Se connecter / S'enregistrer
Votre question

Trojan: VBS malware Gen [Résolu]

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
22 Mars 2008 11:57:03

Bonjour a tous,
je suis nouveau sur ce forum mais présent en tant qu'observateur de vos préstations
Je suis loin d'etre un as de l'informatique réseau,ma place est plus dans l'hardware!
Avast m'a fait sonner une alerte comme si c'était la bombe atomique ce matin.
Trojan,cheval de troie patati patata ,vous comprenezen tout cas!
j'ai fait un scan Avast sans succès mais je doute de la performance de ce log.
Si vous avez besoin d'un logiciel avec un rapport qui pourrait vous aider a m'aider,indiquer moil le lien.
avast dit précisement:"sign of VBS malware gen "
merci d'avance ,
Accel

Autres pages sur : trojan vbs malware gen resolu

22 Mars 2008 11:59:38

Bonjour, quel est le chemin d'accès du virus détecté par Avast! ?

Télécharge puis installe Hijackthis (Trend Micro)
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2
Contenus similaires
22 Mars 2008 12:08:42

voici le rapport:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:07:57, on 22/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Lexmark 2400 Series\ezprint.exe
C:\Program Files\AGEIA Technologies\TrayIcon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\lxcrcoms.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Louis\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A93D3BC-C5C9-4758-A8C0-558F5B5A87FA}: NameServer = 192.168.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: lxcr_device - - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

--
End of file - 5811 bytes
22 Mars 2008 12:17:17

Re,

Branche tous des disques amovibles ( clés usb etc. )

Télécharge FlashDisinfector sur ton bureau.

http://www.techsupportforum.com/sectools/sUBs/Flash_Dis...

-Laisse connecté ton disque

-Exécute le FlashDisinfector.exe qui se trouve sur ton bureau

- PUIS

SURTOUT ne pas double-cliquer sur le disque dans le poste de travail

-Ouvre le poste de travail
-Clic sur le menu outils en haut à droite puis options des dossiers
-Dans la nouvelle fenêtre, clique sur l'onglet Affichage en haut
-Coche dans la liste "Afficher les fichiers cachés"
-Décoche "masquer les fichier protégés du système d’exploitation (recommandée)"
-Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
-Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur – surtout ne double-clique pas dessus!!!
-Choisis ouvrir dans le menu déroulant.
-Cherche un fichier autorun.inf et des fichiers : Adober.exe ou RavMonE.exe ou MS32DLL.DLL.VBS ou autorun.vbs
-Si présents, supprime-le en faisant un clic droit puis supprimer.
- Répète l'opération sur tous les disques se trouvant dans le poste de travail.
22 Mars 2008 12:22:04

excuse moi mais j'ai pas tout compris a ton message,peux tu tout réexpliquer stp
22 Mars 2008 12:33:07

Re, Ben c'est déjà tout expliqué :) 

Je suppose que tu as une infection qui se propage par supports amovibles ( clés usb, disque dur externe etc ). Donc fais la manip' demandée, et reviens me dire une fois que cela est fait.

Aide ici : http://mickael.barroux.free.fr/securite/disques_amovibl...
22 Mars 2008 12:33:59

pourrais tu me donner des infos sur le problème et pourquoi je met mes disques amovibles,les risques,ce que ca va faire,etc et la manip entière

oublie ca

je dois mettre mon mp3 aussi, les fichiers que tu me demandes de supprimer sont dans le premier menu de chaque disque?ou faut il voir tout les sous-dossiers?

sinon,pour le DD je fais quoi exactement?
22 Mars 2008 12:38:06

j'ajoute que dans ton aide,le symptome présent n'a pas lieu chez moi
22 Mars 2008 12:39:52

Re,

Citation :
je dois mettre mon mp3 aussi, les fichiers que tu me demandes de supprimer sont dans le premier menu de chaque disque?ou faut il voir tout les sous-dossiers?


Oui les fichiers à rechercher sont dans le premier menu ;) 

N.B : Quand tu as eu ton message d'alerte de Avast!, venais-tu de brancher un support amovibles ?

Si la manip' ne t'inspire rien, on peut procéder autrement ;) 
22 Mars 2008 12:42:02

déja ,
merci de prendre tant de soin a mon problème,
je confirme que lors de l'alerte j'étais sous winamp en train d'écouter de la musique(normal :D ) et sous firefox.
sinon,oui en effet,elle ne m'inspire rien cette manip!
22 Mars 2008 12:46:34

Bon on va vérifier que tu es bien infecté(e) par ce que je pense :p 

1) Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche ---> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».

2) Désactive toute protection résidente ( antivirus…) !

Télécharge Combofix de sUBs :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !


Redémarre en mode sans échecs : aide ici >>>

http://forum.telecharger.01net.com/telecharger/virus_et...
/!\ Ne jamais redémarrer en mode sans échec via msconfig ! /!\

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

3) Copie/colle un nouveau rapport HiJackThis avec.

;) 
22 Mars 2008 12:49:24

merci encore,
je dois aller manger :( 
je reveient dès que possible et j'essaierai cette manip
22 Mars 2008 12:49:44

Bon app :) 
22 Mars 2008 13:20:49

re, merci ^^
Il n'y vraiment pas d'autres moyens que d'installer tout ces logs pour vérifier juste un point?
j'avoue que redémarrer en mode sans echec m'a toujours jouer des tours au redémarrages suivent,la dernière fois c'était impossible de retourner sur le net et j'ai du tout reformater :( 

Je vois que tu es OFFLINE donc je reviendrai pour voir vers 14h30
Bonne aprem qd meme
SI d'autres ont des avis ou idées;bienvenue!
22 Mars 2008 13:47:07

Re,

Une désinfection n'est jamais sans risque :) 

Mais si tu veux de l'aide, il faut faire ce que je te dis.

Je t'ai donné deux méthodes, à toi de voir celle que tu préfères.

Bonne aprem :hello: 
22 Mars 2008 14:31:34

re,
je comprend les risques et tout,mais ce qui me fait bloquer c'est le fait que sur l'aide que tu m'as donné toute a l'heure ,les symptomes ne correspondent pas,je n'ai aps eu de problèmes en ouvrant des périph externes et l'alerte a eu lieu quand j'étais sous firefox ,c'est ce que je trouve louche.
je commence vraiment a douter d'avast,il trouve des virus dans le fichier d'install de Steam et dans une sauvegarde du solitaire windows...
22 Mars 2008 14:38:59

Raison de plus pour faire la manip' avec Combofix :super:
22 Mars 2008 14:44:03

bon,je vais me decider pour combofix :) 
donc je Dl,je le met sur le bureau,j'y touche pas, j'arrete le PC,je le démare ,j'apuie sur F8,sans echec,je double click sur combofix ,et j'appuie sur 1 a la question ,entrée...
j'enregistre le rapport.
j'éteind,je rédemarre normalement et je post
c'est bien ca?
22 Mars 2008 14:47:32

Oui sauf que tu n'auras peut-être pas à appuyer sur un ;) 

Bonne aprem :hello: 
22 Mars 2008 14:48:06

je re post dès que j'ai le rapport
A toute!
22 Mars 2008 14:54:19

re,
j'appuie sur F8,il me met chargement de la botte
pas moyen d'avoir accès au sans echec :( 
22 Mars 2008 14:58:15

Re,

Il faut patienter.

Sinon fait ça ne mode normal déjà.

Désinstalle avast, redémarre et supprime ~~>C:\Program Files\Alwil Software

Télécharge ccleaner (>>tuto à lire !<<), tu download «the latest version » puis installe le en décochant - Ajouter la Barre d'Outils Yahoo! CCleaner
Puis lance le nettoyage, puis fais chercher des erreurs et sauvegardes si tu le souhaites.

Télécharge et installe Antivir. (tuto)
Pourquoi changer ? Avast vs Antivir
Vérifie qu’il soit bien à jour ! Fais une analyse complète en mode normal, sauvegarde le rapport et poste le moi.

;) 
22 Mars 2008 14:59:57

attend,je désinstalle avast maintenant ou après combofix?
et je fais quoi pour le sans echec?
22 Mars 2008 15:10:03

bon aprem a toi aussi,j'ai fait le combofix,attendu les nombreuses étapes,en cadeau je t'offre le rapport ^^:

ComboFix 08-03-21.2 - Louis 2008-03-22 15:15:11.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1782 [GMT 1:00]
Endroit: C:\Documents and Settings\Louis\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
TimedOut: progfile.dat

((((((((((((((((((((((((((((( Fichiers créés 2008-02-22 to 2008-03-22 ))))))))))))))))))))))))))))))))))))
.

