la ramasse complètement, il est fluide dans l'ensemble. j'ai copié tes instructions dans un document pour les exécuter en mode sans echec.

a toute

afideg · Answer

Allo ?

Biberkopf · Answer

Avira AntiVir Personal
Report file date: vendredi 27 juin 2008  20:33

Scanning for 1165085 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Boot mode:        Save mode
Username:         boutboul
Computer name:    HAL9000

Version information:
BUILD.DAT     : 8.1.00.295      16479 Bytes  09/04/2008 16:24:00
AVSCAN.EXE    : 8.1.2.12       311553 Bytes  18/03/2008 09:02:56
AVSCAN.DLL    : 8.1.1.0         53505 Bytes  07/02/2008 08:43:37
LUKE.DLL      : 8.1.2.9        151809 Bytes  28/02/2008 08:41:23
LUKERES.DLL   : 8.1.2.1         12033 Bytes  21/02/2008 08:28:40
ANTIVIR0.VDF  : 6.40.0.0     11030528 Bytes  18/07/2007 10:33:34
ANTIVIR1.VDF  : 7.0.3.2       5447168 Bytes  07/03/2008 13:08:58
ANTIVIR2.VDF  : 7.0.3.62       337408 Bytes  21/03/2008 19:12:34
ANTIVIR3.VDF  : 7.0.3.68        57856 Bytes  25/03/2008 08:27:50
Engineversion : 8.1.0.28  
AEVDF.DLL     : 8.1.0.5        102772 Bytes  25/02/2008 09:58:21
AESCRIPT.DLL  : 8.1.0.19       229754 Bytes  07/04/2008 15:34:44
AESCN.DLL     : 8.1.0.12       115060 Bytes  07/04/2008 15:34:44
AERDL.DLL     : 8.1.0.19       418164 Bytes  07/04/2008 15:34:44
AEPACK.DLL    : 8.1.1.0        364918 Bytes  18/03/2008 11:20:42
AEOFFICE.DLL  : 8.1.0.15       192889 Bytes  07/04/2008 15:34:44
AEHEUR.DLL    : 8.1.0.15      1147253 Bytes  07/04/2008 15:34:44
AEHELP.DLL    : 8.1.0.11       115061 Bytes  07/04/2008 15:34:43
AEGEN.DLL     : 8.1.0.15       299379 Bytes  07/04/2008 15:34:43
AEEMU.DLL     : 8.1.0.5        430450 Bytes  07/04/2008 15:34:43
AECORE.DLL    : 8.1.0.25       168309 Bytes  08/04/2008 09:58:32
AVWINLL.DLL   : 1.0.0.7         14593 Bytes  23/01/2008 17:07:53
AVPREF.DLL    : 8.0.0.1         25857 Bytes  18/02/2008 10:37:50
AVREP.DLL     : 7.0.0.1        155688 Bytes  16/04/2007 13:26:47
AVREG.DLL     : 8.0.0.0         30977 Bytes  23/01/2008 17:07:49
AVARKT.DLL    : 1.0.0.23       307457 Bytes  12/02/2008 08:29:23
AVEVTLOG.DLL  : 8.0.0.11       114945 Bytes  28/02/2008 08:31:31
SQLITE3.DLL   : 3.3.17.1       339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.19        28929 Bytes  23/01/2008 17:08:39
NETNT.DLL     : 8.0.0.1          7937 Bytes  25/01/2008 12:05:10
RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes  10/03/2008 14:37:25
RCTEXT.DLL    : 8.0.32.0        86273 Bytes  06/03/2008 12:02:11

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: vendredi 27 juin 2008  20:33

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'WINWORD.EXE' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'ZCfgSvc.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'savedump.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
15 processes with 15 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
      [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
      [INFO]      No virus was found!
Boot sector 'D:\'
      [INFO]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '44' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\WINDOWS\Config\Svchost.MSNFix
      [DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
      [NOTE]      The file was moved to '48c87eaa.qua'!
C:\WINDOWS\Config\System.exe
      [DETECTION] Contains detection pattern of the worm WORM/VB.NPM.1
      [NOTE]      The file was moved to '48d87ebb.qua'!
C:\WINDOWS\system32\drivers\sptd.sys
      [WARNING]   The file could not be opened!
Begin scan in 'D:\'


End of the scan: samedi 28 juin 2008  02:17
Used time:  5:44:35 min

The scan has been done completely.

