Se connecter / S'enregistrer
Votre question

Alerte antivirus

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Juin 2010 11:48:37

Bonjour,

Depuis quelques temps j'ai des alertes de mon antivirus ( Antivir ) qui semble avoir trouvé un virus sur le pc : "DR/Genome.cqge ( dropper )"


Je vous envoie un rapport Hijackthis pour que vous regardiez si vous voyez quelque chose d'anormal. Je vous remercie d'avance :

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Documents and Settings\Maximilien\Mes documents\Téléchargements\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6237F6A-7AE6-49A7-A30A-14E135B7B7A0}: NameServer = 80.10.246.1 81.253.149.10
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6001 bytes

Autres pages sur : alerte antivirus

1 Juin 2010 12:01:44

Voici le rapport de Scan Antivir que j'ai pratiqué hier soir. J'ai viré tout ce qui pouvait l'être mais une nouvelle alerte est apparue ce matin. Je pense donc qu'il reste quelque chose. Si vous avez une idée à me suggérer je suis preneur ^^
Merci !

Starting to scan executable files (registry).
The registry was scanned ( '63' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\Documents and Settings\Maximilien\Local Settings\Temp\7zE35.tmp\Guitar Pro 5.2_Install\_Patch, Keygen\Guitar Pro 5.2_Keygen.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Prorat.JYP back-door program
C:\Program Files\eMule\Incoming\Adobe After Effect 7.0 FR.rar
[0] Archive type: RAR
--> Adobe After Effect 7.0\7\Adobe.After.Effects.7.0.PRO\Keygen\ae7keygen.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
--> Adobe After Effect 7.0\7\Adobe.After.Effects.7.0.PRO.zip
[1] Archive type: ZIP
--> Keygen/ae7keygen.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
C:\System Volume Information\_restore{26528C34-62DB-4E44-BFEC-490E3F1D5788}\RP138\A0024061.exe
[DETECTION] Contains recognition pattern of the DR/Genome.cqge dropper
Begin scan in 'I:\'
Search path I:\ could not be opened!
System error [3]: Le chemin d'accès spécifié est introuvable.

Beginning disinfection:
C:\Documents and Settings\Maximilien\Local Settings\Temp\7zE35.tmp\Guitar Pro 5.2_Install\_Patch, Keygen\Guitar Pro 5.2_Keygen.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Prorat.JYP back-door program
[NOTE] The file was moved to '4c6d44c3.qua'!
C:\Program Files\eMule\Incoming\Adobe After Effect 7.0 FR.rar
[WARNING] An error has occurred and the file was not deleted. ErrorID: 26001
[WARNING] Failed!
[NOTE] Attempting to perform action using the ARK library.
[NOTE] The file was moved to '4d00c5b3.qua'!
C:\System Volume Information\_restore{26528C34-62DB-4E44-BFEC-490E3F1D5788}\RP138\A0024061.exe
[DETECTION] Contains recognition pattern of the DR/Genome.cqge dropper
[NOTE] The file was moved to '4c3444bb.qua'!


End of the scan: mardi 1 juin 2010 01:21
Used time: 1:02:28 Hour(s)

The scan has been done completely.

9119 Scanned directories
621010 Files were scanned
4 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
3 Files were moved to quarantine
0 Files were renamed
1 Files cannot be scanned
621005 Files not concerned
10175 Archives were scanned
2 Warnings
4 Notes
89075 Objects were scanned with rootkit scan
0 Hidden objects were found
1 Juin 2010 13:16:19

Yop.

Citation :
C:\Documents and Settings\Maximilien\Local Settings\Temp\7zE35.tmp\Guitar Pro 5.2_Install\_Patch, Keygen\Guitar Pro 5.2_Keygen.exe
C:\Program Files\eMule\Incoming\Adobe After Effect 7.0 FR.rar


Si tu télécharges des cracks sur emule, faut pas t'étonner d'être infecté. :o 

*****

Ya pas l'air d'avoir grand chose de méchant, juste tes points de resto infectés, mais on va quand même vérifier. ;) 

/!\ Pour le bon déroulement de la désinfection:
  • N'ouvre pas le même sujet sur des forums différents, c'est une perte de temps pour tout le monde!
  • Évites les manipulations hasardeuses avec ton PC, mieux vaut demander!
  • Prends le temps de lire corectement et de comprendre l'ensemble des procédures qui te seront demandées.
  • Suis à la lettre chaque procédure qui te sera fournie.
  • Si tu as une quelconque question ou un quelconque problème, n'hésite pas à me demander.
  • Dans un souci de lisibilité du sujet, merci de bien vouloir héberger tous les rapports ici, et de poster les liens dans la discussion. :clin: 

    *****

    Télécharger sur le bureau Malwarebyte's Anti-Malware

  • Double-clic sur « mbam-setup » pour lancer l'installation.
  • Installer simplement sans rien modifier.
  • Quand le programme lancé ==> onglet « Mise à jour » cliquer sur ==> « Recherche de mise à jour. »
  • Onglet « Recherche » ==> cocher « Exécuter un examen complet ».
  • Clic « Rechercher »,
  • Cocher tous les disque dur,
  • Clic « Lancer l'examen ».
  • En fin de scan , si infection trouvée,
  • ==> Clic « Afficher résultat ».
  • Fermer vos applications en cours,
  • Vérifier si tout est coché et clic « Supprimer la sélection ».

  • Un rapport s'ouvre l'héberger et donner son lien.
    Contenus similaires
    1 Juin 2010 13:57:25

    Oui je sais c'est mal :p 

    Mais c'est pour ça que je me suis pas plains ;)  ... je requiers juste votre aide pour éradiquer les plus tenaces.
    De toute façon même sans ça on arrive à en chopper. Y en a partout aujourd'hui.
    Voici le rapport que tu m'as demandé. Merci pour ton aide. Visiblement ça semble clean. :o 


    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4160

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    01/06/2010 13:38:57
    mbam-log-2010-06-01 (13-38-57).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 129072
    Temps écoulé: 4 minute(s), 28 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    1 Juin 2010 14:46:43

    C'est clean. ;)  Désactive, puis réactive ta restauration, les détections d'antvir devraient disparaître. :) 

    Désactiver et réactiver la restauration système:

    - sous xp:

  • Clique-Droit sur Poste de Travail
  • Clique Propriétés,
  • Clique Restauration du système.
  • Cocher : Désactiver la restauration système sur tous les lecteurs,
  • Valider en cliquant sur OK.
  • Redémarrer le pc.
  • Et même manoeuvre en décochant pour rétablir la restauration.
  • Puis Menu Démarrer ==> Tous les programmes ==> Accessoires ==> Outils système ==> Restauration système,
  • Clique Créer un nouveau point de restauration.
  • note => le nom donné n’a aucune importance.
    1 Juin 2010 15:55:22

    Ok ! Merci ! ^^
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS