Téléchargement
illégal
Posez votre question Signaler

Kavos trj sévit [Résolu]

laalee 21Messages postés 2 mars 2009Date d'inscription - Dernière réponse le 5 juil. 2011 à 20:00
Bonjour,
je viens de lire votre discussion sur le trojan kavos.
je suis infectée de puis 3 jours, je pense que jai chopé ca avec mon disque dur externe
kavos apparait sur tous les disques durs,( chaque partition) et sur l'ordi, dans le système.
avast a identifié kavos, mais il ne peut pas le supprimer, il reapparait chaque fois, meme après le scan au démarrage.
jai telechargé spyware terminator pour faire une analyse complète.
il a trouvé le Trojan.crypt.XPACK.Gen et rien d'autre.
je nai pas réussi à analyser mon disque dur externe avec spyware terminator...
une autre chose, jai recu un message d'avast qui me dit avoir trouvé un objet suspect ( un rootkit, mais je ne trouve pas le nom) par la méthode heuristique, et de le supprimer, ce que j'ai fait.
est ce que quelqu'un peut m'aider?
Lire la suite 

Kavos trj sévit »

37 réponses
Réponse
+1
moins plus
winpiret 1646Messages postés 24 septembre 2007Date d'inscription 2 mars 2009 à 14:30
Bonjour,
Je ne sais pas si ca va etre suffisant, je te conseille MALWAREBYTE'S

Ajouter un commentaire - Site web
laalee- 2 mars 2009 à 14:31
ok, je vais chercher ca,
est ce que tu as un lien pour le telechargement?

merci :-)
Ajouter un commentaire
Réponse
+0
moins plus
afideg 9003Messages postés 10 octobre 2005Date d'inscription 5 mai 2012Dernière intervention 2 mars 2009 à 14:35
Bonjour,

Attention pour éviter de te faire réinfecter tu ne dois pas double-clic sur tes supports amovibles ou sur les partitions de ton disque dur mais de faire un clic droit et de choisir "Explorer", je t'en dirai plus ensuite

Télécharge combofix.exe http://download.bleepingcomputer.com/sUBs/ComboFix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).
Un guide et un tutoriel sur l'utilisation de ComboFix http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Assure-toi que tous les programmes sont fermés avant de commencer.
==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).

• Double-clique combofix.exe afin de l'exécuter.
Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
Ou bien --> Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
Laisse se dérouler le scan.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 50 étapes d’analyse)./i\
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copie-colle ce rapport dans ta prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).


Merci
Al

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
laalee 21Messages postés 2 mars 2009Date d'inscription 2 mars 2009 à 14:35
ok, je vais essayer.

pense tu que je dois desinstaller avast et spyware terminator, ou bien ca suffit si je les desactive?

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
afideg 9003Messages postés 10 octobre 2005Date d'inscription 5 mai 2012Dernière intervention 2 mars 2009 à 14:40
Re,

Tu peux les supprimer.


Le malware AMVA est associé aux groupes dénommés: KAVKOP:Trojan-A, Mal/EncPk-CE, Mal/RootKit-A, Gammima ou Hwang; et il se propage par les clés USB.
Il faut donc désinfecter le PC mais aussi tous les supports amovibles utilisés habituellement (Clés USB, disque dur externe, lecteurs MP3 ...)
Son action est assez banale mais:
- il crée l'entrée dans le registre
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- certains prétendent qu'il saisirait vos mots de passe ( ?).
- il crée un fichier autorun.inf dans toutes les partitions du système
- ce qui lance un fichier tel que “b.com” (ou par exemple “ xn1i9x.com”) qui relance l'infection dans d'autres fichiers, comme par exemple ceux qui se lancent au démarrage du PC.
- il fait des copies de lui-même dans <System>\amvo.exe
- il crée le genre de fichiers suivants:
<Temp>\fq9.dll
<Temp>\w2e.sys
<System>\amvo0.dll
En général avec ce genre de malware (même si AMVO.EXE vous laisse voir l'onglet d'affichage) on ne peut plus « afficher les fichiers cachés et fichiers système ».


Télécharger l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistrer Flash_Disinfector.exe sur le bureau.
Double-cliquer sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
Connecter au pc, clé USB, DD externe, susceptibles d'avoir été infectés. ===> et les laisser branchés tout au long des analyses (attention: pas de double-clic dessus !!) ==> les garder branchés lors des analyses ultérieures.
Puis cliquer sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: [Done!!]
Appuyer ensuite sur OK, pour faire réapparaître le bureau.
Il n'y aura pas de rapport.





