jojo la fleur bleue
Messages postés175Date d'inscriptionmardi 19 septembre 2006StatutMembreDernière intervention 5 mai 2018
-
7 mars 2010 à 11:23
jojo la fleur bleue
Messages postés175Date d'inscriptionmardi 19 septembre 2006StatutMembreDernière intervention 5 mai 2018
-
11 avril 2010 à 11:16
Bonjour,
Ce matin, en pouvrant mon PC, un message de mon antivirus 'Avira" est apparu me disant qu'un objet suspect, virus a été trouvé dans mon ordi
Il s'agit de Worm/Palevo.usu.7 J'ai tenté de le supprimer mais le message revenait à chaque fois
Du coup, je l'ai mis en quarantaine.
J'ai ensuite fait un scan avec Avira et voilà le résultat
Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 7 mars 2010 09:38 La recherche porte sur 1820270 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : ACER-6281EFDEF1
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Début de la recherche : dimanche 7 mars 2010 09:38
La recherche d'objets cachés commence.
'65682' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'thunderbird.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WMPNSCFG.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSNMSGR.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MemCleaner.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QtZgAcer.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'PCMService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Keyhook.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RUNDLL32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'AGRSMMSG.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPLpr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ycy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EXPLORER.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'ALG.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'WMIAPSRV.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'WMPNETWK.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'JQS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'AVGUARD.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'anbmServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'a2service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SCHED.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SPOOLSV.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'LSASS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SERVICES.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'WINLOGON.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'CSRSS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SMSS.EXE' - '1' module(s) sont contrôlés
'47' processus ont été contrôlés avec '47' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '55' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\' <ACER>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP1294\A0126372.EXE
[RESULTAT] Contient le modèle de détection du ver WORM/Palevo.vsv.7
Recherche débutant dans 'D:\' <ACERDATA>
Début de la désinfection :
C:\System Volume Information\_restore{0E53C2D2-603D-4B01-84F6-6DE602018BFB}\RP1294\A0126372.EXE
[RESULTAT] Contient le modèle de détection du ver WORM/Palevo.vsv.7
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bc47b4e.qua' !
Fin de la recherche : dimanche 7 mars 2010 11:08
Temps nécessaire: 1:29:09 Heure(s)
La recherche a été effectuée intégralement
6789 Les répertoires ont été contrôlés
269582 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
269579 Fichiers non infectés
7634 Les archives ont été contrôlées
2 Avertissements
3 Consignes
65682 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Quelqu'un peut 'il m'aider à supprimer "la bête" SVP?
pour renseignement complémentaire, je me souviens d'avoir accepté un lien venant d'un de mes contact MSN (sans que celui-ci ne me l'avait vraiment envoyé)
ton rapport antivir montre bien l'infection et la mise en quarentaine .tu ne devrais plus avoir de soucus avec worm.
Pour analyser ton pc.
• Télécharge [https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag ( de Nicolas coolman ).
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
jojo la fleur bleue
Messages postés175Date d'inscriptionmardi 19 septembre 2006StatutMembreDernière intervention 5 mai 201816 9 mars 2010 à 14:11
Bonjour Nanard
je n'arrivais pas à poster le résultat de l'analyse faite avec ZHPDiag
J'ai donc recommencé aujourd'hui et voilà le lien
http://www.cijoint.fr/cjlink.php?file=cj201003/cijYhzasdc.txt
J'ai également refais un scan avec avira et il a trouvé deux objets suspects:
TR/Drop.Agent.ehs
je pense avoir supprimer
Utilisateur anonyme
>
jojo la fleur bleue
Messages postés175Date d'inscriptionmardi 19 septembre 2006StatutMembreDernière intervention 5 mai 2018 9 mars 2010 à 22:52
• Télécharge et installe : Malwarebyte’s Anti-Malware • (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
• Si tu as besoin d’aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
jojo la fleur bleue
Messages postés175Date d'inscriptionmardi 19 septembre 2006StatutMembreDernière intervention 5 mai 201816
>
Utilisateur anonyme
9 mars 2010 à 23:35
Ok Nanard
merci
je fais ça demain, car là je vais me coucher, demain boulot de bonne heure
bonne fin de soirée
PS: Par contre, j'ai déjà dans mes programme MalwareBytes, je ne sais pas si il est encore valable
je regarde ça demain soir dès ma rentrée du travail
jojo la fleur bleue
Messages postés175Date d'inscriptionmardi 19 septembre 2006StatutMembreDernière intervention 5 mai 201816
>
Utilisateur anonyme
10 mars 2010 à 23:19
Bonsoir Nanard
bon ça y est, j'ai finalement réusi à faire le scan avec MalwareBytes
Il y avait des trojans......
voici le rapport après avoir supprimer, je pense que certains ne peuvent pas l'être (si j'ai bien compris)
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3849
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
Fichier(s) infecté(s):
C:\Documents and Settings\Utilisateur\Local Settings\Temp\Ycy.exe (Trojan.Fraudpack) -> Delete on reboot.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
voilà
j'attends donc de tes nouvelles
bonne fin de soirée
jojo
Utilisateur anonyme
>
jojo la fleur bleue
Messages postés175Date d'inscriptionmardi 19 septembre 2006StatutMembreDernière intervention 5 mai 2018 11 mars 2010 à 13:21
Bonjour
pour supprimer ce fichier tu dois impérativement redémarrer ton pc.
Merci Nanard pour ta réponse
j'ai donc fait ce que tu m'as demandé, cependant je n'arrive pas à copier le rapport dans le site que tu me propose.
Je me suis donc créée un compte mais il ne peut être validé que d'ici 48 h :-(
dois je coller ici le rapport, qui est toutefois très long?
Signature non conforme supprimée par la Modération CCM
Merci Archet
je regarde ça de plus prés, je ne suis pas très douée pour les manips de ce genre (j'ai toujours peur de faire des bêtises) ;-))))
Donc ,je récapitule, il faut que je désactive le système de restauration,
je redémarre mon ordi
puis je réactive le système restauration
C'est bien ça???
et là je relance Avira?
9 mars 2010 à 14:11
je n'arrivais pas à poster le résultat de l'analyse faite avec ZHPDiag
J'ai donc recommencé aujourd'hui et voilà le lien
http://www.cijoint.fr/cjlink.php?file=cj201003/cijYhzasdc.txt
J'ai également refais un scan avec avira et il a trouvé deux objets suspects:
TR/Drop.Agent.ehs
je pense avoir supprimer
9 mars 2010 à 22:52
• (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
• Si tu as besoin d’aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
9 mars 2010 à 23:35
merci
je fais ça demain, car là je vais me coucher, demain boulot de bonne heure
bonne fin de soirée
PS: Par contre, j'ai déjà dans mes programme MalwareBytes, je ne sais pas si il est encore valable
je regarde ça demain soir dès ma rentrée du travail
10 mars 2010 à 23:19
bon ça y est, j'ai finalement réusi à faire le scan avec MalwareBytes
Il y avait des trojans......
voici le rapport après avoir supprimer, je pense que certains ne peuvent pas l'être (si j'ai bien compris)
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3849
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
10/03/2010 23:13:35
mbam-log-2010-03-10 (23-13-35).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 208508
Temps écoulé: 2 hour(s), 10 minute(s), 9 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
C:\Documents and Settings\Utilisateur\Local Settings\Temp\Ycy.exe (Trojan.Fraudpack) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\TOY5KNQ8OC (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\toy5knq8oc (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\msnmgr.exe) Good: (userinit.exe) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\Utilisateur\Local Settings\Temp\Ycy.exe (Trojan.Fraudpack) -> Delete on reboot.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
voilà
j'attends donc de tes nouvelles
bonne fin de soirée
jojo
11 mars 2010 à 13:21
pour supprimer ce fichier tu dois impérativement redémarrer ton pc.
Ensuite post un nouveau rapport zhpdiag.