PLus de son et un virus détecté !!!Résolu/Fermé

Question

Bonjour, Mon antivirus avira m'a détecté un virus et des logiciels cachés et m'a demandé de passer le cd rescue... Ce que j'ai fait mais je n'ai pas pu récupérer le rapport... Introuvable. Depuis je n'ai plus de son et j'ai 3 périphériques inconnus qui sont apparus dans le gestionnaire de périphérique!!! J'ai refait un scan normal, voici le rapport : Avira Free Antivirus Date de création du fichier de rapport : jeudi 19 janvier 2012 11:28 La recherche porte sur 3171715 souches de virus. Le programme fonctionne en version intégrale illimitée. Les services en ligne sont disponibles. Détenteur de la licence : Avira AntiVir Personal - Free Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows XP Version de Windows : (Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : VIGOUROUX Informations de version : BUILD.DAT : 12.0.0.190 41826 Bytes 16/12/2011 11:21:00 AVSCAN.EXE : 12.1.0.18 490448 Bytes 01/12/2011 16:55:06 AVSCAN.DLL : 12.1.0.17 64976 Bytes 29/09/2011 10:28:05 LUKE.DLL : 12.1.0.17 68304 Bytes 01/12/2011 16:55:14 AVSCPLR.DLL : 12.1.0.21 99536 Bytes 01/12/2011 16:55:06 AVREG.DLL : 12.1.0.27 227536 Bytes 15/12/2011 16:22:48 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 19:26:35 VBASE003.VDF : 7.11.19.171 2048 Bytes 20/12/2011 19:26:35 VBASE004.VDF : 7.11.19.172 2048 Bytes 20/12/2011 19:26:35 VBASE005.VDF : 7.11.19.173 2048 Bytes 20/12/2011 19:26:35 VBASE006.VDF : 7.11.19.174 2048 Bytes 20/12/2011 19:26:35 VBASE007.VDF : 7.11.19.175 2048 Bytes 20/12/2011 19:26:36 VBASE008.VDF : 7.11.19.176 2048 Bytes 20/12/2011 19:26:36 VBASE009.VDF : 7.11.19.177 2048 Bytes 20/12/2011 19:26:36 VBASE010.VDF : 7.11.19.178 2048 Bytes 20/12/2011 19:26:36 VBASE011.VDF : 7.11.19.179 2048 Bytes 20/12/2011 19:26:36 VBASE012.VDF : 7.11.19.180 2048 Bytes 20/12/2011 19:26:36 VBASE013.VDF : 7.11.19.217 182784 Bytes 22/12/2011 13:12:23 VBASE014.VDF : 7.11.19.255 148480 Bytes 24/12/2011 19:19:29 VBASE015.VDF : 7.11.20.29 164352 Bytes 27/12/2011 19:19:02 VBASE016.VDF : 7.11.20.70 180224 Bytes 29/12/2011 19:19:08 VBASE017.VDF : 7.11.20.102 240640 Bytes 02/01/2012 19:18:58 VBASE018.VDF : 7.11.20.139 164864 Bytes 04/01/2012 19:18:58 VBASE019.VDF : 7.11.20.178 167424 Bytes 06/01/2012 19:18:56 VBASE020.VDF : 7.11.20.207 230400 Bytes 10/01/2012 11:28:18 VBASE021.VDF : 7.11.20.236 150528 Bytes 11/01/2012 19:18:57 VBASE022.VDF : 7.11.21.13 135168 Bytes 13/01/2012 19:18:58 VBASE023.VDF : 7.11.21.40 163840 Bytes 16/01/2012 19:18:57 VBASE024.VDF : 7.11.21.65 1001472 Bytes 17/01/2012 19:19:03 VBASE025.VDF : 7.11.21.66 2048 Bytes 17/01/2012 19:19:03 VBASE026.VDF : 7.11.21.67 2048 Bytes 17/01/2012 19:19:04 VBASE027.VDF : 7.11.21.68 2048 Bytes 17/01/2012 19:19:04 VBASE028.VDF : 7.11.21.69 2048 Bytes 17/01/2012 19:19:04 VBASE029.VDF : 7.11.21.70 2048 Bytes 17/01/2012 19:19:04 VBASE030.VDF : 7.11.21.71 2048 Bytes 17/01/2012 19:19:04 VBASE031.VDF : 7.11.21.91 205824 Bytes 19/01/2012 10:20:16 Version du moteur : 8.2.8.28 AEVDF.DLL : 8.1.2.2 106868 Bytes 01/12/2011 16:55:03 AESCRIPT.DLL : 8.1.3.97 426363 Bytes 13/01/2012 10:59:28 AESCN.DLL : 8.1.7.2 127349 Bytes 01/09/2011 21:46:02 AESBX.DLL : 8.2.4.5 434549 Bytes 01/12/2011 15:48:34 AERDL.DLL : 8.1.9.15 639348 Bytes 08/09/2011 21:16:06 AEPACK.DLL : 8.2.16.1 799094 Bytes 17/01/2012 19:19:08 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30/12/2011 10:43:10 AEHEUR.DLL : 8.1.3.18 4297079 Bytes 13/01/2012 10:59:25 AEHELP.DLL : 8.1.18.0 254327 Bytes 01/12/2011 16:54:59 AEGEN.DLL : 8.1.5.17 405877 Bytes 15/12/2011 16:22:13 AEEMU.DLL : 8.1.3.0 393589 Bytes 01/09/2011 21:46:01 AECORE.DLL : 8.1.24.3 201079 Bytes 28/12/2011 19:19:40 AEBB.DLL : 8.1.1.0 53618 Bytes 01/09/2011 21:46:01 AVWINLL.DLL : 12.1.0.17 27344 Bytes 01/12/2011 16:55:08 AVPREF.DLL : 12.1.0.17 51920 Bytes 01/12/2011 16:55:05 AVREP.DLL : 12.1.0.17 179920 Bytes 01/12/2011 16:55:06 AVARKT.DLL : 12.1.0.19 208848 Bytes 01/12/2011 16:55:03 AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 01/12/2011 16:55:04 SQLITE3.DLL : 3.7.0.0 398288 Bytes 01/12/2011 16:55:18 AVSMTP.DLL : 12.1.0.17 63440 Bytes 01/12/2011 16:55:07 NETNT.DLL : 12.1.0.17 17104 Bytes 01/12/2011 16:55:15 RCIMAGE.DLL : 12.1.0.13 4449488 Bytes 20/09/2011 00:36:03 RCTEXT.DLL : 12.1.0.16 99792 Bytes 27/09/2011 09:22:58 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: par défaut Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, Recherche dans les programmes actifs..........: marche Programmes en cours étendus...................: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: avancé Début de la recherche : jeudi 19 janvier 2012 11:28 La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD2 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD3 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD4 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche d'objets cachés commence. HKEY_USERS\S-1-5-21-3119477796-3183868988-2340673429-1007\Software\APN\Updater\sa_lmd [REMARQUE] L'entrée d'enregistrement n'est pas visible. HKEY_USERS\S-1-5-21-3119477796-3183868988-2340673429-1007\Software\APN\Updater\sa_lmd HKEY_USERS\S-1-5-21-3119477796-3183868988-2340673429-1007\Software\APN\Updater\sa_lmd HKEY_USERS\S-1-5-21-3119477796-3183868988-2340673429-1007\Software\Microsoft\MediaPlayer\Health\{7C797138-C5AC-4D66-9A8F-171DEA7A3628} [REMARQUE] L'entrée d'enregistrement n'est pas visible. HKEY_USERS\S-1-5-21-3119477796-3183868988-2340673429-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\Order [REMARQUE] L'entrée d'enregistrement n'est pas visible. Pilote caché [REMARQUE] Une modification de la mémoire a été détectée, qui pourrait éventuellement être utilisée abusivement pour des accès fichiers cachés. La recherche sur les processus démarrés commence : Processus de recherche 'rsmsink.exe' - '28' module(s) sont contrôlés Processus de recherche 'iexplore.exe' - '129' module(s) sont contrôlés Processus de recherche 'iexplore.exe' - '117' module(s) sont contrôlés Processus de recherche 'iexplore.exe' - '126' module(s) sont contrôlés Processus de recherche 'iexplore.exe' - '77' module(s) sont contrôlés Processus de recherche 'dllhost.exe' - '45' module(s) sont contrôlés Processus de recherche 'vssvc.exe' - '48' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '67' module(s) sont contrôlés Processus de recherche 'wlcomm.exe' - '70' module(s) sont contrôlés Processus de recherche 'hpsysdrv.exe' - '14' module(s) sont contrôlés Processus de recherche 'KBD.EXE' - '47' module(s) sont contrôlés Processus de recherche 'hpqSTE08.exe' - '49' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés Processus de recherche 'alg.exe' - '35' module(s) sont contrôlés Processus de recherche 'dllhost.exe' - '44' module(s) sont contrôlés Processus de recherche 'ehmsas.exe' - '29' module(s) sont contrôlés Processus de recherche 'AVWEBGRD.EXE' - '38' module(s) sont contrôlés Processus de recherche 'avshadow.exe' - '26' module(s) sont contrôlés Processus de recherche 'Elservice.exe' - '26' module(s) sont contrôlés Processus de recherche 'mcrdsvc.exe' - '30' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '42' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '37' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '35' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '30' module(s) sont contrôlés Processus de recherche 'LSSrvc.exe' - '19' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '78' module(s) sont contrôlés Processus de recherche 'ICQ Service.exe' - '32' module(s) sont contrôlés Processus de recherche 'Iaantmon.exe' - '12' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '42' module(s) sont contrôlés Processus de recherche 'FsUsbExService.Exe' - '21' module(s) sont contrôlés Processus de recherche 'ehSched.exe' - '20' module(s) sont contrôlés Processus de recherche 'ehRecvr.exe' - '44' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '62' module(s) sont contrôlés Processus de recherche 'soffice.bin' - '80' module(s) sont contrôlés Processus de recherche 'soffice.exe' - '15' module(s) sont contrôlés Processus de recherche 'TrayMin210.exe' - '23' module(s) sont contrôlés Processus de recherche 'NintendoWFCReg.exe' - '32' module(s) sont contrôlés Processus de recherche 'hpqtra08.exe' - '68' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '25' module(s) sont contrôlés Processus de recherche '9props.exe' - '31' module(s) sont contrôlés Processus de recherche 'NPSAgent.exe' - '26' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '122' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '64' module(s) sont contrôlés Processus de recherche 'Updater.exe' - '29' module(s) sont contrôlés Processus de recherche 'QTTask.exe' - '19' module(s) sont contrôlés Processus de recherche 'realsched.exe' - '27' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '21' module(s) sont contrôlés Processus de recherche 'SMSTray.exe' - '39' module(s) sont contrôlés Processus de recherche 'VM_STI.EXE' - '36' module(s) sont contrôlés Processus de recherche 'HPWuSchd2.exe' - '18' module(s) sont contrôlés Processus de recherche 'DMAScheduler.exe' - '51' module(s) sont contrôlés Processus de recherche 'Iaanotif.exe' - '28' module(s) sont contrôlés Processus de recherche 'ehtray.exe' - '36' module(s) sont contrôlés Processus de recherche 'Explorer.EXE' - '90' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés Processus de recherche 'sched.exe' - '41' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '59' module(s) sont contrôlés Processus de recherche 'Ati2evxx.exe' - '31' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '44' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '33' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '30' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '170' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '40' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '54' module(s) sont contrôlés Processus de recherche 'Ati2evxx.exe' - '28' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '59' module(s) sont contrôlés Processus de recherche 'services.exe' - '27' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '63' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '12' module(s) sont contrôlés Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '2879' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\Documents and Settings\HP_Administrateur\Local Settings emp\jar_cache7031417656027341728.tmp.vir [0] Type d'archive: ZIP --> bweauuvnybaewrkd.class [RESULTAT] Contient le modèle de détection de l'exploit EXP/2011-3544.H Recherche débutant dans 'D:\' Début de la désinfection : C:\Documents and Settings\HP_Administrateur\Local Settings emp\jar_cache7031417656027341728.tmp.vir [RESULTAT] Contient le modèle de détection de l'exploit EXP/2011-3544.H [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ca4b0f7.qua' ! Fin de la recherche : jeudi 19 janvier 2012 14:01 Temps nécessaire: 2:30:54 Heure(s) La recherche a été effectuée intégralement 16757 Les répertoires ont été contrôlés 568438 Des fichiers ont été contrôlés 1 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 1 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 0 Impossible de scanner des fichiers 568437 Fichiers non infectés 18568 Les archives ont été contrôlées 0 Avertissements 5 Consignes 620986 Des objets ont été contrôlés lors du Rootkitscan 6 Des objets cachés ont été trouvés Merci pour votre aide Configuration: Windows XP / Internet Explorer 7.0

g3n-h@ckm@n · Accepted Answer

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu

NorthWestMania · Answer

Lance un scan avec le logicel Spybot, il est très efficace !

lilium6 · Answer

Bonsoir, Je viens de passer le logiciel Spybot et il ne m'a trouvé que des cookies... Toujours pas de son...
Merci pour votre aide

lilium6 · Answer

Je craque... J'ai fait une restauration du système. Résultat, l'antivirus ne fonctionnait plus. Je l'ai désinstallé et mis avg à la place...

lilium6 · Answer

Est ce que il y aurait quelqu'un pour me dire quoi faire, svp? J'attends et je stresse un peu... Mais sinon, je vais me coucher...

g3n-h@ckm@n · Answer

salut

Lance un scan avec le logicel Spybot, il est très efficace ! 

mouhahahahhahah !!!!!!!!!!!!

Je viens de passer le logiciel Spybot et il ne m'a trouvé que des cookies...

ca c'est de l'efficacité !! ^^

lilium6 · Answer

Re, alors j'ai lancé pre-scann sans problèmes, ca avait l'air de tourner puis fenêtre Windows :
Windows - Pas de disque
Exception Processing Message c 0000013 Parameters 75afbf7c 4 75afbf7c 4 75afbf7c 4

Impossible de fermer la fenêtre, donc j'ai éteint et rallumé l'ordi !

g3n-h@ckm@n · Answer

fallait faire continuer ^^

g3n-h@ckm@n · Answer

plusieurs fois ca arrive des fois faut le faire 3 ou 4 fois

g3n-h@ckm@n · Answer

d'accord on va voir où est le souci

poste c:\pre_scan.txt via pjjoint comme indiqué

lilium6 · Answer

https://pjjoint.malekal.com/files.php?id=20120120_o6j10v10y15l14

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

lilium6 · Answer

Bonjour,

J'ai passé combofix ( il était renommé) avg désinstallé defogger fait...
J'ai tout bien suivi! Il a redémarré et là, pas de C:\Combofix.txt .
Je peux le trouver où?

g3n-h@ckm@n · Answer

execute ca et poste le rapport obtenu :

http://dl.dropbox.com/u/21363431/fichiers/Comboquarantine.bat

lilium6 · Answer

Bonjour, voilà le rapport :

C:\Qoobox\Quarantine\C
C:\Qoobox\Quarantine\catchme.log
C:\Qoobox\Quarantine\Registry_backups
C:\Qoobox\Quarantine\Registry_backups	cpip.reg

g3n-h@ckm@n · Answer

lance combofix en mode sans echec

lilium6 · Answer

Re, impossible de lancer combofix en mode sans échec car en mode sans échec je n'ai plus de combofix qui apparait!!! Sinon, je l'ai relancé en mode normal... Il se fait, l'ordi redémmarre mais aucun rapport en vue. Mon ordi m'a dit avoir récupéré d'une erreur grave!!!

lilium6 · Answer

Bonjour,

Je pense que je vais être obligée de reformater mon ordi... Pour l'instant je sauvegarde ce que je peux car ce matin, plus de connexion à la box et des fichiers qui se sont envolés!!! Ou en tout cas , je ne les trouve plus, j'ai des dossiers vides...

g3n-h@ckm@n · Answer

meme en affichant les fichiers cachés ?

lilium6 · Answer

Coucou,

Oui même en affichant fichiers cachés et là c'est de pire en pire... Tout mon bureau disparait, barre des taches incluse ... Je dois redémarrer et ca revient... J'essaye de faire des sauvegardes mais je ne sais pas si ca fonctionnera car en plus j'ai des messages d'erreurs qui s'affichent tout le temps!

g3n-h@ckm@n · Answer

faudrait passer un live cd de drweb...

g3n-h@ckm@n · Answer

croisons les doigts :)

au plaisir :)

PLus de son et un virus détecté !!!

22 réponses

Discussions similaires

Newsletters