2008-03-18 18:02 . 2008-03-18 18:02 <REP> d-------- C:\Program Files\Everest Poker
2008-03-14 18:29 . 2008-03-22 14:51 <REP> d-------- C:\Program Files\Steam

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-22 14:13 1,535 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2008-03-22 13:51 --------- d-----w C:\Program Files\lx_cats
2008-03-18 16:47 --------- d-----w C:\Program Files\eMule
2008-01-28 17:02 --------- d-----w C:\Documents and Settings\Louis\Application Data\Ventrilo
2008-01-23 14:26 --------- d-----w C:\Program Files\Google
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-19 15:22 1667584]
"Steam"="c:\program files\steam\steam.exe" [2008-03-14 18:37 1266936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 02:48 36975]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"EzPrint"="C:\Program Files\Lexmark 2400 Series\ezprint.exe" [2006-02-07 06:10 98304]
"AGEIA PhysX SysTray"="C:\Program Files\AGEIA Technologies\TrayIcon.exe" [2006-03-20 20:43 331776]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 15:32 56080 C:\WINDOWS\KHALMNPR.Exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]
"LXCRCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll" [2005-12-01 19:38 65536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:09 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-11-14 13:14:23 692224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Louis^Menu Démarrer^Programmes^Démarrage^Registration .LNK]
path=C:\Documents and Settings\Louis\Menu Démarrer\Programmes\Démarrage\Registration .LNK
backup=C:\WINDOWS\pss\Registration .LNKStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2005-03-29 20:05 339968 C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-06-01 13:32 94208 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Configuration de la neuf Box]
--------- 2005-12-13 14:19 389120 C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
--a------ 2006-02-02 09:11 290816 C:\Program Files\Lexmark Fax Solutions\fm3032.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcrmon.exe]
--a------ 2006-01-22 18:45 286720 C:\Program Files\Lexmark 2400 Series\lxcrmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-19 15:22 1667584 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSPVideo9]
C:\Program Files\pspvideo9\pspVideo9.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2006-11-10 11:35 90112 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"UPS"=3 (0x3)
"TapiSrv"=3 (0x3)
"RDSessMgr"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"mnmsrvc"=3 (0x3)
"RemoteRegistry"=2 (0x2)
"ose"=3 (0x3)


j'attend tes déductions,je rapasserai dans la journée :) 
22 Mars 2008 16:22:43

Re,

Le rapport est-il complet ?
22 Mars 2008 18:09:30

re,dsl du retard,
en effet,tu as encore raison,mon CTRL+A a du mal fonctionné ,
j'ajoute la suite :


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2006-05-09 15:08]
S1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2006-05-09 15:08]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;C:\WINDOWS\system32\DRIVERS\usbiad.sys [2004-07-14 01:52]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffab774f-11da-b597-806d6172696f}]
\Shell\AutoRun\command - D:\ASUSACPI.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 15:17:50
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCRCATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-03-22 15:18:49
ComboFix-quarantined-files.txt 2008-03-22 14:18:41



dsl du suspense involontaire dans ta recherche!
22 Mars 2008 18:12:28

Re,

Désinstalle avast, redémarre et supprime ~~>C:\Program Files\Alwil Software

Télécharge ccleaner (>>tuto à lire !<<), tu download «the latest version » puis installe le en décochant - Ajouter la Barre d'Outils Yahoo! CCleaner
Puis lance le nettoyage, puis fais chercher des erreurs et sauvegardes si tu le souhaites.

Télécharge et installe Antivir. (tuto)
Pourquoi changer ? Avast vs Antivir
Vérifie qu’il soit bien à jour ! Fais une analyse complète en mode sans échec, sauvegarde le rapport et poste le moi.
22 Mars 2008 18:13:35

alors verdict,il y a beaucoup d'infections,je me charge de CCleaner et Antivir
22 Mars 2008 18:14:21

Je ne vois rien d'alarmant pour le moment mais faut vérifier, j'attends le résultat du scan avec antivir :super:
22 Mars 2008 18:16:06

sinon,pour le scan antivir,je suis obliger de le faire en sans echec,j'ai pas arreté d'avoir des ennuis de coupures internet après,ca me le fait a chaque fois
sinon encore merci!
22 Mars 2008 18:16:11

CCleaner ,le lien que tu proposes est donc bien la dernier version?
22 Mars 2008 18:17:41

Le lien est bon :) 
22 Mars 2008 18:19:56

Sinon,certaines icones sont apparues a la suite du remue ménage,maintenant je peut virer Hijackthis,IE du sans echec et combofix?
22 Mars 2008 18:21:09

Re,

Tu ne vires rien pour le moment, tu fais le scan demandé :) 
22 Mars 2008 18:21:45

Je rajoute,je désinstalle Avast de la liste des programmes ou j'ai zapper un assistant de désinstallation?
22 Mars 2008 18:28:10

Tu désinstalles via ajout/suppression du programmes du panneau de configuration :) 
22 Mars 2008 18:31:25

c'est fait,merci,en fait j'avais pas vu qu'ils annoncaient comment faire dan sle lien^^
22 Mars 2008 18:43:25

Ccleaner installé,j'ai fait toutes les manips conseillées par toi,je m'attaque a antivir
aucune précautions scpéciales a son sujet?
J'ai aussi en firewall Kerio, ca ne va pas gener pour Antivir?
22 Mars 2008 20:46:14

re,
je me suis occupé de CCleaner,de Antivir cependant je n'ai pas fait le scan,mais je reste toujours sur l'envie de ne aps le faire en mode sans echecs a cause des bugs que je rencontre au retour!
en quoi ca va changer quelque chose pour le scan?
merci
22 Mars 2008 21:05:13

Re,

Moins efficace en mode normal mais ça m'ira très bien :) 
23 Mars 2008 11:59:52

Bonjour et bonne fete de Paques!

hier soir,j'en ai profiter pour ordonner un peu le remue ménage,
j'ai fait le scan antivir ce matin,je m'attendais a plus long mais impressioné de la vitesse,juste 1heure!

le rapport (complet^^):



AntiVir PersonalEdition Classic
Report file date: dimanche 23 mars 2008 10:51

Scanning for 1160819 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-DJSFE-45124
Platform: Windows XP
Windows version: (Service Pack 2)
Username: Louis
Computer name: LOUIS-98E4EE97F

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 17:59:00
ANTIVIR2.VDF : 7.0.3.62 337408 Bytes 21/03/2008 17:59:00
ANTIVIR3.VDF : 7.0.3.63 2048 Bytes 21/03/2008 17:59:00
AVEWIN32.DLL : 7.6.0.75 3334656 Bytes 22/03/2008 17:59:02
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 22/03/2008 17:59:02
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\program files\avira\antivir personaledition classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: dimanche 23 mars 2008 10:51

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'lxcrcoms.exe' - '1' Module(s) have been scanned
Scan process 'Apache.exe' - '1' Module(s) have been scanned
Scan process 'nSvcAppFlt.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nSvcLog.exe' - '1' Module(s) have been scanned
Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned
Scan process 'Apache.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'KHALMNPR.exe' - '1' Module(s) have been scanned
Scan process 'SetPoint.exe' - '1' Module(s) have been scanned
Scan process 'msmsgs.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'soundman.exe' - '1' Module(s) have been scanned
Scan process 'TrayIcon.exe' - '1' Module(s) have been scanned
Scan process 'ezprint.exe' - '1' Module(s) have been scanned
Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
43 processes with 43 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'A:\'
[NOTE] In the drive 'A:\' no data medium is inserted!

Starting to scan the registry.
The registry was scanned ( '29' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'A:\'
Search path A:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'D:\'
Search path D:\ could not be opened!
Le périphérique n'est pas prêt.



End of the scan: dimanche 23 mars 2008 11:53
Used time: 1:01:44 min

The scan has been done completely.

7834 Scanning directories
250688 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
250688 Files not concerned
2045 Archives were scanned
1 Warnings
0 Notes


d'après ce que j'ai pu lire a la fin,c'est bon signe non?

merci encore




23 Mars 2008 12:02:32

:hello: 

Merci ;) 

Comment va le PC ? Toujours des problèmes ?
23 Mars 2008 12:05:08

et bien ,maintenant tout a l'air en forme,je pense un peu comme avant ^^
aujourd'hui j'ai pas eu de déconnections donc ca va!
je peut maintenant retirer combofix.exe,IE du sans echec?
23 Mars 2008 12:07:08

C’est OK, tu n’es plus infecté(e) :p 

1) Télécharge ToolsCleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/toolscleaner...

Ce programme va te faire désinstaller tous les outils que je t’ai faits utiliser.

  • Clique sur Recherche et laisse le scan agir ...
  • Clique sur Suppression pour finaliser.
  • Tu peux, si tu le souhaites, te servir des Options facultatives.
  • Clique sur Quitter pour obtenir le rapport.
  • Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    2) Télécharge et installe Ccleaner :
    http://www.01net.com/telecharger/windows/Utilitaire/net...
  • Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Clique sur l'onglet "Nettoyeur" puis sur "Lancer le Nettoyage".
  • Ensuite clique sur l'onglet Registre, clique sur "Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées". Il est inutile de faire des sauvegardes des clés. Répète l'opération autant de fois qu'il le faut jusqu'à qu'il ne trouve plus d'erreurs.
  • Tutorial ici : http://www.infos-du-net.com/forum/272336-7-ccleaner-und...
    3)
  • Désactive ta restauration systeme

  • Réactive ta restauration systeme

  • Tutorial ici : http://www.infos-du-net.com/forum/272480-11-desactiver-...
    ********************************************************************************

    Ajoute maintenant [Résolu] au titre. Pour cela :
    * Clique, dans ton premier message, sur le bouton "Editer"
    * Rajoute la mention [Résolu] au titre
    * Clique ensuite sur "Valider votre message"

    Ce serait sympa de rapporter ton infection sur > Malware-Complaints < pour faire condamner ses auteurs

    - Règles du forum <- ici
    - Poster un message <- ici ( par Malekal )

    Pour t'enregistrer clique sur le bouton register ( en haut )
    Si tu as plus de 13 ans choisis " I Agree to these terms and am over or exactly 13 years of age "
    Si tu as moins de 13 ans choisis " I Agree to these terms and am under 13 years of age "

    Tu auras une liste par type d'infection
    Si ton infection n'est pas dans la liste crée un message dans Autres infections

    a+ et bon surf :hello: 


    Quelques liens intéressants :

    http://mickael.barroux.free.fr/securite/
    http://www.malekal.com/
    http://www.infos-du-net.com/forum/275481-11-dossier-pre...
    23 Mars 2008 12:11:02

    merci bien,
    au fait,j'étais réelement infecté ou c'était un délire de avast?
    pour CCleaner,je l'ai toujours sur mon PC,pourquoi le réinstaller?
    ce log,je peut l'utiliser comme un Spybot ou ad-aware ou c'est juste pour la désinfection?
    je m'occupe du post et tout le reste après que l'ordi soit comme avant,sans problème,dans la journée ou demain
    encore merci!
    ps: as tu quelques autres log a me conseiller d'installer pour prévention?
    merci
    accel
    23 Mars 2008 12:12:49

    Re,

    Toutes les réponses à tes questions se trouvent dans mon précédent message ;) 

    Infecté(e) je ne pense pas mais on a nettoyé le PC ;) 

    Bonne continuation :hello: 
    23 Mars 2008 12:14:34

    ok,bah encore merci mais sur malware complaints,je met quelle infection si j'en ai pas :D !
    23 Mars 2008 12:17:44

    Re,

    Ben tu mets rien :p 

    Par contre n'oublie pas d'éditer ton premier message pour y rajouter [résolu] au titre et clique sur le lien dans ma signature et prends le temps de le lire, voire de le faire tourner.

    :) 
    23 Mars 2008 12:18:38

    je m'occupe des démarches,je met le [résolu]
    le rapport TCleaner:

    -->- Recherche:

    C:\Combofix: trouvé !
    C:\Qoobox: trouvé !
    C:\Documents and Settings\Louis\Bureau\ComboFix.exe: trouvé !
    C:\Documents and Settings\Louis\Bureau\HijackThis.exe: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\Documents and Settings\Louis\Bureau\ComboFix.exe: supprimé !
    C:\Documents and Settings\Louis\Bureau\HijackThis.exe: supprimé !
    C:\Combofix: supprimé !
    C:\Qoobox: supprimé !



    Je rajoute,pour Ccleaner,je dois finalement quand meme le réinstaller ou pas?

    Corbeille vidée!
    Fichiers temporaires nettoyés !
    Sauvegarde du registre crée !
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS