Eléments suspects détectés par One Care

Résolu
Gros-Minet -  
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité -
Bonjour,

Je viens de faire un scanne avec One Care, chose que je fais régulièrement, en plus de mon analyse quotidienne avec AVG. Pour la première fois, on m'a trouvé ceci: Trojan Win32/AgentbyPass.gen!k
Ils me disent aussi qu'ils n'ont pas pu nettoyer, et me proposent d'envoyer à Microsoft...j'ai décidé d'attendre avant d'envoyer, d'autant plus que cela ne nettoiera pas mon pc.
Suis-je réellement infecté, et si oui, que faire? En outre, pourquoi AVG ne m'a rien trouvé?
Merci pour vos réponses!
Configuration: Windows XP
Internet Explorer 7.0

5 réponses

  1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonsoir,
    fait un rapport avec hijackthis, fais un double-clic sur HJTInstall.exe afin de lancer l'installation ,clique sur Install ensuite sur I Accept, ensuite Clique sur Do a scan system and save log file.Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu et poste le ici pour que l'on puisse l'analyser,voici le tuto hijackthis,

    puis télécharge malwarebyte-s-anti-malware, fait un scan complet puis à la fin afficher rapport, supprimer et faire un copier coller du contenu et le poster ici, voici le tuto malwarebyte-s-anti-malware
    2
    1. Gros-Minet
       
      Grand merci, Pimprenelle, j'essaie de faire tout ça et je vous reviens :-)
      0
      1. Gros-Minet > Gros-Minet
         
        Voici déjà le hijack (ça va très vite, cette analyse!):

        Logfile of Trend Micro HijackThis v2.0.2
        Scan saved at 17:22:13, on 21/11/2008
        Platform: Windows XP SP3 (WinNT 5.01.2600)
        MSIE: Internet Explorer v7.00 (7.00.6000.16735)
        Boot mode: Normal

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\ZoneLabs\vsmon.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
        C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
        C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
        C:\Program Files\Spyware Terminator\sp_rsser.exe
        C:\WINDOWS\system32\svchost.exe
        C:\PROGRA~1\AVG\AVG8\avgrsx.exe
        C:\PROGRA~1\AVG\AVG8\avgemc.exe
        C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
        C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
        C:\Program Files\VIA\RAID\raid_tool.exe
        C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
        C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
        C:\WINDOWS\VM303_STI.EXE
        C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
        C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
        C:\PROGRA~1\AVG\AVG8\avgtray.exe
        C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
        C:\WINDOWS\system32\ctfmon.exe
        C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
        C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
        C:\Program Files\Windows Live\Messenger\usnsvc.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
        C:\Program Files\Windows Live Safety Center\wlscUploader.exe
        C:\Documents and Settings\All Users\Bureau\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60327
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
        R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
        R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
        O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
        O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
        O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
        O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
        O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
        O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
        O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
        O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
        O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
        O4 - HKLM\..\Run: [SoundMax] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
        O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
        O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
        O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
        O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
        O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
        O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
        O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
        O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
        O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
        O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
        O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
        O4 - Startup: Canon IJ Status Monitor Canon MP170 Series Printer.lnk = ?
        O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
        O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
        O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
        O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
        O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
        O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
        O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
        O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
        O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
        O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
        O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
        O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
        O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
        O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab
        O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by121w.bay121.mail.live.com/mail/resources/MsnPUpld.cab
        O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
        O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
        O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
        O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
        O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
        O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
        O20 - AppInit_DLLs: avgrsstx.dll
        O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
        O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
        O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
        O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
        O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
        O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
        0
      2. Gros-Minet > Gros-Minet
         
        Malwarebytes' Anti-Malware 1.26
        Version de la base de données: 1110
        Windows 5.1.2600 Service Pack 3

        21/11/2008 17:34:00
        mbam-log-2008-11-21 (17-34-00).txt

        Type de recherche: Examen complet (A:\|C:\|D:\|)
        Eléments examinés: 18146
        Temps écoulé: 7 minute(s), 5 second(s)

        Processus mémoire infecté(s): 0
        Module(s) mémoire infecté(s): 0
        Clé(s) du Registre infectée(s): 0
        Valeur(s) du Registre infectée(s): 0
        Elément(s) de données du Registre infecté(s): 0
        Dossier(s) infecté(s): 0
        Fichier(s) infecté(s): 0

        Processus mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Module(s) mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Clé(s) du Registre infectée(s):
        (Aucun élément nuisible détecté)

        Valeur(s) du Registre infectée(s):
        (Aucun élément nuisible détecté)