Al.

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
laalee 21Messages postés 2 mars 2009Date d'inscription 2 mars 2009 à 14:57
ok, merci de m aider,
une dernière question avant de commencer:
jai tous mes supports amovibles branchés, dois-je lancer la procédure avec combofix maintenant, ou d'abord lancer desinfector?
(dans quel cas je vais du coup débrancher puis rebrancher tous mes supports si j'ai bien compris.)
merci!

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
afideg 9003Messages postés 10 octobre 2005Date d'inscription 5 mai 2012Dernière intervention 2 mars 2009 à 15:00
Re,

Commence par Flash_Disinfector
Garde les clés USB branchées
Lance ensuite ComboFix.

Al.

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
laalee 21Messages postés 2 mars 2009Date d'inscription 2 mars 2009 à 15:14
en lancant combofix un message apparait me disant qu il n y a pas de console de recuperation windows disponible sur mon ordi..., et que j aurais tout interet a l'installer et pour ce faire une connexion a internet active est indispensable.
paut tu maiguiller?!

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
afideg 9003Messages postés 10 octobre 2005Date d'inscription 5 mai 2012Dernière intervention 2 mars 2009 à 15:22
Re,

Dans le guide ComboFix, que je t'ai donné plus haut http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix tout est expliqué là http://img129.imageshack.us/img129/9097/screenshot522.png

Merci
Al.

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
laalee 21Messages postés 2 mars 2009Date d'inscription 2 mars 2009 à 15:41
voila le rapport,
en attendant je vais installer la console de récupération manuellement
at

ComboFix 09-03-01.01 - po 2009-03-02 15:31:24.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.292 [GMT 1:00]
Lancé depuis: c:\documents and settings\po\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090301-0] *On-access scanning disabled* (Updated)

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\IE4 Error Log.txt
D:\Autorun.inf
E:\Autorun.inf
E:\i6g6x.cmd
I:\Autorun.inf
I:\i6g6x.cmd
J:\Autorun.inf
J:\i6g6x.cmd

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-02 au 2009-03-02 ))))))))))))))))))))))))))))))))))))
.

2009-03-01 23:17 . 2009-03-01 23:17 <REP> d-------- c:\program files\Crawler
2009-02-15 01:24 . 2009-02-18 19:46 <REP> d-------- c:\windows\system32\CatRoot_bak
2009-02-12 19:28 . 2009-02-12 19:28 8,192 --ahs---- c:\windows\Thumbs.db
2009-02-12 19:28 . 2009-02-12 19:28 5,120 --ahs---- C:\Thumbs.db
2009-02-11 12:05 . 2009-02-11 12:05 <REP> d-------- c:\program files\KaraFun
2009-02-11 12:05 . 2009-02-11 12:05 <REP> d-------- c:\documents and settings\All Users\Application Data\Recisio
2009-02-11 03:39 . 2009-02-11 03:39 <REP> d-------- c:\program files\MSXML 4.0
2009-02-11 03:09 . 2008-10-16 11:38 1,024,000 -----c--- c:\windows\system32\dllcache\browseui.dll
2009-02-11 03:09 . 2008-10-16 11:38 663,552 -----c--- c:\windows\system32\dllcache\wininet.dll
2009-02-11 03:09 . 2008-10-16 11:38 474,624 -----c--- c:\windows\system32\dllcache\shlwapi.dll
2009-02-11 03:09 . 2008-10-16 11:38 449,024 -----c--- c:\windows\system32\dllcache\mshtmled.dll
2009-02-11 03:09 . 2008-10-16 11:38 357,888 -----c--- c:\windows\system32\dllcache\dxtmsft.dll
2009-02-11 03:09 . 2008-06-14 18:59 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-02-11 03:09 . 2008-10-16 11:38 205,312 -----c--- c:\windows\system32\dllcache\dxtrans.dll
2009-02-11 03:09 . 2008-10-16 11:38 152,064 -----c--- c:\windows\system32\dllcache\cdfview.dll
2009-02-11 03:09 . 2008-10-16 11:38 146,432 -----c--- c:\windows\system32\dllcache\msrating.dll
2009-02-11 03:08 . 2008-08-14 14:44 2,138,112 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-11 03:08 . 2008-09-15 16:39 1,846,144 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-02-11 03:08 . 2008-10-16 11:38 1,495,040 -----c--- c:\windows\system32\dllcache\shdocvw.dll
2009-02-11 03:08 . 2008-10-16 11:38 1,056,768 -----c--- c:\windows\system32\dllcache\danim.dll
2009-02-11 03:08 . 2008-10-16 11:38 617,984 -----c--- c:\windows\system32\dllcache\urlmon.dll
2009-02-11 03:08 . 2008-10-16 11:38 532,480 -----c--- c:\windows\system32\dllcache\mstime.dll
2009-02-11 03:08 . 2008-10-16 11:38 251,392 -----c--- c:\windows\system32\dllcache\iepeers.dll
2009-02-11 03:08 . 2008-10-16 11:38 96,768 -----c--- c:\windows\system32\dllcache\inseng.dll
2009-02-11 03:08 . 2008-10-16 11:38 55,808 -----c--- c:\windows\system32\dllcache\extmgr.dll
2009-02-11 03:08 . 2008-10-16 11:38 39,424 -----c--- c:\windows\system32\dllcache\pngfilt.dll
2009-02-11 03:08 . 2008-10-15 10:45 18,432 -----c--- c:\windows\system32\dllcache\iedw.exe
2009-02-11 03:08 . 2008-10-16 11:38 16,384 -----c--- c:\windows\system32\dllcache\jsproxy.dll
2009-02-11 03:07 . 2008-12-12 18:35 3,081,216 -----c--- c:\windows\system32\dllcache\mshtml.dll
2009-02-11 03:07 . 2008-08-14 14:44 2,182,400 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-11 03:07 . 2008-08-14 14:44 2,059,776 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-11 03:07 . 2008-08-14 14:44 2,017,792 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-11 03:06 . 2008-04-11 19:51 683,520 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-02-11 03:06 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-11 03:06 . 2008-12-11 12:57 333,184 -----c--- c:\windows\system32\dllcache\srv.sys
2009-02-11 03:06 . 2008-05-01 15:31 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-02-11 03:05 . 2008-09-04 17:45 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-02-11 03:05 . 2008-10-15 17:59 332,800 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-02-11 03:05 . 2008-10-03 11:17 247,326 -----c--- c:\windows\system32\dllcache\strmdll.dll
2009-02-11 03:02 . 2009-02-26 02:00 <REP> d--h----- c:\windows\$hf_mig$
2009-02-11 01:45 . 2001-08-23 17:47 8,704 --a------ c:\windows\system32\kbdjpn.dll
2009-02-11 01:45 . 2001-08-23 17:47 8,192 --a------ c:\windows\system32\kbdkor.dll
2009-02-11 01:45 . 2001-08-17 22:55 6,144 --a------ c:\windows\system32\kbd106.dll
2009-02-11 01:45 . 2001-08-17 22:55 6,144 --a------ c:\windows\system32\kbd101c.dll
2009-02-11 01:45 . 2001-08-17 22:55 6,144 --a------ c:\windows\system32\kbd101b.dll
2009-02-11 01:45 . 2001-08-17 22:55 5,632 --a------ c:\windows\system32\kbd103.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-28 14:25 --------- d-----w c:\documents and settings\po\Application Data\dvdcss
2009-02-13 21:06 --------- d-----w c:\program files\Macromedia
2009-02-13 14:34 --------- d-----w c:\program files\OpenOffice.org 2.0
2009-02-13 12:01 --------- d-----w c:\documents and settings\po\Application Data\OpenOffice.org2
2009-01-19 23:51 --------- d-----w c:\program files\Fichiers communs\Adobe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-19 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"NVRaidService"="c:\windows\system32\nvraidservice.exe" [2004-06-11 83968]
"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]
"Acrobat Assistant 7.0"="c:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2003-12-13 33792]
"QuickTime Task"="c:\program files\quicktime\qttask.exe" [2007-01-20 98304]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2005-07-15 25214]
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-07-15 110592]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14495:TCP"= 14495:TCP:NortonAV
"12981:TCP"= 12981:TCP:NortonAV
"17205:TCP"= 17205:TCP:NortonAV
"12520:TCP"= 12520:TCP:NortonAV
"16545:TCP"= 16545:TCP:NortonAV
"13397:TCP"= 13397:TCP:NortonAV
"17475:TCP"= 17475:TCP:NortonAV
"16217:TCP"= 16217:TCP:NortonAV
"15435:TCP"= 15435:TCP:NortonAV
"15418:TCP"= 15418:TCP:NortonAV
"16245:TCP"= 16245:TCP:NortonAV
"18167:TCP"= 18167:TCP:NortonAV
"14468:TCP"= 14468:TCP:NortonAV
"18206:TCP"= 18206:TCP:NortonAV
"16978:TCP"= 16978:TCP:NortonAV
"12502:TCP"= 12502:TCP:NortonAV

