Trojan-rootkit 1835 : comment réparer ?
Résolu/Fermé
curtis93200
Messages postés
32
Date d'inscription
mardi 15 décembre 2009
Statut
Membre
Dernière intervention
22 novembre 2010
-
15 déc. 2009 à 12:45
Utilisateur anonyme - 18 déc. 2009 à 11:11
Utilisateur anonyme - 18 déc. 2009 à 11:11
A voir également:
- Trojan-rootkit 1835 : comment réparer ?
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan b901 ✓ - Forum Virus
- Csrss.exe trojan ✓ - Forum Virus
- [Virus] Trojan ou virus dans csrss.exe et spo - Forum Virus
- Trojan wacatac ✓ - Forum Virus
16 réponses
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
15 déc. 2009 à 13:00
15 déc. 2009 à 13:00
Salut
Apparament, ce serai un faux positif* détecté par ClamWin.
Voir ici http://forums.clamwin.com/viewtopic.php?p=11250#11250 le dernier post effectué par l'Admin du forum ClamWin Free Antivirus
* Un faux positif est une erreur de jugement d'un programme de détection, qui va réagir et renvoyer une alerte alors qu'il n'y a pas lieu de le faire.
Pour un antivirus, cela se produit lorsque le programme scanne un fichier sain et le déclare infecté (positif pour son test) alors qu'il ne l'est pas..
Pour vérifier, fais ce Scan en ligne Kaspersky.
Rends toi sur https://www.kaspersky.fr/downloads avec Internet explorer et
* Clique sur Accept
* Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
* Clique une nouvelle fois sur "Accept"
* Les bases de mises à jour vont s'installer, patiente un moment.
* Clique sur Next.
* Clique sur My Computer, le scan se met en route.
Attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
* A la fin du scan, si des objets infectés sont découverts, clique sur Save report as...
* Choisis Bureau et nomme le rapport "Rapport Kaspersky"
* Dans le champ d'enregistrement, choisis "Fichiers texte" enregistre alors le rapport.
--> Copie/colle le fichier texte ouvert en intégralité, en faisant un clic droit dessus, sélectionner tout/copier puis colle ce rapport dans ta prochaine réponse.
Apparament, ce serai un faux positif* détecté par ClamWin.
Voir ici http://forums.clamwin.com/viewtopic.php?p=11250#11250 le dernier post effectué par l'Admin du forum ClamWin Free Antivirus
* Un faux positif est une erreur de jugement d'un programme de détection, qui va réagir et renvoyer une alerte alors qu'il n'y a pas lieu de le faire.
Pour un antivirus, cela se produit lorsque le programme scanne un fichier sain et le déclare infecté (positif pour son test) alors qu'il ne l'est pas..
Pour vérifier, fais ce Scan en ligne Kaspersky.
Rends toi sur https://www.kaspersky.fr/downloads avec Internet explorer et
* Clique sur Accept
* Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
* Clique une nouvelle fois sur "Accept"
* Les bases de mises à jour vont s'installer, patiente un moment.
* Clique sur Next.
* Clique sur My Computer, le scan se met en route.
Attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
* A la fin du scan, si des objets infectés sont découverts, clique sur Save report as...
* Choisis Bureau et nomme le rapport "Rapport Kaspersky"
* Dans le champ d'enregistrement, choisis "Fichiers texte" enregistre alors le rapport.
--> Copie/colle le fichier texte ouvert en intégralité, en faisant un clic droit dessus, sélectionner tout/copier puis colle ce rapport dans ta prochaine réponse.
Utilisateur anonyme
15 déc. 2009 à 13:00
15 déc. 2009 à 13:00
salut :
▶ Télécharge : Gmer (by Przemyslaw Gmerek)
▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
Ensuite
▶ sur les lignes rouge:
▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
▶ Télécharge : Gmer (by Przemyslaw Gmerek)
▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
Ensuite
▶ sur les lignes rouge:
▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
curtis93200
Messages postés
32
Date d'inscription
mardi 15 décembre 2009
Statut
Membre
Dernière intervention
22 novembre 2010
15 déc. 2009 à 13:46
15 déc. 2009 à 13:46
Salut !
merci de ta réponse !
j'ai suivi tes conseils.
pour le coup le trojan m'a envoyé une preuve de son existence ! ^^
pendant le scan l'ordi a redemarré !
ensuite une petite fenêtre m'indique que le système a récupéré d'une erreur sérieuse...j'envoie le rapport d'erreur, qui me redirige vers une page Microsoft qui m'informe de ceci :
Vous avez reçu ce message parce qu''un pilote de périphérique installé sur votre ordinateur a provoqué l''arrêt inattendu du système d''exploitation Windows. Ce type d''erreur est appelé « erreur d''arrêt ». Une erreur d''arrêt nécessite le redémarrage de votre ordinateur.
visiblement le trojan-rootkit a bien corrompu des pilotes...
quelqu'un a une idée avant formatage ? parce que là c'est du lourd (^_^)
merci de ton aide !
merci de ta réponse !
j'ai suivi tes conseils.
pour le coup le trojan m'a envoyé une preuve de son existence ! ^^
pendant le scan l'ordi a redemarré !
ensuite une petite fenêtre m'indique que le système a récupéré d'une erreur sérieuse...j'envoie le rapport d'erreur, qui me redirige vers une page Microsoft qui m'informe de ceci :
Vous avez reçu ce message parce qu''un pilote de périphérique installé sur votre ordinateur a provoqué l''arrêt inattendu du système d''exploitation Windows. Ce type d''erreur est appelé « erreur d''arrêt ». Une erreur d''arrêt nécessite le redémarrage de votre ordinateur.
visiblement le trojan-rootkit a bien corrompu des pilotes...
quelqu'un a une idée avant formatage ? parce que là c'est du lourd (^_^)
merci de ton aide !
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
15 déc. 2009 à 14:01
15 déc. 2009 à 14:01
Fait ce que dit Gen Hackman au dessus et poste le rapport stp...
Utilisateur anonyme
15 déc. 2009 à 14:07
15 déc. 2009 à 14:07
sinon j ai proposé quelque chose au post2 si ca peut etre utile....salut jorginho
curtis93200
Messages postés
32
Date d'inscription
mardi 15 décembre 2009
Statut
Membre
Dernière intervention
22 novembre 2010
15 déc. 2009 à 17:02
15 déc. 2009 à 17:02
Salut !
bon le scan Gmer je n'ai pas réussi à le sauvegarder :(
par contre pour en avoir le cœur net, ce que j'ai fait, les 6 fichiers "infectés" je les ai copiés dans un autre dossier et là je les ai REscannés avec Clamwin...qui les a trouvés propres, cette-fois ci !
j'ai donc supprimée la mention "infected" de leur extension, et je les ai remis à leur emplacement, là où m'indiquait l'assistant ajout de matériel.
donc j'ai pu réinstaller mes CD-ROM !
pour le moment j'ai internet, je poste du même ordi. pourvu que ça dure ! (^_^)
merci pour votre aide !
sinon pour faire un point sur ma sécurité, bah j'ai l'antivirus gratuit AVG 9. le parefeu windows a été désactivé par une attaque, je ne l'ai pas réactivé, je crois que c'est une passoire..je nettoie avec CCleaner à chaque fermeture, et je fais des scans avec Clamwin souvent.
à votre avis, qu'est-ce que je pourrais faire pour inspecter l'ordi davantage, et améliorer la protection ?
merci de vos conseils !
bon le scan Gmer je n'ai pas réussi à le sauvegarder :(
par contre pour en avoir le cœur net, ce que j'ai fait, les 6 fichiers "infectés" je les ai copiés dans un autre dossier et là je les ai REscannés avec Clamwin...qui les a trouvés propres, cette-fois ci !
j'ai donc supprimée la mention "infected" de leur extension, et je les ai remis à leur emplacement, là où m'indiquait l'assistant ajout de matériel.
donc j'ai pu réinstaller mes CD-ROM !
pour le moment j'ai internet, je poste du même ordi. pourvu que ça dure ! (^_^)
merci pour votre aide !
sinon pour faire un point sur ma sécurité, bah j'ai l'antivirus gratuit AVG 9. le parefeu windows a été désactivé par une attaque, je ne l'ai pas réactivé, je crois que c'est une passoire..je nettoie avec CCleaner à chaque fermeture, et je fais des scans avec Clamwin souvent.