        Elément(s) de données du Registre infecté(s):
        (Aucun élément nuisible détecté)

        Dossier(s) infecté(s):
        (Aucun élément nuisible détecté)

        Fichier(s) infecté(s):
        (Aucun élément nuisible détecté)
        0
  2. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Maintenant avant de faire un scan en ligne, télécharge ccleaner ici voici le tuto et fais un nettoyage du pc et du registre. Tuto à bien lire.

    ensuite fais un scan en ligne avec kaspersky puis met le rapport obetenu.
    0
    1. Gros-Minet
       
      Bonsoir Pimprenelle,

      Je viens de faire le grand nettoyage avec C Cleaner, comme vous me l'avez conseillé. Par contre, j'ai un souci avec Kaspersky en ligne: erreur sur la page. J'ai beau réessayer, c'est toujours la même chose, et je n'y arrive pas :-(
      Autre ennui: il faut en principe désactiver les anti-virus, je ne trouve pas comment faire.....j'ai AVG et Terminator.
      Grand merci de votre soutien!
      0
      1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > Gros-Minet
         
        si tu fait un clique droit sur l'icone avg il y a peut l'option comme moi su kaspersky de uspendre la protection.


        Pour scan en ligne pourtant ça devrait marcher je ne comprends pas réessaie sinon je t'en donnerais un autre.
        0
      2. Gros-Minet > pimprenelle27 Messages postés 22182 Statut Contributeur sécurité
         
        Effectivement, je viens de voir, c'est bon, merci! Je dois malheureusement quitter, je reviens dans environ 45 minutes et je vais réessayer le scan Kaspersky en ligne. Encore merci, Pimprenelle :-)
        0
      3. Gros-Minet > pimprenelle27 Messages postés 22182 Statut Contributeur sécurité
         
        Bon, j'ai réussi mon scan en ligne, voici le rapport:

        Saturday, November 22, 2008 5:27:22 PM
        Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
        Kaspersky On-line Scanner version : 5.0.84.2
        Dernière mise à jour de la base antivirus Kaspersky : 22/11/2008
        Enregistrements dans la base antivirus Kaspersky : 1403321


        Paramètres d'analyse
        Analyser avec la base antivirus suivante étendue
        Analyser les archives vrai
        Analyser les bases de messagerie vrai

        Cible de l'analyse Zones critiques
        C:\WINDOWS
        C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\

        Statistiques de l'analyse
        Total d'objets analysés 22446
        Nombre de virus trouvés 0
        Nombre d'objets infectés 0 / 0
        Nombre d'objets suspects 0
        Durée de l'analyse 00:47:42

        Nom de l'objet infecté Nom du virus Dernière action
        C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

        C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

        C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

        C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

        C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

        C:\WINDOWS\Internet Logs\USER-0EB8D92563.ldb L'objet est verrouillé ignoré

        C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

        C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

        C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

        C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

        C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

        C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

        C:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré

        C:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré

        C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

        C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

        C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

        C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

        C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

        C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

        C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

        C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

        C:\WINDOWS\Temp\ZLT070f2.TMP L'objet est verrouillé ignoré

        C:\WINDOWS\Temp\ZLT070f6.TMP L'objet est verrouillé ignoré

        C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

        C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

        C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

        C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\hsperfdata_Utilisateur\4020 L'objet est verrouillé ignoré

        C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\Perflib_Perfdata_fb4.dat L'objet est verrouillé ignoré

        C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\TMP00000001FDA7748EFFD1F9F1 L'objet est verrouillé ignoré

        C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DF5619.tmp L'objet est verrouillé ignoré

        C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DF6C9E.tmp L'objet est verrouillé ignoré

        C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DF6D4C.tmp L'objet est verrouillé ignoré

        C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DFAB89.tmp L'objet est verrouillé ignoré

        C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DFBFD1.tmp L'objet est verrouillé ignoré

        C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DFD4C4.tmp L'objet est verrouillé ignoré

        C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DFD541.tmp L'objet est verrouillé ignoré

        Analyse terminée.


        Selon vous, si trojan il y avait, a-t-il été éradiqué? Encore merci :-)
        0
      4. Gros-Minet > Gros-Minet
         
        J'avais oublié de donner le rapport de Malwarebytes. Ce scan a été fait juste avant celui de Kaspersky.

        Malwarebytes' Anti-Malware 1.30
        Version de la base de données: 1414
        Windows 5.1.2600 Service Pack 3

        22/11/2008 17:41:57
        Malwarebytes 21-11-2008

        Type de recherche: Examen complet (A:\|C:\|D:\|)
        Eléments examinés: 89454
        Temps écoulé: 1 hour(s), 1 minute(s), 1 second(s)

        Processus mémoire infecté(s): 0
        Module(s) mémoire infecté(s): 0
        Clé(s) du Registre infectée(s): 1
        Valeur(s) du Registre infectée(s): 0
        Elément(s) de données du Registre infecté(s): 0
        Dossier(s) infecté(s): 0
        Fichier(s) infecté(s): 1

        Processus mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Module(s) mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Clé(s) du Registre infectée(s):
        HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{343ce214-9998-4b21-a151-ffe970167297} (Rogue.Installer) -> No action taken.

        Valeur(s) du Registre infectée(s):
        (Aucun élément nuisible détecté)

        Elément(s) de données du Registre infecté(s):
        (Aucun élément nuisible détecté)

        Dossier(s) infecté(s):
        (Aucun élément nuisible détecté)

        Fichier(s) infecté(s):
        C:\Program Files\eoRezo (Rogue.Eorezo) -> No action taken.
        0
  3. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    tu fais afficher rapport dans malware et supprimer.pourquoi celui d'avant il n'y a rien alors que celui oui bizarre. tu m'explique.
    0
    1. Gros-Minet
       
      Pimprenelle, je viens de voir ma confusion: le premier copier-coller de Mawarebytes, c'est le scan partiel, je l'avais stoppé car j'avais oublié de faire la mise à jour. Ensuite, j'ai refait le scan complet.
      Toujours sur Malwarebyte, on me dit que je dois redémarrer pour supprimer les éléments infectés. Puis-je redémarrer maintenant?
      0
      1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > Gros-Minet
         
        oui ensuite tu fera la suite.
        0
  4. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Ensuite fait ceci:

    /!\ Veuillez désactiver le contrôle des comptes utilisateurs le temps de la désinfection.
    Si vous ne le faites pas, cela pourrait empêcher le bon fonctionnement de certains logiciels de désinfection.

    Voici une page d'explication au cas où vous rencontriez un problème pour le faire :

    Désactiver le contrôle des comptes utilisateurs

    1. SmitfraudFix

    (Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool".
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains,
    cet utilitaire pourrait arrêter des logiciels de sécurité.)
    Option 1 - Recherche

    * Téléchargez SmitfraudFix et enregistrez-le sur le bureau
    * Ensuite, double cliquez sur SmitfraudFix puis sur Exécuter. (Sous Vista : clic droit sur SmitfraudFix et sélectionnez "Exécuter en tant qu'administrateur")
    * Sélectionnez 1 pour créer un rapport des fichiers responsables de l'infection.
    * A la fin de l'analyse, un rapport va être généré...Enregistrez-le sur le bureau.

    /!\ Postez le rapport sur le forum pour savoir si la suppression peut être lancée.

    Voici une démo claire et précise qui vous explique le fonctionnement de SmitfraudFix (merci à Balltrap34) :

    http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

    0
    1. Gros-Minet
       
      Merci de votre patience, Pimprenelle, en souhaitant que vous soyez toujours là. Voici le rapport de Smithfraude:

      SmitFraudFix v2.376

      Rapport fait à 18:21:27,31, 22/11/2008
      Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Spyware Terminator\sp_rsser.exe
      C:\WINDOWS\system32\svchost.exe
      C:\PROGRA~1\AVG\AVG8\avgrsx.exe
      C:\PROGRA~1\AVG\AVG8\avgemc.exe
      C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
      C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
      C:\Program Files\VIA\RAID\raid_tool.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
      C:\WINDOWS\VM303_STI.EXE
      C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\PROGRA~1\AVG\AVG8\avgtray.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
      C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
      C:\Program Files\Windows Live\Messenger\usnsvc.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\WINDOWS\system32\cmd.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts

      Fichier hosts corrompu !

      127.0.0.1 www.legal-at-spybot.info
      127.0.0.1 legal-at-spybot.info

      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"


      »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      o4Patch
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!




      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"="avgrsstx.dll"
      "LoadAppInit_DLLs"=dword:00000001


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» RK



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 24.200.241.37
      DNS Server Search Order: 24.201.245.77
      DNS Server Search Order: 24.200.243.189

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{7338F4BF-CD17-43BE-9A5D-B9BA7D851DF3}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{7338F4BF-CD17-43BE-9A5D-B9BA7D851DF3}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{7338F4BF-CD17-43BE-9A5D-B9BA7D851DF3}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
      HKLM\SYSTEM\CS3\Services\Tcpip\..\{7338F4BF-CD17-43BE-9A5D-B9BA7D851DF3}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
      HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
      1. Gros-Minet > Gros-Minet
         
        Ça ne semble pas du tout s'arranger....Voici le rapport de mon dernier scan Malwarebyte:

        Malwarebytes' Anti-Malware 1.30
        Version de la base de données: 1416
        Windows 5.1.2600 Service Pack 3

        22/11/2008 21:24:24
        mbam-log-2008-11-22 (21-24-24).txt

        Type de recherche: Examen rapide
        Eléments examinés: 47759
        Temps écoulé: 11 minute(s), 31 second(s)

        Processus mémoire infecté(s): 0
        Module(s) mémoire infecté(s): 0
        Clé(s) du Registre infectée(s): 2
        Valeur(s) du Registre infectée(s): 0
        Elément(s) de données du Registre infecté(s): 0
        Dossier(s) infecté(s): 0
        Fichier(s) infecté(s): 2

        Processus mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Module(s) mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Clé(s) du Registre infectée(s):
        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mwmbgwp (Trojan.Downloader) -> Quarantined and deleted successfully.
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mwmbgwp (Trojan.Downloader) -> Quarantined and deleted successfully.

        Valeur(s) du Registre infectée(s):
        (Aucun élément nuisible détecté)

        Elément(s) de données du Registre infecté(s):
        (Aucun élément nuisible détecté)

        Dossier(s) infecté(s):
        (Aucun élément nuisible détecté)

        Fichier(s) infecté(s):
        C:\WINDOWS\system32\drivers\owuhz.sys (Trojan.Downloader) -> Quarantined and deleted successfully.
        C:\Program Files\eoRezo (Rogue.Eorezo) -> Delete on reboot.
        0
      2. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > Gros-Minet
         
        non c'est bon ils sont supprimé.
        0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Option 2 - Nettoyage

    * Redémarrez l'ordinateur en mode sans échec.
    * Double-cliquez sur SmitfraudFix. (Sous Vista : clic droit sur Smitfraudfix et sélectionnez "Exécuter en tant qu'administrateur")
    * Sélectionnez 2 pour supprimer les fichiers responsables de l'infection.
    * A la question : Voulez-vous nettoyer le registre ? Répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection ; le fix déterminera si le fichier wininet.dll est infecté. A la question : Corriger le fichier infecté ? Répondre O (oui) pour remplacer le fichier corrompu.
    * Et ensuite, enregistrez aussi ce rapport sur votre bureau.
    * Redémarrez en mode normal et postez le rapport sur le topic du forum que vous avez créé.
    0
    1. Gros-Minet
       
      Je viens de voir vos derniers messages, merci de continuer de m'accompagner dans mes soucis! Je vais suivre la procédure que vous me suggérez, mais avant, je dois dire que je n'ai jamais fait un démarrage sans échec. Pour avoir lu la façon de faire en détail, je sais qu'on me demandera mon nom d'utilisateur, or mon pc a été installé par des amis (je n'y connaissais strictement rien!), et j'igore s'ils ont enregistré mon prénom, ou quelque autre nom. Y a-t-il une façon de faire advenant que ça bloque de ce côté?
      0
    2. noctambule28 Messages postés 25275 Date d'inscription   Statut Membre Dernière intervention   2 875 > Gros-Minet
       
      Salut

      Il y aura aussi ta session de visible, donc tu la prends, et il n' y aura aucun soucis
      @+
      0
    3. Gros-Minet > noctambule28 Messages postés 25275 Date d'inscription   Statut Membre Dernière intervention  
       
      Merci Noctambule, je me lance, en souhaitant que tout se passe bien, et je vous reviens :-)
      0
    4. Gros-Minet
       
      Bon, j'arrive! J'ai réussi à démarrer sans échec, tout s'est bien passé sauf que je ne trouvais plus smitfraude sur mon bureau, il me manquait la moitié de mes icônes. J'avais par contre accès à Malwarebyte, j'ai fait un scane selon lequel tout était nickel, aucune infection. En redémarrant en mode normal, j'ai refait un scane, toujours avec Malwarebyte, qui m'a retrouvé ce fichu fichier infecté, impossible à supprimer.

      Malwarebytes' Anti-Malware 1.30
      Version de la base de données: 1416
      Windows 5.1.2600 Service Pack 3

      22/11/2008 23:37:55
      mbam-log-2008-11-22 (23-37-55).txt

      Type de recherche: Examen rapide
      Eléments examinés: 48168
      Temps écoulé: 9 minute(s), 43 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Program Files\eoRezo (Rogue.Eorezo) -> Delete on reboot.
      0
    5. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > Gros-Minet
       
      il faut que tu redémarre l'odi
      0