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-02-10 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-02-10 20560]
S3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\drivers\w200bus.sys [2008-03-02 61504]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\windows\system32\drivers\w200mdfl.sys [2008-03-02 9328]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\windows\system32\drivers\w200mdm.sys [2008-03-02 97056]
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w200mgmt.sys [2008-03-02 88560]
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;c:\windows\system32\drivers\w200obex.sys [2008-03-02 86368]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{acec32dd-f4c8-11d9-8ded-806d6172696f}]
\Shell\AutoRun\command - K:\ASUSACPI.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5aa89c4-8bda-11dc-85e6-0013d4cad5f0}]
\Shell\AutoRun\command - explorer.exe
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe
HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Crawler Search - tbr:iemenu
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-02 15:33:14
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-602162358-796845957-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Heure de fin: 2009-03-02 15:35:17
ComboFix-quarantined-files.txt 2009-03-02 14:34:59

Avant-CF: 2,943,078,400 octets libres
Après-CF: 4,687,433,728 octets libres

169 --- E O F --- 2009-02-26 01:30:15

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
afideg 9003Messages postés 10 octobre 2005Date d'inscription 5 mai 2012Dernière intervention 2 mars 2009 à 15:52
Re,
OK

A)- Poursuis avec ce "Scan en ligne de Kaspersky" http://webscanner.kaspersky.fr/ sous "Internet Explorer".
http://www.kaspersky.com/virusscanner
Branche ton Disque Externe (clé USB) éventuellement
- Clique là où la flèche de cette image l’indique http://img238.imageshack.us/my.php?image=screenshot456dg9.png (ouvrir l’image après clic sur « Show Adv Links », tu obtiens le lien direct qui affiche l’image)
- Clique maintenant sur "J'accepte".
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des "Mises à jour".
Clic sur « Paramètres d'analyse »
Coche la case "Étendue" >> Ok
- Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ».
- Sauvegarde puis colle le rapport généré en fin d'analyse.
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif

AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 >
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là :
http://www.infos-du-net.com/forum/267224-11-scan-ligne-kaspersky


B)- Télécharger OTListIt.exe depuis http://oldtimer.geekstogo.com/OTListIt.exe
Enregistrer ce fichier sur le Bureau.
Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur OTListIt.exe pour lancer l'outil.
Cocher la case située devant Scan All Users.
Cliquer sur le bouton Run Scan et laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant l'un des deux rapports.
Fermer le Bloc-notes.
Le second rapport est visible dans la Barre des tâches. Le fermer également.
Fermer la fenêtre de OTListIt.
Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*NOTE: Les deux rapports de OTListIt (contenu des fichiers OTListIt.txt et Extras.txt situés sur le Bureau).


Merci
Al.

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
laalee 21Messages postés 2 mars 2009Date d'inscription 2 mars 2009 à 19:16
ouf, cétait bien long!

voila le resultat du scan avec kaspersky.
par contre, je narrive pas a acceder a la page du site geekstogo...
cest p etre un bug passager, masi si tu pense a une autre solution?
merci

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, March 02, 2009 7:07:46 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 2/03/2009
Enregistrements dans la base antivirus Kaspersky : 1862247
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Statistiques de l'analyse:
Total d'objets analysés: 76911
Nombre de virus trouvés: 3
Nombre d'objets infectés: 24 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 02:04:44

