Votre question

Problème d’installation d’antivir

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Janvier 2009 10:20:12


Bonjour,

Après formatage de mon disque dur, et réinstall d’XP SP1, j’ai installé Bit Défender 10
Malgré une installation sans problème particulier, l’application s’est avérée ne pas fonctionner. Je l’ai donc désinstallée non sans mal grâce à un désinstalleur spécial Bit défender 10 trouvée sur le net.

Entre temps, j’avais chargé antivir mais l’installation ne se fait pas jusqu'au bout, la fenêtre d'installation se ferme avant la fin de la décompression des fichiers avec le message suivant :

La somme CRC ne peut être effectuée, cela est peut être dû à un virus !

J’ai effacé et tenté plusieurs fois de le réinstaller (mode normal et sans echec) mais j’ai toujours ce même message d’erreur,
Que faire ? car je souhaite installer antivir, qui semble le meilleur gratuit actuel,
J’espère ne pas avoir à reformater, car j’ai passé un bon moment à rapatrier mes sauvegardes suite au 1er formatage. Je vais mettre mon système à jour, en sp2. Mais je dois d’abord résoudre ce probleme et installer un antivirus efficace.
Merci de votre aide

Autres pages sur : probleme installation antivir

a b 8 Sécurité
13 Janvier 2009 13:37:51

Bonjour,

On peut vérifier.

Télécharge puis installe Hijackthis (Trend Micro)
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2
14 Janvier 2009 14:31:30

Bonjour, voici le rapport hijackthis, merci de votre interprétation

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:55:40, on 14/01/2009
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\iexplore.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\explorer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\natali\reader_s.exe
C:\WINDOWS\System32\Isass.exe
C:\Documents and Settings\natali\Application Data\U3\0000183727756C15\LaunchPad.exe
C:\Documents and Settings\natali\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\natali\reader_s.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{D73D7B63-E69C-462B-BBA7-A69030490320}: NameServer = 212.27.53.252,212.27.54.252
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 3914 bytes
Contenus similaires
a b 8 Sécurité
14 Janvier 2009 16:37:46

Re,

Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
    [#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    AIDE : Tuto en images sur MBAM
    16 Janvier 2009 10:58:52

    Bonjour, voici le rapport, quelle est l'étape suivante ?

    Malwarebytes' Anti-Malware 1.33
    Database version: 1654
    Windows 5.1.2600

    15/01/2009 17:41:59
    mbam-log-2009-01-15 (17-41-59).txt

    Scan type: Full Scan (C:\|)
    Objects scanned: 76197
    Time elapsed: 59 minute(s), 57 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 3
    Registry Values Infected: 5
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 7

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\protect (Trojan.NtRootkit.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect (Trojan.NtRootkit.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\restore (Rootkit.Agent) -> Quarantined and deleted successfully.

    Registry Values Infected:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Local Security Authority Service (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Explorer (Backdoor.Bot) -> Quarantined and deleted successfully.

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    C:\WINDOWS\system32\reader_s.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
    C:\WINDOWS\services.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
    C:\Documents and Settings\natali\Local Settings\Temporary Internet Files\Content.IE5\CPQR4HI7\abb[1].txt (Trojan.Inject) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\drivers\protect.sys (Trojan.NtRootkit.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\Temp\TMPD.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
    C:\WINDOWS\services.ex_ (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\explorer.ex_ (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    a b 8 Sécurité
    16 Janvier 2009 18:07:04

    Reposte un rapport Hijackthis.
    19 Janvier 2009 14:14:58

    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 18:53:13, on 16/01/2009
    Platform: Windows XP (WinNT 5.01.2600)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Documents and Settings\natali\reader_s.exe
    C:\Documents and Settings\natali\Bureau\HiJackThis_v2.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\hhupd.exe,C:\WINDOWS\System32\7z.exe,
    O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\natali\reader_s.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D73D7B63-E69C-462B-BBA7-A69030490320}: NameServer = 212.27.53.252,212.27.54.252
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
    O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
    O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
    O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
    O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

    --
    End of file - 3615 bytes
    a b 8 Sécurité
    19 Janvier 2009 21:54:15

    Re,

    [#ff0000]! Désactive tes protections résidentes (antivirus, Spybot-S&D, etc.) ![/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\combofix.txt*) dans ta prochaine réponse.

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer
    22 Janvier 2009 10:25:21

    ComboFix 09-01-19.05 - natali 2009-01-21 18:00:54.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.511.376 [GMT 1:00]
    Lancé depuis: G:\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\actcontroller.exe
    c:\windows\system32\drivers\ntndis.exe
    c:\windows\system32\drivers\ntndis.sys
    c:\windows\system32\drivers\protect.sys
    c:\windows\system32\i
    c:\windows\system32\x.exe
    c:\windows\Temp\0.EXE
    G:\autorun.inf
    g:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213
    g:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini
    g:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\SbCtr.exe
    .
    ---- Exécution préalable -------
    .
    c:\windows\system32\drivers\protect.sys
    c:\windows\system32\Tilesys.com

    c:\windows\system32\spoolsv.exe . . . est infecté!!

    c:\windows\explorer.exe . . . est infecté!!

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_PROTECT
    -------\Service_protect
    -------\Service_restore


    ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-21 au 2009-01-21 ))))))))))))))))))))))))))))))))))))
    .

    2009-01-21 17:53 . 2009-01-21 17:53 737,792 --a------ c:\windows\system32\SbCtri.exe
    2009-01-21 17:53 . 2009-01-21 17:53 737,792 -r-hs---- c:\windows\system32\drivers\SbCtri.exe
    2009-01-21 17:53 . 2009-01-21 17:54 737,792 --a------ c:\windows\system32\dcr.exe
    2009-01-21 17:53 . 2009-01-21 17:53 1,024 --ah----- c:\windows\system32\kymedi.exe
    2009-01-21 17:52 . 2009-01-21 17:52 119,808 --a------ c:\windows\system32\6.tm_
    2009-01-21 17:52 . 2009-01-21 17:52 52,736 --a------ c:\windows\services.ex_
    2009-01-21 17:52 . 2009-01-21 17:52 29,184 --a------ c:\windows\system32\8.tm_
    2009-01-21 17:46 . 2009-01-21 17:46 55,808 --a------ c:\windows\system32\i386kd.exe
    2009-01-21 17:46 . 2009-01-21 17:46 38,912 --a------ c:\windows\system32\reader_s.exe
    2009-01-15 13:34 . 2009-01-15 13:34 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
    2009-01-15 13:31 . 2009-01-15 13:31 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2009-01-15 13:31 . 2009-01-15 13:31 <REP> d-------- c:\documents and settings\natali\Application Data\Malwarebytes
    2009-01-15 13:31 . 2009-01-15 13:31 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-01-15 13:31 . 2009-01-15 13:32 105,908 --ah----- c:\windows\system32\cwih.exe
    2009-01-15 13:31 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2009-01-15 13:31 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2009-01-15 13:29 . 2009-01-15 13:29 55,808 --a------ c:\windows\system32\7z.exe
    2009-01-15 13:28 . 2009-01-15 13:28 0 --a------ c:\windows\nsreg.dat
    2009-01-15 13:21 . 2009-01-15 13:21 55,808 --a------ c:\windows\system32\hhupd.exe
    2009-01-13 21:45 . 2009-01-13 21:45 <REP> d-------- c:\windows\Nouveau dossier (2)
    2009-01-13 21:45 . 2009-01-13 21:45 <REP> d-------- c:\windows\Nouveau dossier
    2009-01-13 21:16 . 2009-01-13 21:20 <REP> d-------- C:\691fbdb95e1ccc75ed1c
    2009-01-12 18:14 . 2008-12-21 13:21 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
    2009-01-12 18:14 . 2008-12-21 13:21 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
    2009-01-12 18:14 . 2008-12-21 13:39 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
    2009-01-12 18:14 . 2009-01-15 17:41 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
    2009-01-12 18:14 . 2008-12-21 13:21 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
    2009-01-12 18:14 . 2009-01-13 21:15 <REP> d-------- c:\documents and settings\Administrateur\Favoris
    2009-01-12 18:14 . 2008-12-21 13:21 <REP> d-------- c:\documents and settings\Administrateur\Bureau
    2009-01-12 18:14 . 2009-01-12 18:14 <REP> d-------- c:\documents and settings\Administrateur
    2009-01-09 20:26 . 2009-01-21 18:09 <REP> d-------- c:\documents and settings\natali\Application Data\U3
    2009-01-09 20:26 . 2009-01-09 20:26 <REP> d-------- c:\documents and settings\natali\Application Data\AdobeUM
    2009-01-09 20:26 . 2009-01-09 20:26 <REP> d--h----- c:\documents and settings\gerald\Voisinage réseau
    2009-01-09 20:26 . 2009-01-09 20:26 <REP> d--h----- c:\documents and settings\gerald\Voisinage d'impression
    2009-01-09 20:26 . 2009-01-09 20:26 <REP> dr------- c:\documents and settings\gerald\Mes documents
    2009-01-09 20:26 . 2009-01-09 20:26 <REP> dr------- c:\documents and settings\gerald\Menu Démarrer
    2009-01-09 20:26 . 2009-01-09 20:26 <REP> d-------- c:\documents and settings\gerald\Bureau
    2009-01-09 20:14 . 2002-05-23 09:34 310,272 --a------ c:\windows\system32\winhttp.dll
    2009-01-09 20:04 . 2009-01-09 20:04 38,400 --a------ c:\windows\system32\reader_s.tmp
    2009-01-09 20:04 . 2009-01-15 13:28 38,400 --a------ c:\documents and settings\natali\reader_s.exe
    2009-01-09 19:54 . 2009-01-09 19:54 <REP> d-------- c:\program files\Fichiers communs\Adobe
    2009-01-09 19:38 . 2009-01-09 20:26 <REP> d-------- c:\program files\Acrobat 6.0
    2009-01-09 19:37 . 2009-01-09 20:26 <REP> d-------- c:\program files\CCleaner
    2009-01-09 19:37 . 2007-08-09 09:39 1,308,216 --a------ c:\program files\HiJackThis_v2.exe
    2009-01-09 13:17 . 2009-01-09 20:26 <REP> d--h----- c:\documents and settings\gerald\Modèles
    2009-01-09 13:17 . 2009-01-09 20:26 <REP> dr------- c:\documents and settings\gerald\Favoris
    2009-01-09 13:17 . 2009-01-09 20:26 <REP> d-------- c:\documents and settings\gerald
    2009-01-09 13:01 . 2009-01-09 20:26 <REP> d-------- c:\program files\avira
    2009-01-09 13:00 . 2009-01-09 13:00 <REP> d-------- c:\windows\AVSETUP_49673c61
    2009-01-08 22:55 . 2009-01-08 22:55 <REP> d-------- c:\program files\FarStone
    2009-01-08 22:54 . 2009-01-08 22:54 <REP> d-------- c:\program files\Fichiers communs\InstallShield
    2009-01-08 22:54 . 2009-01-08 22:54 <REP> d-------- c:\program files\Editions Profil
    2009-01-08 22:01 . 2009-01-08 22:01 0 -ra------ c:\windows\system32\TFTP1728
    2009-01-08 21:48 . 2009-01-08 21:48 144,434 --ah----- c:\windows\system32\wngp.exe
    2008-12-21 17:12 . 2008-12-21 19:18 <REP> d-------- C:\donnees importees 2008
    2008-12-21 16:06 . 2002-04-01 07:42 19,072 -ra------ c:\windows\system32\drivers\usbehci.sys
    2008-12-21 16:06 . 2002-04-04 08:25 5,120 -ra------ c:\windows\system32\hccoin.dll
    2008-12-21 16:02 . 2002-10-16 03:57 84,529 -ra------ c:\windows\system32\drivers\Si3112r.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-01-21 16:53 134,656 ----a-w c:\windows\system32\sfc_os.dll
    2009-01-13 20:39 65,536 ----a-w c:\windows\DUMP52c3.tmp
    2009-01-09 19:06 161,536 ----a-w c:\windows\system32\drivers\ndis.sys
    2009-01-08 20:54 81,984 ----a-w c:\windows\system32\bdod.bin
    2008-12-21 12:43 --------- d-----w c:\program files\microsoft frontpage
    2008-12-21 12:41 --------- d-----w c:\program files\Services en ligne
    .

    ------- Sigcheck -------

    2009-01-09 20:06 191488 3efd4f59ba0a340de0a3ab984001dbf7 c:\windows\system32\dllcache\ndis.sys
    2009-01-09 20:06 191488 3efd4f59ba0a340de0a3ab984001dbf7 c:\windows\system32\drivers\ndis.sys

    2001-09-28 13:00 1014784 9c83be547dcdcfd5342de2592d0e29ca c:\windows\explorer.exe
    2001-09-28 13:00 1014784 746d4f913c3bbece2c4a1caf39e8def5 c:\windows\system32\dllcache\explorer.exe

    2001-09-28 13:00 23040 c74a555f979cea9e35533dcfd5ff56b0 c:\windows\system32\ctfmon.exe
    2001-09-28 13:00 23040 ef0ace13169679f29f9ab50d4cc638e0 c:\windows\system32\dllcache\ctfmon.exe

    2001-09-28 13:00 60928 68f7ede37bc885909a593fd16582fdfb c:\windows\system32\spoolsv.exe
    2001-09-28 13:00 60928 657126364234e7dca8a805ebd6f03278 c:\windows\system32\dllcache\spoolsv.exe

    2001-09-28 13:00 31744 57575c3428b8c483239d94024285ff83 c:\windows\system32\userinit.exe
    2001-09-28 13:00 31744 e1a8bae5e7c5c905db8f4989b9c31879 c:\windows\system32\dllcache\userinit.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2001-09-28 23040]
    "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2001-08-02 1089565]
    "reader_s"="c:\documents and settings\natali\reader_s.exe" [2009-01-15 38400]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "reader_s"="c:\windows\System32\reader_s.exe" [2009-01-21 38912]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-09-28 23040]
    "reader_s"="c:\documents and settings\natali\reader_s.exe" [2009-01-15 38400]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "FirewallOverride"=dword:00000001
    "UpdatesDisableNotify"=dword:00000001
    "AntiVirusDisableNotify"=dword:00000001
    "AntiVirusOverride"=dword:00000001

    R0 Si3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\Si3112r.sys [2008-12-21 84529]
    R4 Service Controler;Service Controler;c:\windows\system32\drivers\SbCtri.exe [2009-01-21 737792]
    .
    .
    ------- Examen supplémentaire -------
    .
    IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
    TCP: {D73D7B63-E69C-462B-BBA7-A69030490320} = 212.27.53.252,212.27.54.252
    FF - ProfilePath - c:\documents and settings\natali\Application Data\Mozilla\Firefox\Profiles\op0nzgzh.default\
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-01-21 18:12:41
    Windows 5.1.2600 NTFS

    detected NTDLL code modification:
    ZwOpenFile

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...


    c:\windows\system32\drivers\cxtmcqozchqhld.sys 61440 bytes executable

    Scan terminé avec succès
    Fichiers cachés: 1

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fkamgibmfurudev]
    "ImagePath"="\??\c:\windows\System32\drivers\cxtmcqozchqhld.sys"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(384)
    c:\windows\system32\ODBC32.dll
    c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

    - - - - - - - > 'lsass.exe'(444)
    c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
    c:\windows\System32\dssenh.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\VFIND.exe
    c:\windows\system32\dwwin.exe
    .
    **************************************************************************
    .
    Heure de fin: 2009-01-21 18:16:20 - La machine a redémarré [natali]
    ComboFix-quarantined-files.txt 2009-01-21 17:16:15

    Avant-CF: 104,338,030,592 octets libres
    Après-CF: 104,313,937,920 octets libres

    176
    a b 8 Sécurité
    22 Janvier 2009 17:20:52

    Analyse les fichiers suivants sur VirusTotal puis poste les rapports :
    c:\windows\system32\dllcache\explorer.exe
    c:\windows\system32\dllcache\spoolsv.exe
    22 Janvier 2009 20:18:58

    Virus total ? qu'est ce que c'est ? une fonctionnalité de combo Fix ?
    22 Janvier 2009 21:11:02

    j'ai trouvé, merci de ne pas tenir compte de ma précédente question
    22 Janvier 2009 21:45:00

    je veux bien executer cette analyse mais je n'ai toujours pas d'antivirus sur mon pc, je risque de choper des trucs en même temps, non ?
    22 Janvier 2009 22:24:34

    j'ai tenté une connection non protégée mais le systeme ne permet pas de faire quoi que ce soit, l'autorité system ferme la session et redemarre
    sinon les fichiers à analyser sont des fichiers cachés ?
    22 Janvier 2009 22:44:22

    l'affichage des fichiers et dossiers cachés est activé mais ces 2 fichiers ainsi que le dossier dllcache sont introuvables !
    a b 8 Sécurité
    23 Janvier 2009 19:20:28

    Au lieu de les chercher, colle directement la ligne de l'emplacement dans la case. Ex : c:\windows\system32\dllcache\spoolsv.exe
    28 Janvier 2009 22:35:57

    Bonsoir,
    je ne peux pas poster le rapport de virustotal car mon pc infecté n'est plus connecte mais l'analyse des 2 fichiers affiche une longue page de resultats mentionnant les virus suivants :
    win32/virut.C
    W32/virut.Gen
    w32/virut.9264
    win32:virut
    win32/virut
    win32.virtob.Gen.9
    ET PLEIN DE VARIANTES du style win32/virut.9276
    ou encore
    Virus:win32/virut.AK
    win32.virut.B
    ETC ETC ...

    FILE SIZE (analyse fichier explorer.exe) : 1014784 bytes

    File size (analyse fichier spoolsv.exe) : 60928 bytes

    Que dois je faire ?
    28 Janvier 2009 23:19:10

    killdisk ?
    a b 8 Sécurité
    29 Janvier 2009 14:26:45

    Tu as un autre pc sous la main ?
    29 Janvier 2009 16:26:26

    Angeldark a dit :
    Tu as un autre pc sous la main ?

    oui
    a b 8 Sécurité
    29 Janvier 2009 17:57:18

    Transfère les fichiers suivants sur le bureau du pc infecté à partir du pc sain :
    c:\windows\system32\spoolsv.exe
    c:\windows\explorer.exe
    5 Mars 2009 17:58:49

    je m'en occupe dès que je rentre, c'est comme si c'était fait, je fais quoi ensuite ?
    9 Mars 2009 09:57:04

    Hello AngelDark, j'ai fait ce que tu m'as demandé, que dois je faire à présent pour installer correctement antivir ?
    9 Mars 2009 09:58:16

    Angeldark a dit :
    Transfère les fichiers suivants sur le bureau du pc infecté à partir du pc sain :
    c:\windows\system32\spoolsv.exe
    c:\windows\explorer.exe



    Hello AngelDark, j'ai fait ce que tu m'as demandé, que dois je faire à présent pour installer correctement antivir ?
    19 Mars 2009 10:20:12

    Hello Angeldark,
    puisque tu ne réponds pas, je me dis que cela devrait fonctionner tout seul
    sauf que j'ai importé des fichiers issu d'un xp sp2 alors que mon xp est en sp1
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS