Votre question

Pc infecté par Trojan-Proxy.Win32.Ranky.gi et disque SATA qu'on ne ret

Tags :
  • Proxy
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Avril 2007 21:13:35

Bonjour à tous, y aurait-il possibilité de m'aider.
J'ai trouvé des virus Trojan-Proxy.Win32.Ranky.gi sur le Pc de mon père, que faire pour les supprimer.
Voici le rapport de Kaspersky en ligne:

KASPERSKY ON-LINE SCANNER REPORT
Thursday, April 05, 2007 8:54:58 PM
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 5/04/2007
Enregistrements dans la base antivirus Kaspersky : 275395
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\
Statistiques de l'analyse
Total d'objets analysés 81760
Nombre de virus trouvés 1
Nombre d'objets infectés 2 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:39:29

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Quique\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Quique\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Quique\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Quique\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Quique\Local Settings\Historique\History.IE5\MSHist012007040520070406\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Quique\Local Settings\Temp\me_aeF L'objet est verrouillé ignoré
C:\Documents and Settings\Quique\Local Settings\Temp\me_ch468kOtZTfDGxH L'objet est verrouillé ignoré
C:\Documents and Settings\Quique\Local Settings\Temp\me_nHblu2i6jqUJSbU L'objet est verrouillé ignoré
C:\Documents and Settings\Quique\Local Settings\Temp\me_xhObZuQ5uMVCuz6 L'objet est verrouillé ignoré
C:\Documents and Settings\Quique\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Quique\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Quique\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Quique\UserData\index.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
C:\Program Files\Kodak\Kodak EasyShare software\Catalog\EasyShare.me L'objet est verrouillé ignoré
C:\Program Files\Kodak\Kodak EasyShare software\Catalog\EasyShare.mm L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\BWKDLogs\BWTargetInf.log L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\agent.log L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\busyprs.log L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\BWLocalWebListener.log L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\chandir.dat L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\chandir.idx L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\chn.dat L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\chn.idx L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\D0000000.FCS L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\FileDL.log L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\inuse.txt L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\L0000009.FCS L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\main.log L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs.dat L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs.idx L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_die.dat L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_die.idx L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_dnd.dat L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_dnd.idx L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_ext.dat L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_ext.idx L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_rcv.dat L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_rcv.idx L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\RG.log L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\scheddbg.log L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\storydb.dat L'objet est verrouillé ignoré
C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\storydb.idx L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\debug.log L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\debug.log.idx L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\error.log L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\error.log.idx L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\hips.log L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\hips.log.idx L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\ids.log L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\ids.log.idx L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\network.log L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\network.log.idx L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\system.log L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\system.log.idx L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\warning.log L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\warning.log.idx L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\web.log L'objet est verrouillé ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\logs\web.log.idx L'objet est verrouillé ignoré
C:\System Volume Information\_restore{1AADDB98-3CF9-4F6C-B78A-52CC48D74CA7}\RP153\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{C7D8D2E6-6600-444A-8F4D-972F736B70C2}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\aixevri.exe Infecté : Trojan-Proxy.Win32.Ranky.gi ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\tgvs.exe Infecté : Trojan-Proxy.Win32.Ranky.gi ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_3a0.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
Analyse terminée.

Merci d'avance
Pierrot

Autres pages sur : infecte trojan proxy win32 ranky disque sata ret

6 Avril 2007 21:16:42

bonsoir, supprime le fichier en gras (en mode sans echec):

C:\WINDOWS\system32\aixevri.exe

Note :
Citation :
Pour afficher les dossiers et fichiers cachés du système:
Panneau de configuration/Options des dossiers/onglet Affichage/cocher Afficher les fichiers et dossiers cachés, décocher Masquer les extensions de fichiers connus, décocher Masquer les fichiers protégés du Système.

Les fichiers et dossiers cachés du système apparaissent alors dans l'explorateur Windows en transparence.



puis:

~ Télécharge HijackThis
http://www.merijn.org/files/hijackthis.zip ;
~Crée un "nouveau dossier" dédié à Hijackthis (c:\Hijackthis\),dézippe Hijackthis.exe dans ce répertoire
~Lance Hijackthis.exe "do a system scan & save log file",et fais un copier coller du rapport généré dans ton prochain post.

6 Avril 2007 21:19:49

je m'occupe demain matin de ça car c'est le Pc chez mes parents.
Merci du renseignement
@+
Pierrot
Contenus similaires
6 Avril 2007 21:21:07

est-ce que je supprime aussi C:\WINDOWS\system32\tgvs.exe en mode sans échec car lui aussi est vérolé?
7 Avril 2007 09:26:58

Fichiers supprimés en mode sans échec.
Hijackthis fait voici le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 09:24:45, on 07/04/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\atwtusb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\System32\TBLMOUSE.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\tgvs.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Digimax Viewer 2.1.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Gestion d'AcPreview) - file://C:\Program Files\AutoCAD LT 98\AcPreview.ocx
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE

Je fais quoi maintenant?
Pierrot

7 Avril 2007 09:34:18

bonjour

Virustotal

Note :
Citation :
Pour afficher les dossiers et fichiers cachés du système:
Panneau de configuration/Options des dossiers/onglet Affichage/cocher Afficher les fichiers et dossiers cachés, décocher Masquer les extensions de fichiers connus, décocher Masquer les fichiers protégés du Système.

Les fichiers et dossiers cachés du système apparaissent alors dans l'explorateur Windows en transparence.


Analyse ce fichier :

C:\WINDOWS\System32\tgvs.exe

Sur le site de virustotal
http://www.virustotal.com/en/virustotalx.html
Clique ensuite sur Send
poste-nous le rapport.
7 Avril 2007 09:48:42

je l'ai supprimer ce fichier, je ne le retrouve pas sur c:\windows\system32
7 Avril 2007 10:09:51

Coucou
même en modifiant les options des dossiers, je ne le trouve pas, je l'ai supprimé ce matin bien avant de faire le scan hijackthis.
Je viens de relancer une analyse antivrus via kaspersky en ligne.
@+
Pierrot
7 Avril 2007 10:36:50

pas réveillé moi, ce matin, :) 
relance hijackthis et fixchecked cette ligne:
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\tgvs.exe

~ Télécharge Clean de Malekal
http://www.malekal.com/download/clean.zip

Enregistre-le sur ton bureau et dézippe-le
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean.cmd.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
Poste le contenu du rapport généré.

7 Avril 2007 10:56:45

salut, voici le nouveau rapport kaspersky
:
KASPERSKY ON-LINE SCANNER REPORT
Saturday, April 07, 2007 10:55:05 AM
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 7/04/2007
Enregistrements dans la base antivirus Kaspersky : 275699


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\

Statistiques de l'analyse
Total d'objets analysés 82940
Nombre de virus trouvés 1
Nombre d'objets infectés 2 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:38:59

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Quique\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Quique\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Quique\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Quique\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Quique\Local Settings\Historique\History.IE5\MSHist012007040720070408\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Quique\Local Settings\Temp\me_BMyLgaDOnqwI0LP L'objet est verrouillé ignoré

C:\Documents and Settings\Quique\Local Settings\Temp\me_f4vvRmApo5S2SJP L'objet est verrouillé ignoré

C:\Documents and Settings\Quique\Local Settings\Temp\me_hjwgIPRQgvsqVir L'objet est verrouillé ignoré

C:\Documents and Settings\Quique\Local Settings\Temp\me_vB L'objet est verrouillé ignoré

C:\Documents and Settings\Quique\Local Settings\Temp\~DF6F16.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Quique\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Quique\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Quique\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

C:\Program Files\Kodak\Kodak EasyShare software\Catalog\EasyShare.me L'objet est verrouillé ignoré

C:\Program Files\Kodak\Kodak EasyShare software\Catalog\EasyShare.mm L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\BWKDLogs\BWTargetInf.log L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\agent.log L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\busyprs.log L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\BWLocalWebListener.log L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\chandir.dat L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\chandir.idx L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\chn.dat L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\chn.idx L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\D0000000.FCS L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\FileDL.log L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\inuse.txt L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\L0000009.FCS L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\main.log L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs.dat L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs.idx L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_die.dat L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_die.idx L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_dnd.dat L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_dnd.idx L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_ext.dat L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_ext.idx L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_rcv.dat L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_rcv.idx L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\RG.log L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\scheddbg.log L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\storydb.dat L'objet est verrouillé ignoré

C:\Program Files\Kodak\KODAK Software Updater\7288971\Users\Default\Data\storydb.idx L'objet est verrouillé ignoré

C:\System Volume Information\_restore{1AADDB98-3CF9-4F6C-B78A-52CC48D74CA7}\RP153\A0067235.exe Infecté : Trojan-Proxy.Win32.Ranky.gi ignoré

C:\System Volume Information\_restore{1AADDB98-3CF9-4F6C-B78A-52CC48D74CA7}\RP153\A0067236.exe Infecté : Trojan-Proxy.Win32.Ranky.gi ignoré

C:\System Volume Information\_restore{1AADDB98-3CF9-4F6C-B78A-52CC48D74CA7}\RP155\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\QUIQUE-CB6ZUY03.ldb L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\EventCache\{1E625E64-DAEC-4635-910F-D1F665D47901}.bin L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_4b8.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT04227.TMP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT0423b.TMP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.


je relance hijackthis
7 Avril 2007 11:01:05

Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le 07/04/2007 a 11:01:17.88

*** Recherche de fichiers sur C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Fin du rapport !
7 Avril 2007 11:14:28

j'ai retrouvé le cheval de troie mais il est dans:
C:\System Volume Information\_restore{1AADDB98-3CF9-4F6C-B78A-52CC48D74CA7}\RP153\A0067235.exe Infecté : Trojan-Proxy.Win32.Ranky.gi ignoré

C:\System Volume Information\_restore{1AADDB98-3CF9-4F6C-B78A-52CC48D74CA7}\RP153\A0067236.exe Infecté : Trojan-Proxy.Win32.Ranky.gi ignoré

Je fais quoi maintenant
Pierrot
7 Avril 2007 12:27:59

~Désactive-réactive la restauration en suivant ce tuto:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfoint...

dernière vérification:
~Télécharge. F-Secure Blacklight

https://europe.f-secure.com/exclude/blacklight/fsbl.exe


- Lance F-Secure Blacklight (fichier fsbl.exe)
- Accepte la licence, et clique enfin sur "Scan" puis Next et Exit.
- Un rapport fsbl-bxxxx.log (xx sont des chiffres) va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log , fais un copier/coller dans ton prochain message.

Attention ! .
Il ne faut pas choisir l'option "Rename". de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe .
Tuto de F-Secure BlackLight : (merci à Malekal) .
http://www.malekal.com/tutorial_f-secure_BlackLight.htm...

7 Avril 2007 15:50:52

Tiens voila les résultats avec F-secure

04/07/07 14:25:01 [Info]: BlackLight Engine 1.0.61 initialized
04/07/07 14:25:01 [Info]: OS: 5.1 build 2600 ()
04/07/07 14:25:01 [Note]: 7019 4
04/07/07 14:25:01 [Note]: 7005 0
04/07/07 14:32:41 [Note]: 7006 0
04/07/07 14:32:41 [Note]: 7011 1692
04/07/07 14:32:42 [Note]: 7026 0
04/07/07 14:32:42 [Note]: 7026 0
04/07/07 14:32:45 [Note]: FSRAW library version 1.7.1021
04/07/07 15:50:31 [Note]: 7007 0

Pierrot
7 Avril 2007 17:18:53

c'est bon,
tu n'es plus infecté.
7 Avril 2007 19:12:32

merci
Je relance Kaspersky en ligne pour le fun
8 Avril 2007 13:36:25

tout est ok pour Kaspersky
Merci beaucoup
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS