Se connecter / S'enregistrer
Votre question
Résolu

Des Objets Cachés avec Avira, que faire ?

Tags :
  • Scan
  • Virus
  • Cache
  • Avira
  • Ordinateur
Dernière réponse : dans Sécurité et virus
31 Juillet 2013 17:38:40

Bonjour,

Voici ce qui me chagrine : systématiquement quand je lance un scan complet de mon ordinateur avec avira, il me détecte des objets cachés.
Je ne sais que faire, si je dois m'en inquiéter et si j'ai potentiellement un virus.
J'ai remarqué quelques ralentissements sur mon pc ce qui me mets le doute sur la santé de ma machine.
Le scan ne révèle cepandant pas de virus malgré justement ces objets cachés.

Que puis-je faire pour être mieux fixer sur la présence éventuelle de virus, quels sont les logiciels les plus performants pour les déceler et comment résoudre ce probleme de fichiers cachés ?

En vous remerciant d'avance, je vous souhaite une bonne journée. :) 

Autres pages sur : objets caches avira

31 Juillet 2013 23:32:38

Bonjour,

Pourrait-on avoir un rapport de scan pour nous faire une idée ?

Si tu ne sais pas comment l'obtenir, fais ceci :

Télécharge Report_Antivir.exe (de Laddy) sur ton bureau.

  • Double clic dessus pour l'exécuter

  • Rends toi sur l'onglet Rapports, dans la liste, double clic sur la date la plus récente (en général c'est le dernier) pour ouvrir le rapport.
  • Copie/coller le contenu dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici
    m
    0
    l
    1 Août 2013 00:21:17

    Et voici comme souhaité :

    Citation :

    Avira Free Antivirus
    Date de création du fichier de rapport : mercredi 31 juillet 2013 13:05


    Le programme fonctionne en version intégrale illimitée.
    Les services en ligne sont disponibles.

    Détenteur de la licence : Avira Free Antivirus
    Numéro de série : 0
    Plateforme : Windows Vista (TM) Home Premium
    Version de Windows : (Service Pack 2) [6.0.6002]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : 0

    Informations de version :
    BUILD.DAT : 13.0.0.3884 54852 Bytes 18/07/2013 22:16:00
    AVSCAN.EXE : 13.6.0.1722 634936 Bytes 02/07/2013 14:58:13
    AVSCANRC.DLL : 13.6.0.1550 63032 Bytes 02/07/2013 14:58:13
    LUKE.DLL : 13.6.0.1550 65080 Bytes 02/07/2013 14:58:23
    AVSCPLR.DLL : 13.6.0.1712 92216 Bytes 02/07/2013 14:58:13
    AVREG.DLL : 13.6.0.1550 247864 Bytes 02/07/2013 14:58:13
    avlode.dll : 13.6.2.1704 449592 Bytes 02/07/2013 14:58:12
    avlode.rdf : 13.0.1.22 26240 Bytes 12/07/2013 17:47:02
    VBASE000.VDF : 7.11.70.0 66736640 Bytes 04/04/2013 16:17:36
    VBASE001.VDF : 7.11.74.226 2201600 Bytes 30/04/2013 15:15:44
    VBASE002.VDF : 7.11.80.60 2751488 Bytes 28/05/2013 18:53:47
    VBASE003.VDF : 7.11.85.214 2162688 Bytes 21/06/2013 18:31:43
    VBASE004.VDF : 7.11.91.176 3903488 Bytes 23/07/2013 17:13:50
    VBASE005.VDF : 7.11.91.177 2048 Bytes 23/07/2013 17:13:50
    VBASE006.VDF : 7.11.91.178 2048 Bytes 23/07/2013 17:13:50
    VBASE007.VDF : 7.11.91.179 2048 Bytes 23/07/2013 17:13:50
    VBASE008.VDF : 7.11.91.180 2048 Bytes 23/07/2013 17:13:51
    VBASE009.VDF : 7.11.91.181 2048 Bytes 23/07/2013 17:13:51
    VBASE010.VDF : 7.11.91.182 2048 Bytes 23/07/2013 17:13:51
    VBASE011.VDF : 7.11.91.183 2048 Bytes 23/07/2013 17:13:51
    VBASE012.VDF : 7.11.91.184 2048 Bytes 23/07/2013 17:13:51
    VBASE013.VDF : 7.11.92.32 156160 Bytes 24/07/2013 17:13:51
    VBASE014.VDF : 7.11.92.147 168960 Bytes 25/07/2013 17:13:52
    VBASE015.VDF : 7.11.93.93 419328 Bytes 28/07/2013 15:02:29
    VBASE016.VDF : 7.11.93.170 1403392 Bytes 29/07/2013 15:20:50
    VBASE017.VDF : 7.11.93.171 2048 Bytes 29/07/2013 15:20:50
    VBASE018.VDF : 7.11.93.172 2048 Bytes 29/07/2013 15:20:50
    VBASE019.VDF : 7.11.93.173 2048 Bytes 29/07/2013 15:20:50
    VBASE020.VDF : 7.11.93.174 2048 Bytes 29/07/2013 15:20:50
    VBASE021.VDF : 7.11.93.175 2048 Bytes 29/07/2013 15:20:50
    VBASE022.VDF : 7.11.93.176 2048 Bytes 29/07/2013 15:20:50
    VBASE023.VDF : 7.11.93.177 2048 Bytes 29/07/2013 15:20:50
    VBASE024.VDF : 7.11.93.178 2048 Bytes 29/07/2013 15:20:50
    VBASE025.VDF : 7.11.93.179 2048 Bytes 29/07/2013 15:20:50
    VBASE026.VDF : 7.11.93.180 2048 Bytes 29/07/2013 15:20:51
    VBASE027.VDF : 7.11.93.181 2048 Bytes 29/07/2013 15:20:51
    VBASE028.VDF : 7.11.93.182 2048 Bytes 29/07/2013 15:20:51
    VBASE029.VDF : 7.11.93.183 2048 Bytes 29/07/2013 15:20:51
    VBASE030.VDF : 7.11.93.184 2048 Bytes 29/07/2013 15:20:51
    VBASE031.VDF : 7.11.94.2 168960 Bytes 30/07/2013 18:42:03
    Version du moteur : 8.2.12.94
    AEVDF.DLL : 8.1.3.4 102774 Bytes 14/06/2013 12:44:07
    AESCRIPT.DLL : 8.1.4.136 504190 Bytes 26/07/2013 17:14:12
    AESCN.DLL : 8.1.10.4 131446 Bytes 30/03/2013 13:35:25
    AESBX.DLL : 8.2.5.12 606578 Bytes 15/06/2012 16:55:37
    AERDL.DLL : 8.2.0.128 688504 Bytes 14/06/2013 12:44:07
    AEPACK.DLL : 8.3.2.24 749945 Bytes 21/06/2013 18:31:47
    AEOFFICE.DLL : 8.1.2.74 205181 Bytes 26/07/2013 17:14:10
    AEHEUR.DLL : 8.1.4.504 6046074 Bytes 26/07/2013 17:14:10
    AEHELP.DLL : 8.1.27.4 266617 Bytes 02/07/2013 14:58:08
    AEGEN.DLL : 8.1.7.10 442743 Bytes 26/07/2013 17:13:55
    AEEXP.DLL : 8.4.1.36 278903 Bytes 26/07/2013 17:14:12
    AEEMU.DLL : 8.1.3.2 393587 Bytes 12/07/2012 16:19:16
    AECORE.DLL : 8.1.31.6 201081 Bytes 02/07/2013 14:58:07
    AEBB.DLL : 8.1.1.4 53619 Bytes 09/11/2012 15:21:42
    AVWINLL.DLL : 13.6.0.1550 23608 Bytes 02/07/2013 14:58:05
    AVPREF.DLL : 13.6.0.1550 48184 Bytes 02/07/2013 14:58:12
    AVREP.DLL : 13.6.0.1550 175672 Bytes 02/07/2013 14:58:13
    AVARKT.DLL : 13.6.0.1626 258104 Bytes 02/07/2013 14:58:10
    AVEVTLOG.DLL : 13.6.0.1550 164920 Bytes 02/07/2013 14:58:11
    SQLITE3.DLL : 3.7.0.1 397704 Bytes 27/04/2013 11:11:21
    AVSMTP.DLL : 13.6.0.1550 60472 Bytes 02/07/2013 14:58:13
    NETNT.DLL : 13.6.0.1550 13368 Bytes 02/07/2013 14:58:23
    RCIMAGE.DLL : 13.4.0.141 4782880 Bytes 27/04/2013 11:10:44
    RCTEXT.DLL : 13.6.0.1624 68664 Bytes 02/07/2013 14:58:05

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: C:\program files\avira\antivir desktop\sysscan.avp
    Documentation.................................: par défaut
    Action principale.............................: réparer
    Action secondaire.............................: supprimer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, D:,
    Recherche dans les programmes actifs..........: marche
    Programmes en cours étendus...................: marche
    Recherche du registre.........................: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: marche
    Recherche sur tous les fichiers...............: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: avancé
    Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

    Début de la recherche : mercredi 31 juillet 2013 13:05

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'D:\'
    [INFO] Aucun virus trouvé !

    La recherche d'objets cachés commence.
    Pilote caché
    [REMARQUE] Une modification de la mémoire a été détectée, qui pourrait éventuellement être utilisée abusivement pour des accès fichiers cachés.

    La recherche sur les processus démarrés commence :
    Recherche en cours du processus 'msiexec.exe' - '48' module(s) ont été recherchés
    Recherche en cours du processus 'conime.exe' - '16' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '30' module(s) ont été recherchés
    Recherche en cours du processus 'vssvc.exe' - '49' module(s) ont été recherchés
    Recherche en cours du processus 'avscan.exe' - '106' module(s) ont été recherchés
    Recherche en cours du processus 'avscan.exe' - '52' module(s) ont été recherchés
    Recherche en cours du processus 'avcenter.exe' - '81' module(s) ont été recherchés
    Recherche en cours du processus 'unsecapp.exe' - '28' module(s) ont été recherchés
    Recherche en cours du processus 'mobsync.exe' - '34' module(s) ont été recherchés
    Recherche en cours du processus 'avgnt.exe' - '73' module(s) ont été recherchés
    Recherche en cours du processus 'taskeng.exe' - '73' module(s) ont été recherchés
    Recherche en cours du processus 'Explorer.EXE' - '174' module(s) ont été recherchés
    Recherche en cours du processus 'Dwm.exe' - '34' module(s) ont été recherchés
    Recherche en cours du processus 'nvvsvc.exe' - '39' module(s) ont été recherchés
    Recherche en cours du processus 'wmiprvse.exe' - '33' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '21' module(s) ont été recherchés
    Recherche en cours du processus 'taskeng.exe' - '49' module(s) ont été recherchés
    Recherche en cours du processus 'vmnetdhcp.exe' - '15' module(s) ont été recherchés
    Recherche en cours du processus 'SearchIndexer.exe' - '57' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '33' module(s) ont été recherchés
    Recherche en cours du processus 'vmnat.exe' - '26' module(s) ont été recherchés
    Recherche en cours du processus 'vmware-usbarbitrator.exe' - '32' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '55' module(s) ont été recherchés
    Recherche en cours du processus 'BLService.exe' - '25' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '44' module(s) ont été recherchés
    Recherche en cours du processus 'PnkBstrA.exe' - '30' module(s) ont été recherchés
    Recherche en cours du processus 'sqlservr.exe' - '47' module(s) ont été recherchés
    Recherche en cours du processus 'AppleMobileDeviceService.exe' - '67' module(s) ont été recherchés
    Recherche en cours du processus 'aestsrv.exe' - '5' module(s) ont été recherchés
    Recherche en cours du processus 'armsvc.exe' - '24' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '60' module(s) ont été recherchés
    Recherche en cours du processus 'sched.exe' - '56' module(s) ont été recherchés
    Recherche en cours du processus 'spoolsv.exe' - '94' module(s) ont été recherchés
    Recherche en cours du processus 'WLANExt.exe' - '44' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '98' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '90' module(s) ont été recherchés
    Recherche en cours du processus 'SLsvc.exe' - '23' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '37' module(s) ont été recherchés
    Recherche en cours du processus 'STacSV.exe' - '37' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '155' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '106' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '67' module(s) ont été recherchés
    Recherche en cours du processus 'avshadow.exe' - '33' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '37' module(s) ont été recherchés
    Recherche en cours du processus 'avguard.exe' - '67' module(s) ont été recherchés
    Recherche en cours du processus 'nvvsvc.exe' - '23' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '40' module(s) ont été recherchés
    Recherche en cours du processus 'winlogon.exe' - '31' module(s) ont été recherchés
    Recherche en cours du processus 'csrss.exe' - '14' module(s) ont été recherchés
    Recherche en cours du processus 'lsm.exe' - '32' module(s) ont été recherchés
    Recherche en cours du processus 'lsass.exe' - '60' module(s) ont été recherchés
    Recherche en cours du processus 'services.exe' - '37' module(s) ont été recherchés
    Recherche en cours du processus 'wininit.exe' - '26' module(s) ont été recherchés
    Recherche en cours du processus 'csrss.exe' - '14' module(s) ont été recherchés
    Recherche en cours du processus 'smss.exe' - '2' module(s) ont été recherchés

    Début du contrôle des fichiers système :
    Signé -> 'C:\Windows\system32\svchost.exe'
    Signé -> 'C:\Windows\system32\winlogon.exe'
    Signé -> 'C:\Windows\explorer.exe'
    Signé -> 'C:\Windows\system32\smss.exe'
    Signé -> 'C:\Windows\system32\wininet.DLL'
    Signé -> 'C:\Windows\system32\wsock32.DLL'
    Signé -> 'C:\Windows\system32\ws2_32.DLL'
    Signé -> 'C:\Windows\system32\services.exe'
    Signé -> 'C:\Windows\system32\lsass.exe'
    Signé -> 'C:\Windows\system32\csrss.exe'
    Signé -> 'C:\Windows\system32\drivers\kbdclass.sys'
    Signé -> 'C:\Windows\system32\spoolsv.exe'
    Signé -> 'C:\Windows\system32\alg.exe'
    Signé -> 'C:\Windows\system32\wuauclt.exe'
    Signé -> 'C:\Windows\system32\advapi32.DLL'
    Signé -> 'C:\Windows\system32\user32.DLL'
    Signé -> 'C:\Windows\system32\gdi32.DLL'
    Signé -> 'C:\Windows\system32\kernel32.DLL'
    Signé -> 'C:\Windows\system32\ntdll.DLL'
    Signé -> 'C:\Windows\system32\ntoskrnl.exe'
    Signé -> 'C:\Windows\system32\ctfmon.exe'
    Les fichiers système ont été contrôlés ('21' fichiers)

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '5408' fichiers).


    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\'
    Recherche débutant dans 'D:\' <RECOVERY>


    Fin de la recherche : mercredi 31 juillet 2013 16:33
    Temps nécessaire: 3:28:00 Heure(s)

    La recherche a été effectuée intégralement

    55458 Les répertoires ont été contrôlés
    1310352 Des fichiers ont été contrôlés
    0 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    0 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    0 Impossible de scanner des fichiers
    1310352 Fichiers non infectés
    15111 Les archives ont été contrôlées
    0 Avertissements
    1 Consignes
    1023825 Des objets ont été contrôlés lors du Rootkitscan
    1 Des objets cachés ont été trouvés

    m
    0
    l
    Contenus similaires
    1 Août 2013 09:30:30

    Re,

    Ouais c'est sur que ce n'est pas avec ce genre d'info qu'il nous aide Antivir ...

    à faire :

    Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, clique sur le bouton "Rapport", il est aussi enregistré sur le bureau : RKreport.txt)
    m
    0
    l
    1 Août 2013 10:47:20

    Me revoilà,

    Et voici :

    Citation :
    RogueKiller V8.6.4 [Jul 29 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur : S [Droits d'admin]
    Mode : Recherche -- Date : 08/01/2013 10:41:29
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 3 ¤¤¤
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 2 ¤¤¤
    [FF][PROXY] xmkkdrku.default : user_pref("network.proxy.hxxp", "10.175.1.254"); -> TROUVÉ
    [FF][PROXY] xmkkdrku.default : user_pref("network.proxy.hxxp_port", 3128); -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    [Address] SSDT[75] : NtCreateSection @ 0x8327FFA5 -> HOOKED (Unknown @ 0x8D3B8FBE)
    [Address] SSDT[276] : NtRequestWaitReplyPort @ 0x83292142 -> HOOKED (Unknown @ 0x8D3B8FC8)
    [Address] SSDT[289] : NtSetContextThread @ 0x832E12AB -> HOOKED (Unknown @ 0x8D3B8FC3)
    [Address] SSDT[314] : NtSetSecurityObject @ 0x8320E023 -> HOOKED (Unknown @ 0x8D3B8FCD)
    [Address] SSDT[332] : NtSystemDebugControl @ 0x83246EF1 -> HOOKED (Unknown @ 0x8D3B8FD2)
    [Address] SSDT[334] : NtTerminateProcess @ 0x8323F173 -> HOOKED (Unknown @ 0x8D3B8F5F)
    [Address] Shadow SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8D3B8FE6)
    [Address] Shadow SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8D3B8FEB)
    [Address] IRP[IRP_MJ_CREATE] : C:\Windows\system32\drivers\iastorv.sys -> HOOKED ([Address] Unknown @ 0x86F2F1F8)
    [Address] IRP[IRP_MJ_CLOSE] : C:\Windows\system32\drivers\iastorv.sys -> HOOKED ([Address] Unknown @ 0x86F2F1F8)
    [Address] IRP[IRP_MJ_DEVICE_CONTROL] : C:\Windows\system32\drivers\iastorv.sys -> HOOKED ([Address] Unknown @ 0x86F2F1F8)
    [Address] IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : C:\Windows\system32\drivers\iastorv.sys -> HOOKED ([Address] \SystemRoot\System32\drivers\sfsync02.sys @ 0x837C88B4)
    [Address] IRP[IRP_MJ_POWER] : C:\Windows\system32\drivers\iastorv.sys -> HOOKED ([Address] Unknown @ 0x86F2F1F8)
    [Address] IRP[IRP_MJ_SYSTEM_CONTROL] : C:\Windows\system32\drivers\iastorv.sys -> HOOKED ([Address] Unknown @ 0x86F2F1F8)
    [Address] IRP[IRP_MJ_PNP] : C:\Windows\system32\drivers\iastorv.sys -> HOOKED ([Address] Unknown @ 0x86F2F1F8)

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : Mal.Hosts ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    127.0.0.1 www.virusscan.jotti.org --> Potentially malicious!

    127.0.0.1 localhost
    ::1 localhost
    127.0.0.1 www.virusscan.jotti.org
    127.0.0.1 www.vscan.novirusthanks.org


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: FUJITSU MHZ2320BH G2 ATA Device +++++
    --- User ---
    [MBR] ee8fbbcd011dbb1ab3f75d0f4898ce17
    [BSP] f4abafe63db7f9a62bdccedfca2215e4 : Toshiba MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 294436 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 603006976 | Size: 10805 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[0]_S_08012013_104129.txt >>





    m
    0
    l
    1 Août 2013 12:49:47

    Re,

    C'est toi qui a installé un proxy pour tes connexions ?

    On voit effectivement pour le reste un hook potentiellement anormal, on va approfondir :

    Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Change parameters".
  • Coche la case Loaded modules
  • Valide l'avertissement de Reboot avec Reboot Now

  • Le pc va redémarrer, au redémarrage, accepte le lancement automatique de l'outil

  • Clique de nouveau sur le bouton "Change parameters"
  • Coche les cases Verify file digital signatures et Detect TDLFS file system sous Additional options
  • Valide avec Ok


  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer. (cela peut être long)

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

    Note : si No threat found apparait, pas besoin de nous fournir le rapport ni chercher ces options

  • Il peut t'être demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.

    Un aide à l'utilisation ici
    m
    0
    l
    1 Août 2013 14:57:06

    Re,

    Rien de clair non plus, toujours des suspicions ...

    Concernant le proxy il faudra en être sûr, car au moment du nettoyage, je dois savoir si oui ou non je le supprime.

    On va passer en LiveUSB, cela me permettra de détecter si, comme les suspicions en ce moment, certains pilote sont patché/détourné.
    Pour cela il te faudra un CD vierge, tu auras cela ?

    Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté. Je te conseille aussi de créer un fichier texte à transférer avec le script à coller dans l'outil pour plus de facilité

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Si tu as Windows Vista ou 7, tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c: )
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    safebootminimal
    safebootnetwork
    msconfig
    drivers32
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    sptd.sys
    spsys.sys
    iaStor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    aec.sys
    cdaudio.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb.sys
    win32k.sys
    iastorv.sys
    sfloppy.sys
    changer.sys
    SECDRV.SYS
    ASPI32.sys
    TrueSight.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Une aide à l'utilisation ici
    m
    0
    l
    1 Août 2013 16:07:38

    J'ai tout bien compris mais je ne pense pas avoir de CD vierge (pas faute d'avoir cherché).
    Si c'est pour booter sur un os différent, une clé usb ne ferait-elle pas l'affaire ? Y-a-t-il une autre solution ?
    Je n'ai pas d'autre ordinateur à ma disposition.

    Le proxy installé ne me sert en tout cas manifestement plus, il peut donc être nettoyé.
    m
    0
    l
    1 Août 2013 20:21:43

    Re,

    Une question pendant que j'étudie le rapport ... :
    Citation :
    C:\$RECYCLE.BIN\S-1-5-21-831797835-1510366517-2474096876-1000\$RPC3IP5\I386\SYSTEM32\DRIVERS\CHANGER.SYS


    On dirait qu'une ancienne installation d'un windows est dans une des corbeilles ... (un XP à priori ...)
    Une idée ?
    m
    0
    l
    1 Août 2013 20:58:37

    Ah ? Étrange, encore un OS type backtrack je dis pas mais windows xp ça m'étonne. Ça pourrait être quoi ?
    m
    0
    l
    1 Août 2013 22:07:08

    Re,

    d'après les type de fichier, leur date, et le fait qu'il soit dans un dossier i386, du XP à mon avis, de là à dire ce que ça fiche dans une corbeille ...

    Tu as combien de session sur ce pc ?
    Tu peut regarder en mode normal dans les corbeille si tu vois un dossier $RPC3IP5
    m
    0
    l
    1 Août 2013 23:25:00

    Me revoilà tardivement,
    J'ai deux sessions la mienne et celle invité, et j'ai supposé que le mode normal était celui utilisé tous les jours pour et que les corbeilles étaient les corbeilles des deux sessions.

    Je n'ai rien trouvé de la sorte, celle de ma session ne contient que des fichiers récents mais aucun dossier portant le nom $RPC3IP5.

    [EDIT] J'ai trouvé à l'aide de la recherche windows, ne serait-ce pas tout simplement OTLPE que j'ai jeté dans ma corbeille après l'avoir mis sur clé ?
    m
    0
    l
    2 Août 2013 09:38:09

    Re,

    Reatogo étant basé sur XP oui, c'est possible.
    Je voulais juste m'en assurer.

    Bon rien d'anormal sur les pilotes, donc c'était un faux-positif d'Antivir, il ne doit pas aimer certains programmes qui utilise des méthode pour "cacher"/utiliser des pilotes/fichier de fonctionnement.
    Probablement VMWare qui utilise un des pilotes d'accès au disque, celui qu'on voit marqué sur le rapport RogueKiller que je t'ai fait faire.

    à suivre pour nettoyer quelques truc inutiles :
    (pour plus de facilité, je te conseille de créer un fichier texte avec le script à transférer sur le pc)

    Redémarre ton PC en utilisant le LiveCD venant d'etre créé

  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    DRV - [2013/08/01 04:38:37 | 000,015,616 | ---- | M] () [Kernel | On_Demand] -- C:\Windows\System32\TrueSight.sys -- (TrueSight)
    IE - HKU\Antoine_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
    FF - prefs.js..network.proxy.backup.ftp: "218.14.227.197"
    FF - prefs.js..network.proxy.backup.ftp_port: 3128
    FF - prefs.js..network.proxy.backup.gopher: "118.228.148.83"
    FF - prefs.js..network.proxy.backup.gopher_port: 80
    FF - prefs.js..network.proxy.backup.socks: "218.14.227.197"
    FF - prefs.js..network.proxy.backup.socks_port: 3128
    FF - prefs.js..network.proxy.backup.ssl: "218.14.227.197"
    FF - prefs.js..network.proxy.backup.ssl_port: 3128
    FF - prefs.js..network.proxy.ftp: "10.175.1.254"
    FF - prefs.js..network.proxy.ftp_port: 3128
    FF - prefs.js..network.proxy.gopher: "218.14.227.197"
    FF - prefs.js..network.proxy.gopher_port: 3128
    FF - prefs.js..network.proxy.http: "10.175.1.254"
    FF - prefs.js..network.proxy.http_port: 3128
    FF - prefs.js..network.proxy.no_proxies_on: "*.local"
    FF - prefs.js..network.proxy.share_proxy_settings: true
    FF - prefs.js..network.proxy.socks: "10.175.1.254"
    FF - prefs.js..network.proxy.socks_port: 3128
    FF - prefs.js..network.proxy.ssl: "10.175.1.254"
    FF - prefs.js..network.proxy.ssl_port: 3128
    O1 - Hosts: 127.0.0.1 www.virusscan.jotti.org
    O1 - Hosts: 127.0.0.1 www.vscan.novirusthanks.org
    O4 - HKU\Invité_ON_C..\Run: [WindowsLivePhone] File not found
    O4 - HKU\Mcx1_ON_C..\Run: [WindowsLivePhone] File not found
    O4 - HKLM..\RunOnce: [wintoflashvddc] File not found
    SafeBootMin: 91668941.sys - Driver
    SafeBootNet: 91668941.sys - Driver
    MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk - Reg Error: Value error. - File not found
    MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Téléchargement en arrière-plan de SolidWorks.lnk - Reg Error: Value error. - File not found
    MsConfig - StartUpFolder: C:^Users^Antoine^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Moteur du Planificateur de tâches SolidWorks.lnk - Reg Error: Value error. - File not found
    MsConfig - StartUpReg: [b]BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}[/b] - hkey= - key= - Reg Error: Value error. File not found
    MsConfig - StartUpReg: [b]GameTracker[/b] - hkey= - key= - Reg Error: Value error. File not found
    [2013/07/30 09:13:13 | 000,000,000 | ---D | C] -- C:\Users\Antoine\AppData\Roaming\Babylon
    [2013/07/30 09:13:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
    @Alternate Data Stream - 512 bytes -> C:\ProgramData\Temp:05EE1EEF
    @Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:FFE0B1EF
    @Alternate Data Stream - 110 bytes -> C:\ProgramData\Temp:1B4D9DFB

    :Commands
    [emptytemp]



  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    m
    0
    l
    2 Août 2013 10:40:34

    Re,

    J'ai donc suivit les instructions et voici le résultat :
    http://pjjoint.malekal.com/files.php?read=20130802_u15t...

    J'ai cependant eu un soucis, le logiciel demandait un redémarrage de la machine pour supprimer certains fichiers et conclure l'opération mais malgré le fait que j'ai cliqué sur "Yes" il ne s'est jamais lancé et j'ai obtenu le rapport en fermant et ré ouvrant le programme. J'espère que ça n'a rien modifié au processus.
    m
    0
    l
    2 Août 2013 11:33:48

    Re,

    Non, ce n'est pas grave.

    Tu peux redémarrer en mode normal maintenant.

    Lance un scan Antivir voir qu'il détecte toujours, mais probablement que oui, si c'est lié à la manière de VMWare d'accéder à certains pilote ...
    m
    0
    l
    2 Août 2013 12:01:06

    D'accord, mais s'il le détecte encore, on ne peut donc rien y faire et mon pc n'a pas de trace d'infection ?
    Je lance un scan intégral ou ciblé ? (c'est long un scan intégral ^^)
    m
    0
    l
    2 Août 2013 12:07:06

    Re,

    Je n'ai pas vu de trace d'infection, de pilote patché ou autre, et si cela avait été le cas, en usbLive, je l'aurais vu, ce que ne peut pas voir Antivir en mode "normal"

    Donc sa détection doit être liée à cet accès de VMWare sur ce pilote.

    Une chose à tester par exemple, ce serait supprimer VMWare temporairement pour voir si y'a encore une détection sur le scan Antivir.

    Tu peux commencer par un scan des objets cachés seulement ;) 
    m
    0
    l
    2 Août 2013 12:13:54

    D'accord :)  et il faut que je scan avec quels paramètres pour avira du coup ?
    m
    0
    l
    2 Août 2013 13:29:09

    Re,

    Dans le menu "Scanner", choisi "Rootkit et logiciels malveillant actifs"

    :jap: 
    m
    0
    l
    2 Août 2013 15:47:40

    Bah voilà :) 

    vira Free Antivirus
    Date de création du fichier de rapport : vendredi 2 août 2013 14:25


    Le programme fonctionne en version intégrale illimitée.
    Les services en ligne sont disponibles.

    Détenteur de la licence : Avira Free Antivirus
    Numéro de série : x
    Plateforme : Windows Vista (TM) Home Premium
    Version de Windows : (Service Pack 2) [6.0.6002]
    Mode Boot : Démarré normalement
    Identifiant : x
    Nom de l'ordinateur : x

    Informations de version :
    BUILD.DAT : 13.0.0.3884 54852 Bytes 18/07/2013 22:16:00
    AVSCAN.EXE : 13.6.0.1722 634936 Bytes 02/07/2013 14:58:13
    AVSCANRC.DLL : 13.6.0.1550 63032 Bytes 02/07/2013 14:58:13
    LUKE.DLL : 13.6.0.1550 65080 Bytes 02/07/2013 14:58:23
    AVSCPLR.DLL : 13.6.0.1712 92216 Bytes 02/07/2013 14:58:13
    AVREG.DLL : 13.6.0.1550 247864 Bytes 02/07/2013 14:58:13
    avlode.dll : 13.6.2.1704 449592 Bytes 02/07/2013 14:58:12
    avlode.rdf : 13.0.1.22 26240 Bytes 12/07/2013 17:47:02
    VBASE000.VDF : 7.11.70.0 66736640 Bytes 04/04/2013 16:17:36
    VBASE001.VDF : 7.11.74.226 2201600 Bytes 30/04/2013 15:15:44
    VBASE002.VDF : 7.11.80.60 2751488 Bytes 28/05/2013 18:53:47
    VBASE003.VDF : 7.11.85.214 2162688 Bytes 21/06/2013 18:31:43
    VBASE004.VDF : 7.11.91.176 3903488 Bytes 23/07/2013 17:13:50
    VBASE005.VDF : 7.11.91.177 2048 Bytes 23/07/2013 17:13:50
    VBASE006.VDF : 7.11.91.178 2048 Bytes 23/07/2013 17:13:50
    VBASE007.VDF : 7.11.91.179 2048 Bytes 23/07/2013 17:13:50
    VBASE008.VDF : 7.11.91.180 2048 Bytes 23/07/2013 17:13:51
    VBASE009.VDF : 7.11.91.181 2048 Bytes 23/07/2013 17:13:51
    VBASE010.VDF : 7.11.91.182 2048 Bytes 23/07/2013 17:13:51
    VBASE011.VDF : 7.11.91.183 2048 Bytes 23/07/2013 17:13:51
    VBASE012.VDF : 7.11.91.184 2048 Bytes 23/07/2013 17:13:51
    VBASE013.VDF : 7.11.92.32 156160 Bytes 24/07/2013 17:13:51
    VBASE014.VDF : 7.11.92.147 168960 Bytes 25/07/2013 17:13:52
    VBASE015.VDF : 7.11.93.93 419328 Bytes 28/07/2013 15:02:29
    VBASE016.VDF : 7.11.93.170 1403392 Bytes 29/07/2013 15:20:50
    VBASE017.VDF : 7.11.94.31 222208 Bytes 31/07/2013 15:19:15
    VBASE018.VDF : 7.11.94.32 2048 Bytes 31/07/2013 15:19:16
    VBASE019.VDF : 7.11.94.33 2048 Bytes 31/07/2013 15:19:16
    VBASE020.VDF : 7.11.94.34 2048 Bytes 31/07/2013 15:19:16
    VBASE021.VDF : 7.11.94.35 2048 Bytes 31/07/2013 15:19:16
    VBASE022.VDF : 7.11.94.36 2048 Bytes 31/07/2013 15:19:16
    VBASE023.VDF : 7.11.94.37 2048 Bytes 31/07/2013 15:19:16
    VBASE024.VDF : 7.11.94.38 2048 Bytes 31/07/2013 15:19:17
    VBASE025.VDF : 7.11.94.39 2048 Bytes 31/07/2013 15:19:17
    VBASE026.VDF : 7.11.94.40 2048 Bytes 31/07/2013 15:19:17
    VBASE027.VDF : 7.11.94.41 2048 Bytes 31/07/2013 15:19:17
    VBASE028.VDF : 7.11.94.42 2048 Bytes 31/07/2013 15:19:17
    VBASE029.VDF : 7.11.94.43 2048 Bytes 31/07/2013 15:19:17
    VBASE030.VDF : 7.11.94.44 2048 Bytes 31/07/2013 15:19:18
    VBASE031.VDF : 7.11.94.116 113664 Bytes 02/08/2013 08:41:19
    Version du moteur : 8.2.12.94
    AEVDF.DLL : 8.1.3.4 102774 Bytes 14/06/2013 12:44:07
    AESCRIPT.DLL : 8.1.4.136 504190 Bytes 26/07/2013 17:14:12
    AESCN.DLL : 8.1.10.4 131446 Bytes 30/03/2013 13:35:25
    AESBX.DLL : 8.2.5.12 606578 Bytes 15/06/2012 16:55:37
    AERDL.DLL : 8.2.0.128 688504 Bytes 14/06/2013 12:44:07
    AEPACK.DLL : 8.3.2.24 749945 Bytes 21/06/2013 18:31:47
    AEOFFICE.DLL : 8.1.2.74 205181 Bytes 26/07/2013 17:14:10
    AEHEUR.DLL : 8.1.4.504 6046074 Bytes 26/07/2013 17:14:10
    AEHELP.DLL : 8.1.27.4 266617 Bytes 02/07/2013 14:58:08
    AEGEN.DLL : 8.1.7.10 442743 Bytes 26/07/2013 17:13:55
    AEEXP.DLL : 8.4.1.36 278903 Bytes 26/07/2013 17:14:12
    AEEMU.DLL : 8.1.3.2 393587 Bytes 12/07/2012 16:19:16
    AECORE.DLL : 8.1.31.6 201081 Bytes 02/07/2013 14:58:07
    AEBB.DLL : 8.1.1.4 53619 Bytes 09/11/2012 15:21:42
    AVWINLL.DLL : 13.6.0.1550 23608 Bytes 02/07/2013 14:58:05
    AVPREF.DLL : 13.6.0.1550 48184 Bytes 02/07/2013 14:58:12
    AVREP.DLL : 13.6.0.1550 175672 Bytes 02/07/2013 14:58:13
    AVARKT.DLL : 13.6.0.1626 258104 Bytes 02/07/2013 14:58:10
    AVEVTLOG.DLL : 13.6.0.1550 164920 Bytes 02/07/2013 14:58:11
    SQLITE3.DLL : 3.7.0.1 397704 Bytes 27/04/2013 11:11:21
    AVSMTP.DLL : 13.6.0.1550 60472 Bytes 02/07/2013 14:58:13
    NETNT.DLL : 13.6.0.1550 13368 Bytes 02/07/2013 14:58:23
    RCIMAGE.DLL : 13.4.0.141 4782880 Bytes 27/04/2013 11:10:44
    RCTEXT.DLL : 13.6.0.1624 68664 Bytes 02/07/2013 14:58:05

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Rootkits et logiciels malveillants actifs
    Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
    Documentation.................................: par défaut
    Action principale.............................: interactif
    Action secondaire.............................: supprimer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Recherche dans les programmes actifs..........: marche
    Programmes en cours étendus...................: marche
    Recherche du registre.........................: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: marche
    Recherche sur tous les fichiers...............: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Types d'archives divergents...................: +, +, +, +, +, +, +, +, +, +, +, +,
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: intégral
    Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

    Début de la recherche : vendredi 2 août 2013 14:25

    La recherche d'objets cachés commence.
    Pilote caché
    [REMARQUE] Une modification de la mémoire a été détectée, qui pourrait éventuellement être utilisée abusivement pour des accès fichiers cachés.

    La recherche sur les processus démarrés commence :
    Recherche en cours du processus 'FlashPlayerPlugin_11_8_800_94.exe' - '50' module(s) ont été recherchés
    Recherche en cours du processus 'FlashPlayerPlugin_11_8_800_94.exe' - '44' module(s) ont été recherchés
    Recherche en cours du processus 'plugin-container.exe' - '73' module(s) ont été recherchés
    Recherche en cours du processus 'firefox.exe' - '99' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '36' module(s) ont été recherchés
    Recherche en cours du processus 'vssvc.exe' - '49' module(s) ont été recherchés
    Recherche en cours du processus 'avscan.exe' - '94' module(s) ont été recherchés
    Recherche en cours du processus 'avcenter.exe' - '106' module(s) ont été recherchés
    Recherche en cours du processus 'unsecapp.exe' - '28' module(s) ont été recherchés
    Recherche en cours du processus 'mobsync.exe' - '34' module(s) ont été recherchés
    Recherche en cours du processus 'avgnt.exe' - '73' module(s) ont été recherchés
    Recherche en cours du processus 'taskeng.exe' - '73' module(s) ont été recherchés
    Recherche en cours du processus 'Explorer.EXE' - '139' module(s) ont été recherchés
    Recherche en cours du processus 'Dwm.exe' - '34' module(s) ont été recherchés
    Recherche en cours du processus 'nvvsvc.exe' - '39' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '21' module(s) ont été recherchés
    Recherche en cours du processus 'wmiprvse.exe' - '33' module(s) ont été recherchés
    Recherche en cours du processus 'taskeng.exe' - '49' module(s) ont été recherchés
    Recherche en cours du processus 'vmnetdhcp.exe' - '15' module(s) ont été recherchés
    Recherche en cours du processus 'SearchIndexer.exe' - '61' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '9' module(s) ont été recherchés
    Recherche en cours du processus 'vmnat.exe' - '26' module(s) ont été recherchés
    Recherche en cours du processus 'vmware-usbarbitrator.exe' - '32' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '55' module(s) ont été recherchés
    Recherche en cours du processus 'BLService.exe' - '25' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '44' module(s) ont été recherchés
    Recherche en cours du processus 'PnkBstrA.exe' - '30' module(s) ont été recherchés
    Recherche en cours du processus 'sqlservr.exe' - '47' module(s) ont été recherchés
    Recherche en cours du processus 'AppleMobileDeviceService.exe' - '67' module(s) ont été recherchés
    Recherche en cours du processus 'aestsrv.exe' - '5' module(s) ont été recherchés
    Recherche en cours du processus 'armsvc.exe' - '24' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '59' module(s) ont été recherchés
    Recherche en cours du processus 'sched.exe' - '53' module(s) ont été recherchés
    Recherche en cours du processus 'WLANExt.exe' - '44' module(s) ont été recherchés
    Recherche en cours du processus 'spoolsv.exe' - '94' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '98' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '91' module(s) ont été recherchés
    Recherche en cours du processus 'SLsvc.exe' - '23' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '37' module(s) ont été recherchés
    Recherche en cours du processus 'STacSV.exe' - '37' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '155' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '119' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '67' module(s) ont été recherchés
    Recherche en cours du processus 'avshadow.exe' - '33' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '37' module(s) ont été recherchés
    Recherche en cours du processus 'avguard.exe' - '67' module(s) ont été recherchés
    Recherche en cours du processus 'nvvsvc.exe' - '23' module(s) ont été recherchés
    Recherche en cours du processus 'svchost.exe' - '40' module(s) ont été recherchés
    Recherche en cours du processus 'winlogon.exe' - '30' module(s) ont été recherchés
    Recherche en cours du processus 'csrss.exe' - '14' module(s) ont été recherchés
    Recherche en cours du processus 'lsm.exe' - '32' module(s) ont été recherchés
    Recherche en cours du processus 'lsass.exe' - '60' module(s) ont été recherchés
    Recherche en cours du processus 'services.exe' - '37' module(s) ont été recherchés
    Recherche en cours du processus 'wininit.exe' - '26' module(s) ont été recherchés
    Recherche en cours du processus 'csrss.exe' - '14' module(s) ont été recherchés
    Recherche en cours du processus 'smss.exe' - '2' module(s) ont été recherchés

    Début du contrôle des fichiers système :
    Signé -> 'C:\Windows\system32\svchost.exe'
    Signé -> 'C:\Windows\system32\winlogon.exe'
    Signé -> 'C:\Windows\explorer.exe'
    Signé -> 'C:\Windows\system32\smss.exe'
    Signé -> 'C:\Windows\system32\wininet.DLL'
    Signé -> 'C:\Windows\system32\wsock32.DLL'
    Signé -> 'C:\Windows\system32\ws2_32.DLL'
    Signé -> 'C:\Windows\system32\services.exe'
    Signé -> 'C:\Windows\system32\lsass.exe'
    Signé -> 'C:\Windows\system32\csrss.exe'
    Signé -> 'C:\Windows\system32\drivers\kbdclass.sys'
    Signé -> 'C:\Windows\system32\spoolsv.exe'
    Signé -> 'C:\Windows\system32\alg.exe'
    Signé -> 'C:\Windows\system32\wuauclt.exe'
    Signé -> 'C:\Windows\system32\advapi32.DLL'
    Signé -> 'C:\Windows\system32\user32.DLL'
    Signé -> 'C:\Windows\system32\gdi32.DLL'
    Signé -> 'C:\Windows\system32\kernel32.DLL'
    Signé -> 'C:\Windows\system32\ntdll.DLL'
    Signé -> 'C:\Windows\system32\ntoskrnl.exe'
    Signé -> 'C:\Windows\system32\ctfmon.exe'
    Les fichiers système ont été contrôlés ('21' fichiers)

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '5386' fichiers).



    Fin de la recherche : vendredi 2 août 2013 15:04
    Temps nécessaire: 39:39 Minute(s)

    La recherche a été effectuée intégralement

    36 Les répertoires ont été contrôlés
    8192 Des fichiers ont été contrôlés
    0 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    0 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    0 Impossible de scanner des fichiers
    8192 Fichiers non infectés
    88 Les archives ont été contrôlées
    0 Avertissements
    1 Consignes
    686814 Des objets ont été contrôlés lors du Rootkitscan
    1 Des objets cachés ont été trouvés

    m
    0
    l

    Meilleure solution

    2 Août 2013 16:54:28

    Re,

    Ok, le résultat était attendu de toute manière.

    Donc comme je disais, pour moi c'est une détection, mais pas dangereuse, lié à VMWare.

    Pour t'en assurer il faudrait supprimer VMWare, et refaire un scan, mais tu n'es pas obligé.
    Rien d'autre ne parait suspect sur le système.

    :jap: 
    partage
    2 Août 2013 17:11:42

    Hey bien mille merci pour le temps que tu n'as consacré pour mon probleme c'est vraiment super !

    Encore merci :) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS