Sujet Précédent Sujet Suivant

Detection de FS6519.dll.vbs

Lisanganhib Messages postés 33 Statut Membre -  
geoffrey5 Messages postés 14008 Statut Contributeur sécurité -
Bonjour,

J'ai installe AVAST dernierement. Je lance mon scan et detecte le fichier "FS6519.dll.vbs" en tant que fichier infecter.

IMPOSSIBLE de le supprimer ou de le mettre en quarantaine ou quoi que ce soit d'autre.

Si quelqu'un a une idee pour me debarasser de ca ? ^_^

Merci !

28 réponses

Précédent
  • 1
  • 2
Réponse 21 / 28
Lisanganhib Messages postés 33 Statut Membre
 
Yep j'essaye tout ca a midi ou ce soir et je te donne toutes les reponses demain...

Merci bien de consacrer du temps a mais problemes. C'est vraiment sympas.
-1
Réponse 22 / 28
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Mais de rien ;-)

ok bonne fin de soirée @+
-1
Réponse 23 / 28
Lisanganhib Messages postés 33 Statut Membre
 
OK ! Salut bien !

Donc voila : (je pense que le problem et resolu)

Le rapport COMBOFIX :

ComboFix 08-09-24.03 - utilisateur 2008-09-25 17:18:14.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1685 [GMT 11:00]
Lancé depuis: C:\Documents and Settings\utilisateur\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\utilisateur\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\Autorun.inf
H:\FS6519.dll.vbs

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-25 au 2008-09-25 ))))))))))))))))))))))))))))))))))))
.

2008-09-23 11:45 . 2008-09-23 11:45 <REP> d-------- C:\Program Files\Trend Micro
2008-09-22 17:48 . 2008-09-22 17:48 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-22 17:48 . 2008-09-22 17:48 <REP> d-------- C:\Documents and Settings\utilisateur\Application Data\Malwarebytes
2008-09-22 17:48 . 2008-09-22 17:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-22 17:48 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-22 17:48 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-22 17:46 . 2008-09-22 17:46 <REP> d-------- C:\Program Files\Avira
2008-09-22 17:46 . 2008-09-22 17:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-09-22 12:46 . 2008-09-22 12:46 113,152 --a------ C:\WINDOWS\system32\drivers\SSHDRV64.sys
2008-09-22 12:13 . 1998-10-29 14:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-09-22 11:52 . 2008-09-22 11:56 <REP> d-------- C:\Program Files\Pinnacle
2008-09-22 11:52 . 2008-09-22 11:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Pinnacle
2008-09-22 11:52 . 2002-03-19 09:29 14,165 --------- C:\WINDOWS\system32\drivers\Pclepci.sys
2008-09-19 11:51 . 2008-09-19 12:19 <REP> d-------- C:\Program Files\InterVideo
2008-09-01 17:59 . 2008-09-01 17:59 <REP> d-------- C:\WINDOWS\nview
2008-09-01 17:59 . 2008-05-16 14:01 446,464 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-09-01 17:59 . 2008-09-25 17:05 186,097 --a------ C:\WINDOWS\system32\nvapps.xml
2008-09-01 17:59 . 2008-05-16 14:01 18,070 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-09-01 17:58 . 2008-05-16 11:48 446,464 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-08-30 19:32 . 2008-08-30 19:32 <REP> d-------- C:\Program Files\Fichiers communs\Logitech
2008-08-30 19:32 . 2004-05-13 23:40 167,936 --a------ C:\WINDOWS\system32\WmJoyFrc.dll
2008-08-30 19:32 . 2004-05-13 23:54 44,384 --a------ C:\WINDOWS\system32\drivers\WmXlCore.sys
2008-08-30 19:32 . 2004-05-13 23:54 21,440 --a------ C:\WINDOWS\system32\drivers\WmFilter.sys
2008-08-30 19:32 . 2004-05-13 23:54 14,720 --a------ C:\WINDOWS\system32\drivers\WmHidLo.sys
2008-08-30 19:32 . 2004-05-13 23:54 10,144 --a------ C:\WINDOWS\system32\drivers\WmBEnum.sys
2008-08-30 19:32 . 2004-05-13 23:54 5,600 --a------ C:\WINDOWS\system32\drivers\WmVirHid.sys
2008-08-30 19:31 . 2008-08-30 19:31 <REP> d-------- C:\Program Files\Logitech
2008-08-25 19:54 . 2008-08-25 19:54 <REP> d-------- C:\Program Files\EA GAMES
2008-08-25 19:18 . 2008-08-25 19:18 <REP> d-------- C:\Program Files\Focus home Interactive

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-23 01:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-22 01:13 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-09-18 01:02 --------- d-----w C:\Documents and Settings\utilisateur\Application Data\Ahead
2008-08-29 01:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-08-25 08:23 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-08-21 06:47 --------- d-----w C:\Program Files\IDoser v4
2008-08-11 06:41 --------- d-----w C:\Program Files\Obscure
2008-08-11 06:27 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
.

------- Sigcheck -------

2008-02-13 15:08 506368 8d52aedd07247b743a4d9bd372f69109 C:\WINDOWS\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2005-03-14 1057280]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"AnyDVD"="C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe" [2008-02-13 463360]
"CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-20 57344]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 86016]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2008-05-16 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xvid"= xvid.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\xlmlEN.dll]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main.exe"=
"C:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe"=
"C:\\Program Files\\Atari\\Neverwinter Nights 2\\nwupdate.exe"=
"C:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2server.exe"=

R1 SSHDRV64;SSHDRV64;C:\WINDOWS\system32\drivers\SSHDRV64.sys [2008-09-22 113152]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;C:\WINDOWS\system32\drivers\IntcHdmi.sys [2006-12-06 108032]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FS6519.dll.vbs

*Newly Created Service* - PROCEXP90
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-FS6519 - C:\WINDOWS\FS6519.dll.vbs

.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/
R0 -: HKLM-Main,Start Page = hxxp://fr.yahoo.com
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 17:20:40
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\mc22.tmp"
.
Heure de fin: 2008-09-25 17:21:05
ComboFix-quarantined-files.txt 2008-09-25 06:21:03

Avant-CF: 4ÿ595ÿ531ÿ776 octets libres
Après-CF: 5,881,548,800 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

131

On voit au debut qu'il me supprime ce fameux fichier ! ^_^

J'ai refait un scan apres avec MALEWAREBYTE :

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1134
Windows 5.1.2600 Service Pack 2

24/09/2008 17:59:36
mbam-log-2008-09-24 (17-59-36).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 91514
Temps écoulé: 14 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Il me trouve rien c'est ca ?

J'ai fait un scan avec HIJACKTHIS : (ARGH j'ai pas copier le rapport ><) :

Mais il me trouver rin non plus...

Tu pense que c'est OK maintenant ?
-1
Réponse 24 / 28
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Salut !!

Comme tu dis, c est peut etre bon maintenant ;-)

refais un nouveau rapport hijackthis pour vérifier stp
-1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 28
Lisanganhib Messages postés 33 Statut Membre
 
OK je fais ca des que possible...Le soucis c'est que c'est vendredi donc pas de connexion pendant le Week End, donc rapport que lundi uniquement...Ca te va ?
-1
Réponse 26 / 28
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
ok y a pas de problèmes ;-)

pas de connexion le week end ??!!^^
-1
Réponse 27 / 28
Lisanganhib Messages postés 33 Statut Membre
 
Ben ouais, je me connect au taf, et kle week end je suis pas au taf. Je vais essayer de faire un saut si possible mais je promet rien...

En tout cas merci encore pour toute l'aide que tu ma donne ! C'est vraiment sympas ^_^

Je te dis donc a bientot !
-1
Réponse 28 / 28
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
ah ok lol

Mais de rien, je t aide avec plaisir ;-)

Bon week end, à lundi
-1

Discussions similaires

Verrouillage par fermeture de coque Samsung Galaxy
jicece33 -
Barb84 -

8 réponses
Samsung S22 Allumage écran à l ouverture clapet ?
broccoli -
Pierr10 -

3 réponses
Verrouiller écran lors de la fermeture du clapet
helyane -
HelpiOS -

13 réponses
"AMD a détecté un dépassement de délai du pilote"
XDA -
XDA -

16 réponses
Etui magnetique Samsung S21 Ultra
Gil -
loisou17 -

4 réponses