Téléchargement
illégal
Posez votre question Signaler

Infection lovesan.a [Résolu]

farfadet1801 6Messages postés 24 novembre 2008Date d'inscription 30 avril 2011Dernière intervention - Dernière réponse le 24 nov. 2008 à 16:51
Bonjour,
En faisant un scan avec a² sur le pc d'un ami, il me trouve un fichier infecté par lovesan, à savoir :
C:\WINDOWS\system32\TFTP1820 Objets détectés : Net-Worm.Win32.Lovesan.a!A2
J'ai essayé 2 utilitaires de désinfection du virus lovesan qui n'ont rien trouvé.
A² me propose de le supprimer ou de le mettre en quarantaine. Ce document est-il important? Je peux le supprimer sans risque?
Merci d'avance pour votre aide.
Lire la suite 

Infection lovesan.a »

8 réponses
Réponse
+0
moins plus
dorgane 11223Messages postés 29 octobre 2006Date d'inscription 15 février 2012Dernière intervention 24 nov. 2008 à 13:27
Salut,
va ici :
http://www.eset.com/download/free-virus-remover.php

cherche dans la liste tu as utilitaire de désinfection.

 Ajouter un commentaire - Site web
farfadet1801 - 24 nov. 2008 à 13:33
Merci pour ta rapidité!
J'ai passé l'utilitaire de la liste pour Lovsan A-E, il ne trouve rien, comme les deux autres que j'avais utilisé précédemment...
Si tu as une autre idée...
Ajouter un commentaire
Réponse
+0
moins plus
dorgane 11223Messages postés 29 octobre 2006Date d'inscription 15 février 2012Dernière intervention 24 nov. 2008 à 13:36
ba peut etre que si ton antivirus la supprimé il n'y a plus rien...


1/
fait un scan en ligne avec internet explore, si tu as firefox fait:
démarrer -> executer -> tape : iexplore (puis valide)

BRANCHE TA OU TES CLE USB / LECTEUR EXTERNE ...

(coche toutes les cases à chaque fois) :
http://www.eset-nod32.fr/scanner.html

à la fin colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt

si ta besoin d'aide tu as un tutoriel ici : http://bibou0007.com/tutos-et-lexique-f45/tutorial-nod32-online-scanner-t128.htm

2/ Fait un scan avec malwarebyte :
telechargement et aide ici :
http://www.pcinfo-web.com/...
une fois fini le rapport s'ouvre copie le et supprime toute la selection.

3/
Ensuite une fois fini fait un rapport hijackthis :
http://www.01net.com/...

tu le télécharges, tu le lances et tu cliquera sur le premier bouton en haut "Do a system scan and save a logfile"
tu colleras le fichier texte ici ;).

PS : Ne fermes pas le programme

 Ajouter un commentaire - Site web
farfadet1801 - 24 nov. 2008 à 15:59
Voilà donc les différents rapports, sachant que Eset a trouvé la meme chose que a².
Merci pour votre aide.

Eset :

# version=4
# OnlineScanner.ocx=1.0.0.56
# OnlineScannerDLLA.dll=1, 0, 0, 51
# OnlineScannerDLLW.dll=1, 0, 0, 51
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3636 (20081124)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=92442f9f8a87a8418a091c59054368b4
# end=finished
# remove_checked=false
# unwanted_checked=true
# utc_time=2008-11-24 02:54:01
# local_time=2008-11-24 03:54:01 (+0100, Paris, Madrid)
# country="France"
# osver=5.1.2600 NT Service Pack 3
# scanned=224481
# found=1
# scan_time=7892
C:\WINDOWS\system32\TFTP1820 Win32/Lovesan.A worm A7B0AFC6D099B429DF1255E62D46E98F


Malwarebytes

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1416
Windows 5.1.2600 Service Pack 3

24/11/2008 15:24:35
mbam-log-2008-11-24 (15-24-34).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 77358
Temps écoulé: 1 hour(s), 22 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:57:42, on 24/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\a-squared Free\a2free.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Lucas LOPES\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/16b795e6ca7c54c6d615/netzip/RdxIE601_fr.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
Ajouter un commentaire
Réponse
+0
moins plus
dorgane 11223Messages postés 29 octobre 2006Date d'inscription 15 février 2012Dernière intervention 24 nov. 2008 à 16:27
# remove_checked=false
Tu n'as pas cochés la case de suppressions des infections !
relie biens le liens d'aide et ce que j'ai dis et relance l'analyse en ligne !

 Ajouter un commentaire - Site web
farfadet1801 - 24 nov. 2008 à 16:36
Ouaisn en fait je l'ai décoché volontairement de peur qu'il supprime un truc important pour le fonctionnement du PC...
Mais si tu me dis que je doit laisser cette case cochée, je te fais confiance.
Par contre, je ne serai plus chez mon pote dans 2 heures, quand le scan terminera. Le rapport devrait être le même sauf qu'il aura supprimé cet élément c'est ça?
Est-ce qu'on pourra considérer que c'est ok?
Merci
Ajouter un commentaire
Réponse
+0
moins plus
dorgane 11223Messages postés 29 octobre 2006Date d'inscription 15 février 2012Dernière intervention 24 nov. 2008 à 16:46
dans ton rapport il a détecter :

fichiers :
C:\WINDOWS\system32\TFTP1820

virus :
Win32/Lovesan.A worm

identification :
A7B0AFC6D099B429DF1255E62D46E98F

Aucune action de faite sinon sa aurai ete mis : delete ou équivalent.
Donc si tu coche la case il supprimera que ca...

et ca devrait etre bon sauf s'il met : delete after reboot
que ca signifie qu'il te faudra redemarrer le pc.

 Ajouter un commentaire - Site web
farfadet1801 - 24 nov. 2008 à 16:51
Ok ça roule, je te remercie pour ton aide.
Je mettrai le sujet en résolu demain, quand j'aurai confirmation que ça a bien marché.
Ajouter un commentaire
Posez votre question
Ce document intitulé « infection lovesan.a » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
5 extensions si vous voulez revenir à l'ancien Facebook