Virtumonde Favorit : suspicion éradication
Résolu/Fermé
CCMclaude
Messages postés
25536
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
-
Modifié par CCMclaude le 2/04/2010 à 13:44
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 - 9 avril 2010 à 05:19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 - 9 avril 2010 à 05:19
7 réponses
CCMclaude
Messages postés
25536
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
741
Modifié par CCMclaude le 2/04/2010 à 17:42
Modifié par CCMclaude le 2/04/2010 à 17:42
Commentaire ajouté au sujet.
Je viens d'effectuer un ZHPDiag dont le diagnostic est déposé chez Cijoint.fr :
ZHPDiag.txt
O2 en bleu :
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O53 en rouge :
O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O64 en bleu :
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI
O64 - Services: CurCS - (.not file.) - AVG Anti-Spyware Clean Driver (AvgAsCln) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGASCLN
O64 - Services: CurCS - (.not file.) - Beep (Beep) .(.Pas de propriétaire - Pas de description.) - LEGACY_BEEP
O64 - Services: CurCS - (.not file.) - catchme (catchme) .(.Pas de propriétaire - Pas de description.) - LEGACY_CATCHME
O64 - Services: CurCS - (.not file.) - FAT12/16/32 File System Driver (fastfat) .(.Pas de propriétaire - Pas de description.) - LEGACY_FASTFAT
O64 - Services: CurCS - (.not file.) - File Security Driver (IKFileSec) .(.Pas de propriétaire - Pas de description.) - LEGACY_IKFILESEC
O64 - Services: CurCS - (.not file.) - System Filter Driver (IKSysFlt) .(.Pas de propriétaire - Pas de description.) - LEGACY_IKSYSFLT
O64 - Services: CurCS - (.not file.) - System Security Driver (IKSysSec) .(.Pas de propriétaire - Pas de description.) - LEGACY_IKSYSSEC
O64 - Services: CurCS - (.not file.) - mchInjDrv (mchInjDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_MCHINJDRV
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfeavfk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEAVFK
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfebopk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEBOPK
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk01) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK01
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mferkdk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFERKDK
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfesmfk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFESMFK
O64 - Services: CurCS - (.not file.) - MPFP (MPFP) .(.Pas de propriétaire - Pas de description.) - LEGACY_MPFP
O64 - Services: CurCS - (.not file.) - Security Driver (secdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SECDRV
O64 - Services: CurCS - (.not file.) - Security Processor Loader Driver (spldr) .(.Pas de propriétaire - Pas de description.) - LEGACY_SPLDR
O66 en bleu :
O66 - EventLog: ID=455 (ESENT) - (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\CatRoot2\edb001B2.log (.not file.)
---\\ Infection BT - BHO/Toolbar (Possible)
O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe
sKe69 est-il amateur ?
Je viens d'effectuer un ZHPDiag dont le diagnostic est déposé chez Cijoint.fr :
ZHPDiag.txt
O2 en bleu :
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O53 en rouge :
O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O64 en bleu :
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI
O64 - Services: CurCS - (.not file.) - AVG Anti-Spyware Clean Driver (AvgAsCln) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGASCLN
O64 - Services: CurCS - (.not file.) - Beep (Beep) .(.Pas de propriétaire - Pas de description.) - LEGACY_BEEP
O64 - Services: CurCS - (.not file.) - catchme (catchme) .(.Pas de propriétaire - Pas de description.) - LEGACY_CATCHME
O64 - Services: CurCS - (.not file.) - FAT12/16/32 File System Driver (fastfat) .(.Pas de propriétaire - Pas de description.) - LEGACY_FASTFAT
O64 - Services: CurCS - (.not file.) - File Security Driver (IKFileSec) .(.Pas de propriétaire - Pas de description.) - LEGACY_IKFILESEC
O64 - Services: CurCS - (.not file.) - System Filter Driver (IKSysFlt) .(.Pas de propriétaire - Pas de description.) - LEGACY_IKSYSFLT
O64 - Services: CurCS - (.not file.) - System Security Driver (IKSysSec) .(.Pas de propriétaire - Pas de description.) - LEGACY_IKSYSSEC
O64 - Services: CurCS - (.not file.) - mchInjDrv (mchInjDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_MCHINJDRV
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfeavfk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEAVFK
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfebopk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEBOPK
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk01) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK01
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mferkdk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFERKDK
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfesmfk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFESMFK
O64 - Services: CurCS - (.not file.) - MPFP (MPFP) .(.Pas de propriétaire - Pas de description.) - LEGACY_MPFP
O64 - Services: CurCS - (.not file.) - Security Driver (secdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SECDRV
O64 - Services: CurCS - (.not file.) - Security Processor Loader Driver (spldr) .(.Pas de propriétaire - Pas de description.) - LEGACY_SPLDR
O66 en bleu :
O66 - EventLog: ID=455 (ESENT) - (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\CatRoot2\edb001B2.log (.not file.)
---\\ Infection BT - BHO/Toolbar (Possible)
O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe
sKe69 est-il amateur ?
CCMclaude
Messages postés
25536
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
741
4 avril 2010 à 18:32
4 avril 2010 à 18:32
UP
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
4 avril 2010 à 20:38
4 avril 2010 à 20:38
Salut CCMclaude
On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe
- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse
Les rapports sont dans le dossier ici C:\rsit
@++ :)
On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe
- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse
Les rapports sont dans le dossier ici C:\rsit
@++ :)
CCMclaude
Messages postés
25536
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
741
4 avril 2010 à 23:44
4 avril 2010 à 23:44
Salut dédétraqué,
Voici que je rentre. Merci de te pencher sur ce cas.
Comme je roule en Vista, n'oublie pas de me signaler à chaque fois quand je dois faire tourner l'outil en MSE et/ou en session (ou droits d') Administrateur et/ou avec/sans les protections AV et Parefeu.
Je télécharge et j'envoie la sauce.
À toute.
Voici que je rentre. Merci de te pencher sur ce cas.
Comme je roule en Vista, n'oublie pas de me signaler à chaque fois quand je dois faire tourner l'outil en MSE et/ou en session (ou droits d') Administrateur et/ou avec/sans les protections AV et Parefeu.
Je télécharge et j'envoie la sauce.
À toute.
CCMclaude
Messages postés
25536
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
741
Modifié par CCMclaude le 5/04/2010 à 03:08
Modifié par CCMclaude le 5/04/2010 à 03:08
Voici...
1. Cijoint log.txt ...
2. Cijoint info.txt ...
____
J'ai ensuite effectué un CCleaner puis mis à jour MalwareByte Antimalware, redémarré et exécuté MBAM dont voici le rapport :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3954
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904
5/04/2010 2:44:33
mbam-log-2010-04-05 (02-44-33).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 286598
Temps écoulé: 1 heure(s), 16 minute(s), 32 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
____________________
Rien !
Étrange, n'est-il pas ?
___________________
Je relance Spybot et vais dormir
À++
1. Cijoint log.txt ...
2. Cijoint info.txt ...
____
J'ai ensuite effectué un CCleaner puis mis à jour MalwareByte Antimalware, redémarré et exécuté MBAM dont voici le rapport :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3954
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904
5/04/2010 2:44:33
mbam-log-2010-04-05 (02-44-33).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 286598
Temps écoulé: 1 heure(s), 16 minute(s), 32 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
____________________
Rien !
Étrange, n'est-il pas ?
___________________
Je relance Spybot et vais dormir
À++
CCMclaude
Messages postés
25536
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
741
5 avril 2010 à 13:54
5 avril 2010 à 13:54
Re,
Voici les logs que m'a livrés Spybot SD :
1. Update downloads (.log)
2010-04-05 03:11:06 Fichier de mise à jour téléchargé. (http://www.safer-networking.org/updates/spybotsd.ini)
2. Checks.100405-0311 (.log)
05.04.2010 03:11:19 - ##### check started #####
05.04.2010 03:11:19 - ### Version: 1.6.2
05.04.2010 03:11:19 - ### Date: 5/04/2010 3:11:19
05.04.2010 03:11:24 - ##### checking bots #####
05.04.2010 03:27:43 - ##### check finished #####
3. Checks.100405-0327 (.log)
--- Report generated: 2010-04-05 03:27 ---
Erreur lors des vérifications!: Win32.AdAgent.q [1 - $7A034F48] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [214 - $52F85B79] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [215 - $4B75F45C] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [216 - $4ED7AEDC] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.VirusDoctor [31 - $0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsEnterpriseDefender [7 - $4648F8E3] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsEnterpriseDefender [8 - $31C9E1F3] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsProtectionSuite [1 - $85FC4658] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsProtectionSuite [2 - $B197733A] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsProtectionSuite [3 - $3A1D70D6] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [1 - $A3B707CB] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [2 - $D103550A] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [3 - $9D14B66F] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
...
etc etc etc
... fin du rapport :
...
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [1072 - $7CA381F6] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [1073 - $282300E8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Dummy [1 - $649C5A6E] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Dummy [1 - $649C5A6E] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Virtumonde.sdn [71383 - $0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Félicitations!: Aucun mouchard n'a été trouvé. (Status)
--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---
2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SDWinSec.exe (1.0.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2008-08-07 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-09-15 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2010-02-17 Includes\Adware.sbi (*)
2010-03-30 Includes\AdwareC.sbi (*)
2010-01-25 Includes\Cookies.sbi (*)
2009-11-03 Includes\Dialer.sbi (*)
2010-03-30 Includes\DialerC.sbi (*)
2010-01-25 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2010-03-30 Includes\HijackersC.sbi (*)
2010-01-20 Includes\Keyloggers.sbi (*)
2010-03-30 Includes\KeyloggersC.sbi (*)
2010-03-02 Includes\Malware.sbi (*)
2010-03-30 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2010-03-30 Includes\PUPSC.sbi (*)
2010-01-25 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2010-03-30 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2010-03-02 Includes\Spyware.sbi (*)
2010-03-30 Includes\SpywareC.sbi (*)
2010-03-08 Includes\Tracks.uti
2010-03-03 Includes\Trojans.sbi (*)
2010-03-30 Includes\TrojansC-02.sbi (*)
2010-03-30 Includes\TrojansC-03.sbi (*)
2010-03-30 Includes\TrojansC-04.sbi (*)
2010-03-30 Includes\TrojansC-05.sbi (*)
2010-03-30 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
4. SpybotSD.Results (.txt)
--- Search result list ---
Erreur lors des vérifications!: Win32.AdAgent.q [1 - $7A034F48] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [214 - $52F85B79] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [215 - $4B75F45C] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [216 - $4ED7AEDC] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
__________________________________________________________________________
Je me demande s'il ne s'agit pas de traces de merdouilles résiduelles ; j'ai lu la doc de Spybot concernant ces entrées dans le fichier Host et, pour moi, c'est pas trop clair...
Ne serait-il pas plus simple de réinitialiser un fichier Host "clean" ???
Voici les logs que m'a livrés Spybot SD :
1. Update downloads (.log)
2010-04-05 03:11:06 Fichier de mise à jour téléchargé. (http://www.safer-networking.org/updates/spybotsd.ini)
2. Checks.100405-0311 (.log)
05.04.2010 03:11:19 - ##### check started #####
05.04.2010 03:11:19 - ### Version: 1.6.2
05.04.2010 03:11:19 - ### Date: 5/04/2010 3:11:19
05.04.2010 03:11:24 - ##### checking bots #####
05.04.2010 03:27:43 - ##### check finished #####
3. Checks.100405-0327 (.log)
--- Report generated: 2010-04-05 03:27 ---
Erreur lors des vérifications!: Win32.AdAgent.q [1 - $7A034F48] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [214 - $52F85B79] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [215 - $4B75F45C] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [216 - $4ED7AEDC] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.VirusDoctor [31 - $0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsEnterpriseDefender [7 - $4648F8E3] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsEnterpriseDefender [8 - $31C9E1F3] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsProtectionSuite [1 - $85FC4658] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsProtectionSuite [2 - $B197733A] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsProtectionSuite [3 - $3A1D70D6] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [1 - $A3B707CB] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [2 - $D103550A] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [3 - $9D14B66F] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
...
etc etc etc
... fin du rapport :
...
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [1072 - $7CA381F6] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [1073 - $282300E8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Dummy [1 - $649C5A6E] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Dummy [1 - $649C5A6E] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Virtumonde.sdn [71383 - $0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Félicitations!: Aucun mouchard n'a été trouvé. (Status)
--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---
2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SDWinSec.exe (1.0.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2008-08-07 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-09-15 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2010-02-17 Includes\Adware.sbi (*)
2010-03-30 Includes\AdwareC.sbi (*)
2010-01-25 Includes\Cookies.sbi (*)
2009-11-03 Includes\Dialer.sbi (*)
2010-03-30 Includes\DialerC.sbi (*)
2010-01-25 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2010-03-30 Includes\HijackersC.sbi (*)
2010-01-20 Includes\Keyloggers.sbi (*)
2010-03-30 Includes\KeyloggersC.sbi (*)
2010-03-02 Includes\Malware.sbi (*)
2010-03-30 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2010-03-30 Includes\PUPSC.sbi (*)
2010-01-25 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2010-03-30 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2010-03-02 Includes\Spyware.sbi (*)
2010-03-30 Includes\SpywareC.sbi (*)
2010-03-08 Includes\Tracks.uti
2010-03-03 Includes\Trojans.sbi (*)
2010-03-30 Includes\TrojansC-02.sbi (*)
2010-03-30 Includes\TrojansC-03.sbi (*)
2010-03-30 Includes\TrojansC-04.sbi (*)
2010-03-30 Includes\TrojansC-05.sbi (*)
2010-03-30 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
4. SpybotSD.Results (.txt)
--- Search result list ---
Erreur lors des vérifications!: Win32.AdAgent.q [1 - $7A034F48] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [214 - $52F85B79] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [215 - $4B75F45C] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [216 - $4ED7AEDC] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
__________________________________________________________________________
Je me demande s'il ne s'agit pas de traces de merdouilles résiduelles ; j'ai lu la doc de Spybot concernant ces entrées dans le fichier Host et, pour moi, c'est pas trop clair...
Ne serait-il pas plus simple de réinitialiser un fichier Host "clean" ???
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
5 avril 2010 à 18:55
5 avril 2010 à 18:55
Salut CCMclaude
Je me demande s'il ne s'agit pas de traces de merdouilles résiduelles ; j'ai lu la doc de Spybot concernant ces entrées dans le fichier Host et, pour moi, c'est pas trop clair...
Non rien d'infectieux, spybot modifie lui même le fichier hosts en y ajoutant des sites indésirables.
https://www.malekal.com/fichier-hosts/
Faire un clique droit sur le raccourci d'HijackThis sur ton Bureau et choisir exécuter en tant qu'administrateur, clique sur Do a scan system only coche la case devant la(les) ligne(s) suivante(s) si présente(s)
Si pas de raccourci sur le bureau, il ce trouve ici :
C:\Program Files\trend micro\venus.exe
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - *{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
- Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked
- Quitte HijackThis
Si tu as des questions ou autre souci?
@++ :)
Je me demande s'il ne s'agit pas de traces de merdouilles résiduelles ; j'ai lu la doc de Spybot concernant ces entrées dans le fichier Host et, pour moi, c'est pas trop clair...
Non rien d'infectieux, spybot modifie lui même le fichier hosts en y ajoutant des sites indésirables.
https://www.malekal.com/fichier-hosts/
Faire un clique droit sur le raccourci d'HijackThis sur ton Bureau et choisir exécuter en tant qu'administrateur, clique sur Do a scan system only coche la case devant la(les) ligne(s) suivante(s) si présente(s)
Si pas de raccourci sur le bureau, il ce trouve ici :
C:\Program Files\trend micro\venus.exe
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - *{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
- Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked
- Quitte HijackThis
Si tu as des questions ou autre souci?
@++ :)
CCMclaude
Messages postés
25536
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
741
Modifié par CCMclaude le 5/04/2010 à 19:37
Modifié par CCMclaude le 5/04/2010 à 19:37
Voilà qui est fait : les 3 lignes étaient toujours présentes.
Tu n'as aucun commentaire à faire concernant cette ligne que j'avais surlignée
Erreur lors des vérifications!: Virtumonde.sdn [71383 - $0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status) ???
Sinon, à part cela, je ne remarque rien de spécial sauf ces ralentissements, rares et épisodiques mais significatifs de ma machine, en fin de journée, comme si un process se mettait en route en arrière-plan qui semble me bouffer toutes les ressources de la machine.
Ce qui m'emm.... en fait, c'est que je ne sais pas me l'expliquer.
En tout cas, merci d'être venu voir !
À+
Tu n'as aucun commentaire à faire concernant cette ligne que j'avais surlignée
Erreur lors des vérifications!: Virtumonde.sdn [71383 - $0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status) ???
Sinon, à part cela, je ne remarque rien de spécial sauf ces ralentissements, rares et épisodiques mais significatifs de ma machine, en fin de journée, comme si un process se mettait en route en arrière-plan qui semble me bouffer toutes les ressources de la machine.
Ce qui m'emm.... en fait, c'est que je ne sais pas me l'expliquer.
En tout cas, merci d'être venu voir !
À+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
6 avril 2010 à 00:26
6 avril 2010 à 00:26
Salut CCMclaude
Je vais vérifier le contenu du fichier hosts, utilise cjoint.com pour poster en lien ton fichier :
https://www.cjoint.com/
- Clique sur Parcourir et copier/coller ceci:
C:\WINDOWS\system32\drivers\etc\hosts
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint
- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.
@++ :)
Je vais vérifier le contenu du fichier hosts, utilise cjoint.com pour poster en lien ton fichier :
https://www.cjoint.com/
- Clique sur Parcourir et copier/coller ceci:
C:\WINDOWS\system32\drivers\etc\hosts
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint
- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.
@++ :)
CCMclaude
Messages postés
25536
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
741
Modifié par CCMclaude le 6/04/2010 à 03:20
Modifié par CCMclaude le 6/04/2010 à 03:20
Merci dédétraqué !
Voici le lien demandé : Horreur: il y a du seks
:-\
NB : il me fallait les droits d'administrateur pour aller "ouvrir" le hosts : serait-ce pour cela que Spybot, exécuté sans les droits d'administrateur, m'a "livré" tous ces messages d'accès refusé ?
<EDIT>
Je viens de ré-exécuter Spybot S&D avec les droits d'administrateur et il ne m'a plus rien trouvé, absolument rien, nada !
Note qu'après j'ai vérifié son set-up et il ne vérifie pas le fichier Hosts mais peut-être cela n'a-t-il absolument aucun rapport !!!
À+
</EDIT>
Voici le lien demandé : Horreur: il y a du seks
:-\
NB : il me fallait les droits d'administrateur pour aller "ouvrir" le hosts : serait-ce pour cela que Spybot, exécuté sans les droits d'administrateur, m'a "livré" tous ces messages d'accès refusé ?
<EDIT>
Je viens de ré-exécuter Spybot S&D avec les droits d'administrateur et il ne m'a plus rien trouvé, absolument rien, nada !
Note qu'après j'ai vérifié son set-up et il ne vérifie pas le fichier Hosts mais peut-être cela n'a-t-il absolument aucun rapport !!!
À+
</EDIT>
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
9 avril 2010 à 00:43
9 avril 2010 à 00:43
Salut CCMclaude
Je pense que cela a un rapport de ne pas avoir exécuter en mode administrateur, ton rapport ne contient rien de suspect, on peut quand même restaurer le fichier a l'origine si le demande et tu n'auras plus cette erreur en double cliquant dessus.
Pour la lenteur :
Avira AntiVir
AVG Anti-Virus Free
AVG Anti-Spyware
COMODO Internet Security
Malwarebytes
Windows Defender
Spybot
https://forum.malekal.com/viewtopic.php?t=4650&start=
@++ :)
Je pense que cela a un rapport de ne pas avoir exécuter en mode administrateur, ton rapport ne contient rien de suspect, on peut quand même restaurer le fichier a l'origine si le demande et tu n'auras plus cette erreur en double cliquant dessus.
Pour la lenteur :
Avira AntiVir
AVG Anti-Virus Free
AVG Anti-Spyware
COMODO Internet Security
Malwarebytes
Windows Defender
Spybot
https://forum.malekal.com/viewtopic.php?t=4650&start=
@++ :)
CCMclaude
Messages postés
25536
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
741
9 avril 2010 à 01:29
9 avril 2010 à 01:29
Merci pour ton aide dédétraqué.
Je vais passer en résolu.
Juste un truc en attendant de (re)lire le topic de malekal : existe-t-il un inconvénient significatif à réinitialiser le Host file ?
A+
Je vais passer en résolu.
Juste un truc en attendant de (re)lire le topic de malekal : existe-t-il un inconvénient significatif à réinitialiser le Host file ?
A+
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
9 avril 2010 à 05:19
9 avril 2010 à 05:19
Salut CCMclaude
Rien à craindre avec la restauration du fichier Hosts, déjà Wot fais le même boulot pour le blocage des sites néfastes.
Voilà se que je te conseil :
Antivir
Malewarebytes
Comodo -- seulement le par feu (firewall)
Et tu vires tous le restes ++
@++ :)
Rien à craindre avec la restauration du fichier Hosts, déjà Wot fais le même boulot pour le blocage des sites néfastes.
Voilà se que je te conseil :
Antivir
Malewarebytes
Comodo -- seulement le par feu (firewall)
Et tu vires tous le restes ++
@++ :)