   7627 Scanning directories
 356071 Files were scanned
      2 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      2 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 356069 Files not concerned
   2435 Archives were scanned
      2 Warnings
      2 Notes

Biberkopf · Answer

Il a tout de même mis 5 heures pour faire le scan... En dehors de ça, Antivir ça n'a pas trop l'air de plaire à Windows qui le considère périmé et inactif, alors qu'il est bien écrit "Guard Active". Là je fais les mises à jours du logiciel en question.

afideg · Answer

Bonjour, Garde bien ANTIVIR comme antivirus. Si problème de mise à jour ANTIVIR, télécharger les MàJ d'Antivir ici : https://www.bytesin.com/software/Download-Avira-Antivir-Virus-Definition-File-Update/ et Installer Pour ledit pare-feu de Windows, clique sur [Démarrer], puis sur "Panneau de configuration" et là, ouvre le "Centre de sécurité" (icône du bouclier) comme ceci : clic-droit puis "Ouvrir" dans le petit menu contextuel affiché. Assure-toi que le pare-feu est désactivé . •- Tu peux également suivre cette théorie < https://www.vulgarisation-informatique.com/pare-feu-xp.php > , et placé ANTIVIR dans les exceptions. Sais-tu désinstaller complètement AVAST ? Si ça ne va pas avec la procédure (infaillible) du lien < https://www.avast.com/fr-fr/uninstall-utility > que je t'avais donné, et qui précise ceci: « Si vous avez installé avast dans un dossier différent de celui par défaut retrouvez-le en parcourrant votre disque avec le bouton "...". (Note: Faites attention! Le contenu de tout dossier que vous choisirez sera supprimé!) Cliquez sur "Uninstall" Redémarrez votre ordinateur » , alors essaie ceci: Telecharge ici Avast Removal tool: http://files.avast.com/files/eng/aswclear.exe Al.

Biberkopf · Answer

Avast est totalement désinstallé pour sûr, j'avais réussit à le tej en mode sans échec avec le logiciel que tu m'avais indiqué. Là ça va apparemment, le Antivir fonctionne normalement en protection résidente. Cependant j'ai comme pare feu Sunbelt Kerio Personal Firewall et il est activé. Pourquoi dois je le désactiver ? Et le virus est il encore là ? Là internet est assez fluide. Mais je me pose une question : ça m'était arrivé avec le précédent Win 32 que j'avais eu sur mon ordi (sauf que là c'était apocalyptique, y'avait des fonds d'écran / dessins animés etc...), au démarrage y'a une fenêtre noire qui s'appelle system 32 command.com, c'est pas un peu zarb ça ? (bon je me fais des films peut être, mais bon j'y connais rien donc...).

afideg · Answer

Nom de nom !! Je ne te parle à aucun endroit de Kério qui est un très bon pare-feu. Je parle uniquement de ta protection par Windows qui te signale que ANTIVIR est périmé. Enfin, ça c'est toi qui le disait ici: « Windows qui le considère périmé et inactif » Bis repetita => Pour ledit pare-feu de Windows, clique sur [Démarrer], puis sur "Panneau de configuration" et là, ouvre le "Centre de sécurité" (icône du bouclier) comme ceci : clic-droit puis "Ouvrir" dans le petit menu contextuel affiché. Assure-toi que le pare-feu est désactivé . Veux-tu bien ré-essayer ceci, SVP : )- Termine avec ce "Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr sous "Internet Explorer". Branche ton Disque Externe (clé USB) éventuellement - Clique sur "Démarrer Online-Scanner" ( en bas à droite de la page) . - Clique maintenant sur "J'accepte". - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. - Patiente pendant l'installation des "Mises à jour". Clic sur « Paramètres d'analyse » Coche la case "Étendue" >> Ok - Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ». - Sauvegarde puis colle le rapport généré en fin d'analyse. http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 > Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641 (par Morgane & nico_dodo) NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. Al.

Biberkopf · Answer

excuse moi je ne pensais pas qu'il y avait une différence entre le pare feu et kerio. je suis allé dans le panneau de configuration, et j'ai essayé plusieurs fois de désactiver le pare feu mais à chaque fois que je le mets sur désactiver, il reste activé. sinon, windows a arrêté de dire que Antivir est périmé, j'ai fait les mises à jours me semble t il. je relance kapersky.

Biberkopf · Answer

pour que le pare feu windows soit désactivé, il fallait que kerio soit désactivé, ce que j'ai fait. le pare feu est désormais désactivé dans le panneau de configuration.

afideg · Answer

Sacré nom !!

Quand vas-tu te limiter à faire ce qui est écrit.

Réactive IMMÉDIATEMENT Kério !!
Je veux voir ton pare-feu WINDOWS paramétré ainsi :
http://img115.imageshack.us/img115/3019/screenshot381el4.png

En fin de compte;, et si KERIO est activé, tu dois retrouver ceci dans le "Centre de sécurité":
http://img386.imageshack.us/img386/5499/screenshot382ur3.png

Pour KERIO, je ne peux que te conseiller vivement de visiter ce site de mon ami Boulepate:
https://kerio.probb.fr/t250-tuto-sunbelt-personal-firewall-4-6#1012

Al.

Biberkopf · Answer

D'accord. le pare feu est donc activé dans le panneau de configuration.

Biberkopf · Answer

rapport kaspersky : 

 Sunday, June 29, 2008 2:16:03 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 28/06/2008
Enregistrements dans la base antivirus Kaspersky : 895064
Paramètres d'analyse
Analyser avec la base antivirus suivante 	étendue
Analyser les archives 	vrai
Analyser les bases de messagerie 	vrai
Cible de l'analyse 	Poste de travail
C:\
D:\
F:\
Statistiques de l'analyse
Total d'objets analysés 	76668
Nombre de virus trouvés 	0
Nombre d'objets infectés 	0 / 0
Nombre d'objets suspects 	0
Durée de l'analyse 	02:46:38

Nom de l'objet infecté 	Nom du virus 	Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Application Data\Mozilla\Firefox\Profiles\0l47rxmg.default\cert8.db 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Application Data\Mozilla\Firefox\Profiles\0l47rxmg.default\formhistory.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Application Data\Mozilla\Firefox\Profiles\0l47rxmg.default\history.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Application Data\Mozilla\Firefox\Profiles\0l47rxmg.default\key3.db 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Application Data\Mozilla\Firefox\Profiles\0l47rxmg.default\parent.lock 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Application Data\Mozilla\Firefox\Profiles\0l47rxmg.default\search.sqlite 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Application Data\Mozilla\Firefox\Profiles\0l47rxmg.default\urlclassifier2.sqlite 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\ApplicationHistory\hpqgalry.exe.cd0e83c0.ini.inuse 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\administrativeInfo.dbf 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.cdx 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.dbf 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.cdx 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.dbf 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\CB_Server_Errors.txt 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.cdx 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.dbf 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.cdx 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.dbf 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.fpt 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.cdx 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.dbf 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.cdx 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.dbf 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\managedFolderTable.dbf 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.cdx 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.dbf 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.cdx 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.dbf 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.cdx 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.dbf 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\Last.fm\Client\lastfmhelper.log 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\Mozilla\Firefox\Profiles\0l47rxmg.default\Cache\_CACHE_001_ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\Mozilla\Firefox\Profiles\0l47rxmg.default\Cache\_CACHE_002_ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\Mozilla\Firefox\Profiles\0l47rxmg.default\Cache\_CACHE_003_ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Application Data\Mozilla\Firefox\Profiles\0l47rxmg.default\Cache\_CACHE_MAP_ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Historique\History.IE5\MSHist012008062820080629\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Temp\~DFD8EC.tmp 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul
tuser.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\boutboul
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService
tuser.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService
tuser.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\data\ibdata1 	L'objet est verrouillé 	ignoré
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\data\ib_logfile0 	L'objet est verrouillé 	ignoré
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\data\ib_logfile1 	L'objet est verrouillé 	ignoré
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhasset.ibd 	L'objet est verrouillé 	ignoré
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhlabel.ibd 	L'objet est verrouillé 	ignoré
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhlabeltoversion.ibd 	L'objet est verrouillé 	ignoré
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhpqentry.ibd 	L'objet est verrouillé 	ignoré
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhschemaversion.ibd 	L'objet est verrouillé 	ignoré
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhserverglobals.ibd 	L'objet est verrouillé 	ignoré
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\data\versioncue\bhuser.ibd 	L'objet est verrouillé 	ignoré
C:\Program Files\Adobe\Adobe Version Cue CS2\logs\VersionCue.log 	L'objet est verrouillé 	ignoré
C:\Program Files\HP\hpcoretech\hpcmerr.log 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\debug.log 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\debug.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\error.log 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\error.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\hips.log 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\hips.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\ids.log 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\ids.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs
etwork.log 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs
etwork.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\system.log 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\system.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\warning.log 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\warning.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\web.log 	L'objet est verrouillé 	ignoré
C:\Programme Cha\antivirus\Personal Firewall\logs\web.log.idx 	L'objet est verrouillé 	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
C:\System Volume Information\_restore{37B6D7D5-9C48-4F96-A8AB-DC9FE0854D82}\RP353\change.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Debug\PASSWD.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SchedLgU.Txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Sti_Trace.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\ODiag.evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\OSession.evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\drivers\sptd.sys 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\h323log.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\hsperfdata_SYSTEM\608 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\ib128 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\ib129 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\ib130 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiadebug.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiaservc.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\WindowsUpdate.log 	L'objet est verrouillé 	ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
Analyse terminée.

afideg · Answer

Bonjour Biberkopf,

Merci 
Kaspersky ne détecte plus d'infection.


Prévention

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 

-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

=> Rappel sur les principales causes d'infection : 

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 
Les dangers des cracks : http://forum.malekal.com/ftopic893.php 
Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 
* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent ): 
Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 
Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
https://lexpansion.lexpress.fr/actualite-economique/ 
* Prévention sur deux autres types d'infection d'actualité : 
MSN prévention : https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/ 
Infection par supports amovibles (clefs usb, flash, DD externes ..) https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 


Bon dimanche
Bonne continuation
Al.

Biberkopf · Answer

Alors c'est finit ? Excellent ! Merci beaucoup de ton aide et de ta patience, j'hallucine carrément quand je vois les connaissances que vous avez sur ce site et l'efficacité que vous avez. 
Je vais suivre toutes les conseils que tu m'as donné. 
Je vais mettre le truc vert "résolu" donc...

Merci beaucoup encore

afideg · Answer

Merci
Bon vent
Al.

Biberkopf · Answer

Euh... ben en fait mauvaise blague... j'ai quand même refait un petit spyware doctor scan parce qu'il semblait être le plus éveillé à la reconnaissance du virus, et en effet 96 fichiers sont infectés par le trojan PWS WOW AIC et 2 par le trojan Downloader Banload BXM. Ca se voit énormément quand on allume l'ordi (c'est très long, et y'a 2 fenêtre noires qui s'ouvrent en mode "on fait notre petit commerce sous tes yeux reste tranquille stp"), même si après c'est fluide. 
Je pense que je vais lui casser la gueule à main nue au virus cette fois ci...

Je prévois déjà un petit scan ?

Remerci d'avance....

afideg · Answer

Hello
Casse plutôt la gueule à ton "Spyware Doctor"  ==> est-il mis à jour ?
Désactive-le s'il te plaît.