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\po\Application Data\Teleca\Telecalib\Logging\Application logs\SpecificUSB_log.txt L'objet est verrouillé ignoré
C:\Documents and Settings\po\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\po\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\po\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\po\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\po\Local Settings\Historique\History.IE5\MSHist012009030220090303\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\po\Local Settings\Temp\~DF9E2D.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\po\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\po\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\po\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log L'objet est verrouillé ignoré
C:\Qoobox\Quarantine\E\i6g6x.cmd.vir Infecté : Trojan-GameThief.Win32.Magania.avwe ignoré
C:\Qoobox\Quarantine\I\i6g6x.cmd.vir Infecté : Trojan-GameThief.Win32.Magania.avwe ignoré
C:\Qoobox\Quarantine\J\i6g6x.cmd.vir Infecté : Trojan-GameThief.Win32.Magania.avwe ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP324\A0064556.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
C:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP324\A0064580.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
C:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP324\A0064584.exe Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
C:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP324\A0064645.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
C:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP326\A0064746.exe Infecté : Trojan-GameThief.Win32.Magania.avys ignoré
C:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP328\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_540.dat L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP324\A0064558.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
D:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP324\A0064582.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
D:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP324\A0064647.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
D:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP328\change.log L'objet est verrouillé ignoré
D:\wx8o0bt1.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
E:\wx8o0bt1.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
E:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP324\A0064511.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
E:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP324\A0064649.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
E:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP327\A0064831.cmd Infecté : Trojan-GameThief.Win32.Magania.avwe ignoré
E:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP328\change.log L'objet est verrouillé ignoré
H:\autorun.inf\lpt3.This folder was created by Flash_Disinfector L'objet est verrouillé ignoré
I:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP324\A0064513.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
I:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP324\A0064651.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
I:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP327\A0064832.cmd Infecté : Trojan-GameThief.Win32.Magania.avwe ignoré
I:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP328\change.log L'objet est verrouillé ignoré
I:\wx8o0bt1.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
J:\ICH WAR IN GOLD avid\Avid FatalErrorReports\Exception_2008.02.25_17.58.12 L'objet est verrouillé ignoré
J:\ICH WAR IN GOLD avid\Avid FatalErrorReports\Exception_2008.02.25_18.19.46 L'objet est verrouillé ignoré
J:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
J:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP324\A0064515.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
J:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP324\A0064653.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
J:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP327\A0064833.cmd Infecté : Trojan-GameThief.Win32.Magania.avwe ignoré
J:\System Volume Information\_restore{69E06DAB-6708-4FE6-8D36-5A667B6E01F7}\RP328\change.log L'objet est verrouillé ignoré
J:\wx8o0bt1.com Infecté : Trojan-Downloader.Win32.AntiVirus360.de ignoré
K:\autorun.inf\lpt3.This folder was created by Flash_Disinfector L'objet est verrouillé ignoré

Analyse terminée.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
afideg 9003Messages postés 10 octobre 2005Date d'inscription 5 mai 2012Dernière intervention 2 mars 2009 à 19:40
Re,
OK

A)- Désactive ta restauration système
(Clic simultanément sur les touches [Windows] et [Pause/Break]
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer], répondre “OUI” à la question, attendre, terminer par [OK])

B)- Arrêter puis redémarrer le PC

C)- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau.
OTMoveIt3 by OldTimer. http://oldtimer.geekstogo.com/OTMoveIt3.exe
2°- Double-cliquer sur OTMoveIt.exe pour le lancer.
3°- Dans le cadre de OTMoveIt3 : "Paste List of Files/Folders to be moved"
http://nsa01.casimages.com/img/2008/04/04/0804041233502840681.jpg
faire un copier/coller de cette liste en gras, telle quelle:

:processus
explorer.exe

:files
C:\Qoobox\Quarantine
D:\wx8o0bt1.com
E:\wx8o0bt1.com
I:\wx8o0bt1.com
J:\wx8o0bt1.com

:commands
[emptytemp]



4°- Clique sur le bouton rouge MoveIt! pour lancer la suppression.
Clique sur "Exit" pour fermer Fermer OTMoveIt3

5°- Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

6° Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log



C)- Garde toujours les clés branchées, et on vérifie si tout va bien avec ceci:
ScanOnline chez Bitdefender :
http://www.bitdefender.com/scan8/ie.html > ou < http://www.bitdefender.fr/scan_fr/scan8/ie.html >
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
http://download.bitdefender.com/resources/images/new_design/onlinescanner.gif
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.

•- Sauvegarde le rapport comme ceci:
Clic sur "Enregistrer sous..." > choisis « bureau » ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier HTML" (*.html
• > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.

==> le rapport de scan se trouverait également ici en : C:\windows\bdoscan8\scanres.txt ou scanres.html
Aide MALEKAL_morte < http://www.malekal.com/scan_Av_en_ligne.html >


D)- Ensuite réactive ta restauration système
Idem, mais tu décoches la case « Désactiver la restauration »
Termine par [Appliquer], répondre “OUI” à la question, attendre, terminer par [OK]


Après, nous tenterons d'optimiser et faire des mises à jour de sécurité.

Al.


Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
laalee 21Messages postés 2 mars 2009Date d'inscription 2 mars 2009 à 19:54
ok, a toute

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
afideg 9003Messages postés 10 octobre 2005Date d'inscription 5 mai 2012Dernière intervention 2 mars 2009 à 20:26
Voilà, c'est corrigé.
Tu peux appliquer
Merci
Al.

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
laalee 21Messages postés 2 mars 2009Date d'inscription 2 mars 2009 à 20:38
problème:

tout a l'heure je nai pas supprimé avast totalement, je lavais simplement desactiver lors des analyses.
maintenat en lancant OtMoveit, avast m'envoit un avertissement pour me dire que Kavos est entré
DANS les fichiers Moveit!
ici:
C:\_OTMoveIt\MovedFiles\03022009_203045\wx8o0bt1.com

est-ce que je supprime, met en quarantaine?
de toutes facons si ca fait comme avec les autres fois ca ne changera pas le problème...

ayayay///...

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
afideg 9003Messages postés 10 octobre 2005Date d'inscription 5 mai 2012Dernière intervention 2 mars 2009 à 20:43
C'est normal
Avast n'aime pas _OTMoveIt
avast!: clic droit sur l'icône dans la SysBarre (à coté de l'horloge), puis "Arrêter la protection résidente"

C'est pour ça, qu'il faudra optimiser le PC

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
laalee 21Messages postés 2 mars 2009Date d'inscription 2 mars 2009 à 20:45
Mmm

mais tout de meme c est etrange qu il me ressorte ce vers la, qui etait partout
wx8o0bt1

il le nomme Kavos en plus...

bon, je ne fais rien alors.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
afideg 9003Messages postés 10 octobre 2005Date d'inscription 5 mai 2012Dernière intervention 2 mars 2009 à 20:47
Non, il trouve là C:\_OTMoveIt\MovedFiles <-- la poubelle de _OTMoveIt
C'est après l'application de _OTMoveIt que tu as reçu cette alerte ?

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
laalee 21Messages postés 2 mars 2009Date d'inscription 2 mars 2009 à 20:53
non non, lalerte est arrivée pendant que Move it supprimait les fichiers.
jai desactivé avast qui s'affolait , puis move it ma demandé un reboot.

voila son rapport:

Merci :-)

Error: Unable to interpret <:processus > in the current context!
Error: Unable to interpret <explorer.exe > in the current context!
========== FILES ==========
C:\Qoobox\Quarantine\Registry_backups moved successfully.
C:\Qoobox\Quarantine\J moved successfully.
C:\Qoobox\Quarantine\I moved successfully.
C:\Qoobox\Quarantine\E moved successfully.
C:\Qoobox\Quarantine\D moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS moved successfully.
C:\Qoobox\Quarantine\C moved successfully.
C:\Qoobox\Quarantine moved successfully.
D:\wx8o0bt1.com moved successfully.
E:\wx8o0bt1.com moved successfully.
I:\wx8o0bt1.com moved successfully.
J:\wx8o0bt1.com moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\po\LOCALS~1\Temp\~DF998D.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_58c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03022009_203045

Files moved on Reboot...
C:\DOCUME~1\po\LOCALS~1\Temp\~DF998D.tmp moved successfully.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_58c.dat moved successfully.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
afideg 9003Messages postés 10 octobre 2005Date d'inscription 5 mai 2012Dernière intervention 2 mars 2009 à 20:56
Re,
Parfait.
Lance le scan en ligne avec BitDefender.
Garde les clés branchées.
Al.

Ajouter un commentaire
Ajouter un commentaire
1 2 Suivant
Posez votre question
Ce document intitulé « kavos trj sévit » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?
kavos trj sévit - page 2