à votre avis, qu'est-ce que je pourrais faire pour inspecter l'ordi davantage, et améliorer la protection ?
merci de vos conseils !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
15 déc. 2009 à 18:55
15 déc. 2009 à 18:55
changer d'antivirus
curtis93200
Messages postés
32
Date d'inscription
mardi 15 décembre 2009
Statut
Membre
Dernière intervention
22 novembre 2010
15 déc. 2009 à 20:20
15 déc. 2009 à 20:20
bonne idée ! avant j'avais avast mais c'est une brouette, il ralentit trop le système et le scan est très lent.
que penses-tu d'avira antivir ?
que penses-tu d'avira antivir ?
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
15 déc. 2009 à 20:28
15 déc. 2009 à 20:28
Si tu veux l'essayer,
Télécharge AVIRA Antivir sur le lien suivant.
http://dlce.antivir.com/down/windows/antivir_workstation_winu_fr_h.exe
Ensuite hors connexion supprime AVG
Sur le site AVG, ils te conseillent de proceder comme ceci:
Télécharger la version actuelle du fichier d'installation d'AVG à l'adresse http://www.avg.com/doc/programs et exécutez ensuite ce fichier pour lancer la procédure d'installation.
L'écran suivant s'ouvre lors d'une procédure d'installation :
Add/Remove Components (Ajouter/Supprimer des composants) - Indiquez si vous souhaitez ajouter/supprimer des composants AVG ou réinstaller l'ensemble du programme AVG.
Repair installation (Réparer l'installation) - Cette option répare ou réinstalle des composants endommagés ou manquants du programme AVG.
Uninstall (Désinstaller) - Cette option supprime le programme AVG de l'ordinateur.
Si ça marche pas tiens nous au courant.
Decoche aussi AVG (Avg antivirus : Avgcc) au demarrage de Windows, si il se trouve encore.
Menu demarrer/recherche/taper MSCONFIG, cliquer sur Msconfig puis dans la fenetre "configuration du systeme" cliquer sur l' onglet "Demarrage"
Tu peux aussi telecharger un nouveau module pour desinstaller AVG.
[ http://download.avg.com/filedir/util/avg_arm_sup_____.dir/avgremover.exe pour Windows XP ou Vista 32 bit].
pour Vista 64 bit.
===========================
Installe ANTIVIR...
Paramètre le comme expliqué sur ce Tutoriel en images
Reconnecte toi, fais les mises à jours Antivir... tu seras mieux protégé !
Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion.
Assure toi qu'Antivir est bien à jour, ( clic droit sur le parapluie => Start Update ) et laisse faire la MàJ.
Pour vérifier que ton PC soit propre
Redémarre en mode sans échec !
Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l'onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.
Redémarre en mode normal.
Poste le rapport ici.
Télécharge AVIRA Antivir sur le lien suivant.
http://dlce.antivir.com/down/windows/antivir_workstation_winu_fr_h.exe
Ensuite hors connexion supprime AVG
Sur le site AVG, ils te conseillent de proceder comme ceci:
Télécharger la version actuelle du fichier d'installation d'AVG à l'adresse http://www.avg.com/doc/programs et exécutez ensuite ce fichier pour lancer la procédure d'installation.
L'écran suivant s'ouvre lors d'une procédure d'installation :
Add/Remove Components (Ajouter/Supprimer des composants) - Indiquez si vous souhaitez ajouter/supprimer des composants AVG ou réinstaller l'ensemble du programme AVG.
Repair installation (Réparer l'installation) - Cette option répare ou réinstalle des composants endommagés ou manquants du programme AVG.
Uninstall (Désinstaller) - Cette option supprime le programme AVG de l'ordinateur.
Si ça marche pas tiens nous au courant.
Decoche aussi AVG (Avg antivirus : Avgcc) au demarrage de Windows, si il se trouve encore.
Menu demarrer/recherche/taper MSCONFIG, cliquer sur Msconfig puis dans la fenetre "configuration du systeme" cliquer sur l' onglet "Demarrage"
Tu peux aussi telecharger un nouveau module pour desinstaller AVG.
[ http://download.avg.com/filedir/util/avg_arm_sup_____.dir/avgremover.exe pour Windows XP ou Vista 32 bit].
pour Vista 64 bit.
===========================
Installe ANTIVIR...
Paramètre le comme expliqué sur ce Tutoriel en images
Reconnecte toi, fais les mises à jours Antivir... tu seras mieux protégé !
Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion.
Assure toi qu'Antivir est bien à jour, ( clic droit sur le parapluie => Start Update ) et laisse faire la MàJ.
Pour vérifier que ton PC soit propre
Redémarre en mode sans échec !
Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l'onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.
Redémarre en mode normal.
Poste le rapport ici.
curtis93200
Messages postés
32
Date d'inscription
mardi 15 décembre 2009
Statut
Membre
Dernière intervention
22 novembre 2010
15 déc. 2009 à 22:44
15 déc. 2009 à 22:44
salut
j'ai installé avira, il ne m'a rien trouvé, voici le rapport :
Avira AntiVir Personal
Date de création du fichier de rapport : mardi 15 décembre 2009 22:22
La recherche porte sur 1448949 souches de virus.
Détenteur de la licence :Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Mode sans échec
Identifiant : Brautigan
Nom de l'ordinateur :JEAN-PHILIPPE
Informations de version :
BUILD.DAT : 8.2.0.62 17752 Bytes 23/10/2009 13:16:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:09:30
ANTIVIR1.VDF : 7.10.1.11 1395568 Bytes 19/11/2009 20:09:35
ANTIVIR2.VDF : 7.10.2.4 995744 Bytes 15/12/2009 20:09:40
ANTIVIR3.VDF : 7.10.2.5 45568 Bytes 15/12/2009 20:09:40
Version du moteur: 8.2.1.108
AEVDF.DLL : 8.1.1.2 106867 Bytes 15/12/2009 20:09:54
AESCRIPT.DLL : 8.1.3.2 582010 Bytes 15/12/2009 20:09:53
AESCN.DLL : 8.1.3.0 127348 Bytes 15/12/2009 20:09:52
AESBX.DLL : 8.1.1.1 246132 Bytes 15/12/2009 20:09:51
AERDL.DLL : 8.1.3.4 479605 Bytes 15/12/2009 20:09:51
AEPACK.DLL : 8.2.0.3 422261 Bytes 15/12/2009 20:09:50
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 15/12/2009 20:09:49
AEHEUR.DLL : 8.1.0.186 2183544 Bytes 15/12/2009 20:09:48
AEHELP.DLL : 8.1.8.0 237942 Bytes 15/12/2009 20:09:44
AEGEN.DLL : 8.1.1.80 364917 Bytes 15/12/2009 20:09:43
AEEMU.DLL : 8.1.1.0 393587 Bytes 15/12/2009 20:09:42
AECORE.DLL : 8.1.9.1 180598 Bytes 15/12/2009 20:09:41
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 15/12/2009 20:09:41
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Disques durs locaux
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\alldiscs.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, G:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Début de la recherche : mardi 15 décembre 2009 22:22
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'11' processus ont été contrôlés avec '11' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '49' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'G:\' <Disque local >
Fin de la recherche : mardi 15 décembre 2009 22:33
Temps nécessaire: 10:51 Minute(s)
La recherche a été effectuée intégralement
3841 Les répertoires ont été contrôlés
162398 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
162397 Fichiers non infectés
1288 Les archives ont été contrôlées
1 Avertissements
0 Consignes
par contre moins bonne nouvelle, en supprimant le démarrage d'avg, je trouve un nouveau programme de démarrage :
programme : KernelFaultCheck
fichier :%systemroot%\system32\dumprep 0 -k
ça n'a pas l'air méchant mais il n'y était pas avant....
j'ai installé avira, il ne m'a rien trouvé, voici le rapport :
Avira AntiVir Personal
Date de création du fichier de rapport : mardi 15 décembre 2009 22:22
La recherche porte sur 1448949 souches de virus.
Détenteur de la licence :Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Mode sans échec
Identifiant : Brautigan
Nom de l'ordinateur :JEAN-PHILIPPE
Informations de version :
BUILD.DAT : 8.2.0.62 17752 Bytes 23/10/2009 13:16:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:09:30
ANTIVIR1.VDF : 7.10.1.11 1395568 Bytes 19/11/2009 20:09:35
ANTIVIR2.VDF : 7.10.2.4 995744 Bytes 15/12/2009 20:09:40
ANTIVIR3.VDF : 7.10.2.5 45568 Bytes 15/12/2009 20:09:40
Version du moteur: 8.2.1.108
AEVDF.DLL : 8.1.1.2 106867 Bytes 15/12/2009 20:09:54
AESCRIPT.DLL : 8.1.3.2 582010 Bytes 15/12/2009 20:09:53
AESCN.DLL : 8.1.3.0 127348 Bytes 15/12/2009 20:09:52
AESBX.DLL : 8.1.1.1 246132 Bytes 15/12/2009 20:09:51
AERDL.DLL : 8.1.3.4 479605 Bytes 15/12/2009 20:09:51
AEPACK.DLL : 8.2.0.3 422261 Bytes 15/12/2009 20:09:50
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 15/12/2009 20:09:49
AEHEUR.DLL : 8.1.0.186 2183544 Bytes 15/12/2009 20:09:48
AEHELP.DLL : 8.1.8.0 237942 Bytes 15/12/2009 20:09:44
AEGEN.DLL : 8.1.1.80 364917 Bytes 15/12/2009 20:09:43
AEEMU.DLL : 8.1.1.0 393587 Bytes 15/12/2009 20:09:42
AECORE.DLL : 8.1.9.1 180598 Bytes 15/12/2009 20:09:41
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 15/12/2009 20:09:41
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Disques durs locaux
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\alldiscs.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, G:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Début de la recherche : mardi 15 décembre 2009 22:22
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'11' processus ont été contrôlés avec '11' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '49' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'G:\' <Disque local >
Fin de la recherche : mardi 15 décembre 2009 22:33
Temps nécessaire: 10:51 Minute(s)
La recherche a été effectuée intégralement
3841 Les répertoires ont été contrôlés
162398 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
162397 Fichiers non infectés
1288 Les archives ont été contrôlées
1 Avertissements
0 Consignes
par contre moins bonne nouvelle, en supprimant le démarrage d'avg, je trouve un nouveau programme de démarrage :
programme : KernelFaultCheck
fichier :%systemroot%\system32\dumprep 0 -k
ça n'a pas l'air méchant mais il n'y était pas avant....
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
15 déc. 2009 à 23:44
15 déc. 2009 à 23:44
Surtout, le plus important.
Recherche de Rootkits............: arrêt
1) clic droit sur le parasol rouge => cpnfigurer Avira
2) sélectionne Mode Expert
3) sélectionne Recherche de Rootkits.
Regarde ici comment => https://i17.servimg.com/u/f17/12/07/60/27/avira10.png
Recherche de Rootkits............: arrêt
1) clic droit sur le parasol rouge => cpnfigurer Avira
2) sélectionne Mode Expert
3) sélectionne Recherche de Rootkits.
Regarde ici comment => https://i17.servimg.com/u/f17/12/07/60/27/avira10.png
curtis93200
Messages postés
32
Date d'inscription
mardi 15 décembre 2009
Statut
Membre
Dernière intervention
22 novembre 2010
16 déc. 2009 à 10:26
16 déc. 2009 à 10:26
Salut
en fait la version d'Antivir dans ton lien est périmée, une fois redémarré, la mise à jour a installé la dernière version..version 9
qui n'a rien trouvé non plus
mais la connexion a planté quand même !
en fait la version d'Antivir dans ton lien est périmée, une fois redémarré, la mise à jour a installé la dernière version..version 9
qui n'a rien trouvé non plus
mais la connexion a planté quand même !
Utilisateur anonyme
16 déc. 2009 à 11:41
16 déc. 2009 à 11:41
curtis93200
Messages postés
32
Date d'inscription
mardi 15 décembre 2009
Statut
Membre
Dernière intervention
22 novembre 2010
17 déc. 2009 à 12:22
17 déc. 2009 à 12:22
Salut
un petit bonjour pour vous dire que j'ai préféré formater :(
merci à vous deux pour vos conseils en matière de sécurité ! le tuto d'antivir est très bien ;o)
je fais aussi parfois un scan avec Malwarebyte's AntiMalware, et avec les anti-rootkit de Trend Micro :
RootkitBuster et HouseCall launcher.
par contre je n'ai que le pare-feu Windows, je pense qu'il faudrait un pare-feu entrant et sortant ?
est-ce que Kerio est bien ?
merci beaucoup à vous 2 !
un petit bonjour pour vous dire que j'ai préféré formater :(
merci à vous deux pour vos conseils en matière de sécurité ! le tuto d'antivir est très bien ;o)
je fais aussi parfois un scan avec Malwarebyte's AntiMalware, et avec les anti-rootkit de Trend Micro :
RootkitBuster et HouseCall launcher.
par contre je n'ai que le pare-feu Windows, je pense qu'il faudrait un pare-feu entrant et sortant ?
est-ce que Kerio est bien ?
merci beaucoup à vous 2 !
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
17 déc. 2009 à 12:35
17 déc. 2009 à 12:35
Bon, puisque tu as préféré formater...
Kério est un bon pare feu.
Comodo également.
Liens de download et tutos de configuration
========== /!\ Bien lire les Tutos pour un parametrage optimal /!\ ==========
* ComodoFirewallPro 2.4 En Français, performant , léger et simple .
Téléchargement
tutorial d'instalation => clique sur "Comodo au plus simple (pour les débutants)" .
Attention la 3.0 est en anglais uniquement et est plus difficile a paramétrer
* Tuto de config'
---------------------------------------------------------------------------------------
* Zone Alarm En Français et le plus simple d'utilisation.
* Tuto et lien de téléchargement
---------------------------------------------------------------------------------------
* Kerio Efficace mais un poil plus compliqué.
* Tuto et lien de téléchargement
autre lien
================================================================
Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement, et avant l'installation (déconnecte toi du Net à ce moment là).
Kério est un bon pare feu.
Comodo également.
Liens de download et tutos de configuration
========== /!\ Bien lire les Tutos pour un parametrage optimal /!\ ==========
* ComodoFirewallPro 2.4 En Français, performant , léger et simple .
Téléchargement
tutorial d'instalation => clique sur "Comodo au plus simple (pour les débutants)" .
Attention la 3.0 est en anglais uniquement et est plus difficile a paramétrer
* Tuto de config'
---------------------------------------------------------------------------------------
* Zone Alarm En Français et le plus simple d'utilisation.
* Tuto et lien de téléchargement
---------------------------------------------------------------------------------------
* Kerio Efficace mais un poil plus compliqué.
* Tuto et lien de téléchargement
autre lien
================================================================
Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement, et avant l'installation (déconnecte toi du Net à ce moment là).
Utilisateur anonyme
17 déc. 2009 à 14:49
17 déc. 2009 à 14:49
ou Online Armor
curtis93200
Messages postés
32
Date d'inscription
mardi 15 décembre 2009
Statut
Membre
Dernière intervention
22 novembre 2010
18 déc. 2009 à 02:44
18 déc. 2009 à 02:44
hello
finalement depuis le formatage, Clamwin est le seul scan à me trouver des prétendus trojans...
si je fais l'action conseillée (bloquer l'accès) je n'ai plus de connexion, et je dois redémarrer avec la dernière bonne configuration connue ! normal, s'il me bloque des fichiers systèmes....
on peut donc conclure qu'il s'agissait bien d'un faux positif de Clamwin !
tout ça pour ça ;o)
j'ai essayé comodo, il transforme mon modeste XP à 1 Go de RAM en brouette qui n'arrive même plus à afficher les pages (délai d'attente dépassé)
je vais en essayer d'autres.
pour moi on peut clore ce fil !
merci pour les conseils et les tutos
baïlle ;o)
finalement depuis le formatage, Clamwin est le seul scan à me trouver des prétendus trojans...
si je fais l'action conseillée (bloquer l'accès) je n'ai plus de connexion, et je dois redémarrer avec la dernière bonne configuration connue ! normal, s'il me bloque des fichiers systèmes....
on peut donc conclure qu'il s'agissait bien d'un faux positif de Clamwin !
tout ça pour ça ;o)
j'ai essayé comodo, il transforme mon modeste XP à 1 Go de RAM en brouette qui n'arrive même plus à afficher les pages (délai d'attente dépassé)
je vais en essayer d'autres.
pour moi on peut clore ce fil !
merci pour les conseils et les tutos
baïlle ;o)
Une alerte est toujours suspicieuse..verifier si elle provient de l'anti-virus en charge..simple...
curtis93200
Messages postés
32
Date d'inscription
mardi 15 décembre 2009
Statut
Membre
Dernière intervention
22 novembre 2010
18 déc. 2009 à 10:51
18 déc. 2009 à 10:51
Bonjour,
je crois que ce que gen-hackman veux dire c'est : relis bien le début du fil...;o)
je suis retourné sur le forum de Clamwin, leur administrateur a conclu que trojan-rootkit 1835 est un faux positif.
http://forums.clamwin.com/viewtopic.php?t=2657
dont acte. c'est bien de lire attentivement les liens, comme quoi....
pas de regrets, je repars avec un système tout neuf et une sécurité bien configurée.
j'ai choisi le pare-feu sunbelt personal firewall / ex-kerio.
très bon tuto :
https://kerio.probb.fr/t250-tuto-sunbelt-personal-firewall-4-6
merci à tous
à bientôt
curtis
je crois que ce que gen-hackman veux dire c'est : relis bien le début du fil...;o)
je suis retourné sur le forum de Clamwin, leur administrateur a conclu que trojan-rootkit 1835 est un faux positif.
http://forums.clamwin.com/viewtopic.php?t=2657
dont acte. c'est bien de lire attentivement les liens, comme quoi....
pas de regrets, je repars avec un système tout neuf et une sécurité bien configurée.
j'ai choisi le pare-feu sunbelt personal firewall / ex-kerio.
très bon tuto :
https://kerio.probb.fr/t250-tuto-sunbelt-personal-firewall-4-6
merci à tous
à bientôt
curtis
15 déc. 2009 à 13:18
merci pour ta réponse rapide !
j'ai déjà lu à propos de cette histoire de faux positif, mais j'ai vu aussi que ce rootkit existe bel et bien....et je pense qu'il est dans la machine puisqu'il a pris les commandes ! (déconnexion internet)...j'ai oublié de préciser, avant la mise en quarantaine un processus s'était inscrit au démarrage, je l'avais supprimé avec CCleaner mais je le voyais s'exécuter quand même..(un coup de "sablier" en plus)
merci pour le bon conseil de scan Kapersky ! hélas il n'est pas disponible en ce moment !
merci beaucoup de ton aide
15 déc. 2009 à 13:25
Essaye ici avec Bitdefender
https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender
Il y a un tuto sur comment faire.
15 déc. 2009 à 14:03
impossible d'installer BitDefender sur internet explorer, je me doute que c'est beaucoup moins intéressant du coup..je l'ai fait tourner sur mozilla firefox, il n'a rien trouvé.
est-ce que ce n'est pas dû au fait que les 6 fichiers infectés sont dans la quarantaine de Clamwin ? peut-être qu'ils ne sont pas accessibles du coup ?
ah c'est pô facile..