Et remplace-le par celui-ci (le meilleur antispyware du moment !):

Télécharge et installe Malwarebyte's Anti-Malware 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

A la fin de l'installation, veille à ce que l'option "Mettre à jour Malwarebytes Anti-Malware" soit cochée. >>> clique sur "Terminer" 

Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau. 
Au premier lancement, une fenêtre t'annonce que la version est gratuite >>> clique sur ok 
Laisse les Mises à jour se télécharger 
*** Referme le programme *** 

Redémarre en "Mode sans échec" 
Regarde ici pour exécuter le mode sans échec, sans stresser : 
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > 
Il faut laisser aller le PC à son rythme, pour que s'installe le bureau; après quoi, tu réutilises ta souris. 
Quand tu as le curseur qui clignote, tu peux avoir un temps d'ouverture du mode sans échec qui va jusqu'à 15 minutes. Il faut donc être patient. 
Choisir sa session habituelle, (pas le compte "Administrateur" ou une autre). 

Lance Malwarebyte's Anti-Malware 
Onglet "Recherche" >>> coche « Exécuter un examen complet » >>> « Rechercher » 
Sélectionne ton disque dur >>> clic sur « Lancer l'examen » 

A la fin du scan >>> clique sur « Afficher les résultats » >>> « Enregistrer le Rapport » 
Suppression des éléments détectés >>>> clique sur « Supprimer la sélection » 
S'il t'est demandé de redémarrer >>> clique sur "Yes" 

Un rapport de scan s'ouvre, poste le rapport.



J'ose espérer que ton antivirus et ton pare-feu soient bien en service .
Bonne chance
Al.

Biberkopf · Answer

c'était juste pour un petit scan, sinon j'avais désactivé spyware doctor puisque j'utilise désormais AntiVir dont la "guard" est toujours "active". Le pare feu est toujours en fonction... J'avais déjà téléchargé Malwarebytes. Je vais faire le scan. Je pense que ça sera prêt demain matin. Je vais tâcher d'être très pragmatique dans mon exécution des tâches cette fois ci...

A demain

Biberkopf · Answer

zero virus selon Malwarebytes. et pourtant le virus est clairement encore là. 

Malwarebytes' Anti-Malware 1.19
Version de la base de données: 904
Windows 5.1.2600 Service Pack 2

09:17:03 30/06/2008
mbam-log-6-30-2008 (09-17-03).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 106355
Temps écoulé: 1 hour(s), 22 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

afideg · Answer

Bonjour Biberkopf A)- Tu as la possibilité de vider le cache Internet de tous ses fichiers temporaires avec ce petit logiciel que tu lances tous les jours à la fin de ta session de travail ==> ATF-Cleaner < http://www.atribune.org/ccount/click.php?id=1 > - Tuto < http://mickael.barroux.free.fr/securite/atf_cleaner.php > B)- Tu as reçu ANTIVIR, un des meilleurs antivirus actuels (avec son "Guard Active"), au post # 36: avec ses modes d'emploi: - https://www.avira.com/ - http://www.libellules.ch/tuto_antivir.php C)- Tu t'es libéré de ce foutu AVAST qui ne te servait qu'à t'avertir après qu'il ait laissé infecter ton PC !! D)- Comme pare-feu, tu as Sunbelt Kerio Personal Firewall (voir # 45) et tu as bien mis hors service le pare-feu de Windows. Mais quelle est ta version; est-ce une version complète (c'est-à-dire payante) ? - Vous pourrez l'utiliser en version complète pendant 30 jours, après cette période d'essai écoulée le logiciel s'exécutera en version gratuite, mais vous resterez malgré tout protégés. -----> Sunbelt Personal Firewall 4.6 (cliquez sur Click here to start download - compatible Vista - version beta) ==> http://www.mediafire.com/?oikk242fzju -----> Sunbelt Personal Firewall 4.5.916 (lien direct de chez l'éditeur - non compatible Vista) ----> Kerio Personal Firewall version 4.2.3 (cliquez sur Click here to start download - non compatible Vista) •- Un forum ici : https://kerio.probb.fr/t1831-aide-pour-parametrage-de-la-part-de-marie?sid=b0aa5c314cd6ff693b58e55d78e242b4 •- Une discussion Kerio et Vista https://forum.zebulon.fr/topic/142062-kerio-et-vista •- De plus amples détails sont là : Vista - UAC, baba sécu., synthèse de questions-réponses => https://forum.zebulon.fr/topic/128930-vista-uac-baba-s%C3%A9cu/ •- Désactiver aero dans windows vista https://forums.cnetfrance.fr pour soulager la mémoire. D)- Tu as Malwarebytes' Anti-Malware, le meilleur antispyware du moment. CONCLUSION: supprime totalement "Spyware Doctor". Bonne semaine Al.

Biberkopf · Answer

ben effectivement tout ce que tu dis est vrai. j'ai tout fait. bon je jette spyware doctor je ne l'écoute plus. 
soit. après tout l'ordi fonctionne. il n'y a que le démarrage qui est incroyablement lent et ces fenêtres noires étranges au début. on verra bien. 

merci encore j'arrête de me prendre la tête avec ce truc.

afideg · Answer

(suite)

De quelle marque est ton PC ?
"Portable" ou "Tour de bureau" ?

Antivir et sa pub provoque parfois une page noire ==> Voici un lien pour ne plus avoir de popup intempestif pour acheter la version payante lors des mises à jour   https://forum.malekal.com/viewtopic.php?p=45326#p45326  

Aurais-tu à la fin de la mise en route une fenêtre sur fond noir apparaît puis disparaît très rapidement on peut lire en haut à gauche de cette fenêtre le texte suivant : C:\ ASScrProlog.exe ?
Dans ce cas, recherche le fichier ASScrProlog.exe  sur ton système > clic-droit > "Propriétés" ==> qu'y a-t-il ?

Encore une autre raison (il y a de nombreuses causes pouvant expliquer ton souci) ici: http://forum.ubuntu-fr.org/viewtopic.php?id=140395

Une dernière application à exécuter en désespoir de cause ==> Télécharge l'outil Flash_Disinfector de sUBs: 
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe 
Enregistre Flash_Disinfector.exe sur ton bureau. 
Double clique sur Flash_Disinfector.exe pour l'exécuter. 
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra : 
Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés. 
Puis clic sur Ok 
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!] 
Appuies ensuite sur OK, pour faire réapparaître le bureau. 


Une prolifération de "protections résidentes" provoquent un ralentissement PC.
Essaie en supprimant cette machine à faux-positifs qu'est WINDOWS DEFENDER; comme ceci:
Pour passer en mode administrateur  [Démarrer] > [Exécuter] et copier/coller cette commande dans la zone de saisie : CMD , et valide par la combinaison de touches suivantes : [Ctrl + Shift + Entrée].
Dans la fenêtre noire qui s'affiche, et là où un petit tiret clignote, colle cette ligne de commande: 
msiexec /uninstall windowsdefender.msi /quiet /log uninstall
Valider tout simplement en enfonçant la combinaison de touches suivantes : [Ctrl + Shift + Entrée].
Cette commande lance la désinstallation silencieuse de “Windows defender” ; il te sera certainement demander une confirmation de suppression du programme. Accepte.



Al.

Biberkopf · Answer

Mon PC est un Dell portable. C'est peut-être du aux tonnes d'antivirus que j'avais accumulé dans la panique au début. J'avais oublié même que j'avais mis Spybot, je vais le jarter. 

merci beaucoup pour toute l'aide.

MOI · Answer

si tu n'as pas d'anti virus il faut absolument contacter un informaticien car le virus peut infecter d'autres fichiers c'est dailleurs pour cela que ton ord est o ralentit
J'ai eu le meme probleme

Win 32 Trojan Gen à l'assaut

63 réponses

Discussions similaires