AVIRA Free AntivirusRésolu/Fermé

Question

Bonjour, 1 - J'ai le message suivant relative à la sécurité : dans le fichier 'C:\RECYCLER\S-1-5-18\...\800000cb.@', un virus ou programme indésirable 'TR/ATRAP.Gen2' a été trouvé. J'ai beau tenter de les mettre en quarantaine, le message revient régulièrement. J'hésite à lancer un combofix, car je crain des difficultés ....! merci de votre aide ===== Pour info les derniers rapports Avira puis malwares, Avira Free Antivirus Date de création du fichier de rapport : vendredi 19 octobre 2012 20:12 La recherche porte sur 4374456 souches de virus. Le programme fonctionne en version intégrale illimitée. Les services en ligne sont disponibles. Détenteur de la licence : Avira Free Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Microsoft Windows XP Version de Windows : (Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : ACER-7989E0343A Informations de version : BUILD.DAT : 12.0.0.380 40867 Bytes 07/09/2012 22:26:00 AVSCAN.EXE : 12.3.0.33 468472 Bytes 13/08/2012 10:15:44 AVSCAN.DLL : 12.3.0.15 65488 Bytes 13/08/2012 10:15:44 LUKE.DLL : 12.3.0.15 68304 Bytes 13/08/2012 10:15:44 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08/05/2012 11:28:39 AVREG.DLL : 12.3.0.17 232200 Bytes 10/05/2012 19:16:12 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 14:04:02 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 14:04:09 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 13:19:06 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 20:59:36 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 11:06:06 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06/09/2012 18:49:32 VBASE007.VDF : 7.11.45.207 2363904 Bytes 11/10/2012 11:38:31 VBASE008.VDF : 7.11.45.208 2048 Bytes 11/10/2012 11:38:31 VBASE009.VDF : 7.11.45.209 2048 Bytes 11/10/2012 11:38:32 VBASE010.VDF : 7.11.45.210 2048 Bytes 11/10/2012 11:38:32 VBASE011.VDF : 7.11.45.211 2048 Bytes 11/10/2012 11:38:32 VBASE012.VDF : 7.11.45.212 2048 Bytes 11/10/2012 11:38:32 VBASE013.VDF : 7.11.45.213 2048 Bytes 11/10/2012 11:38:32 VBASE014.VDF : 7.11.46.65 220160 Bytes 16/10/2012 11:38:29 VBASE015.VDF : 7.11.46.153 173568 Bytes 18/10/2012 11:38:26 VBASE016.VDF : 7.11.46.154 2048 Bytes 18/10/2012 11:38:26 VBASE017.VDF : 7.11.46.155 2048 Bytes 18/10/2012 11:38:26 VBASE018.VDF : 7.11.46.156 2048 Bytes 18/10/2012 11:38:26 VBASE019.VDF : 7.11.46.157 2048 Bytes 18/10/2012 11:38:26 VBASE020.VDF : 7.11.46.158 2048 Bytes 18/10/2012 11:38:26 VBASE021.VDF : 7.11.46.159 2048 Bytes 18/10/2012 11:38:26 VBASE022.VDF : 7.11.46.160 2048 Bytes 18/10/2012 11:38:26 VBASE023.VDF : 7.11.46.161 2048 Bytes 18/10/2012 11:38:26 VBASE024.VDF : 7.11.46.162 2048 Bytes 18/10/2012 11:38:26 VBASE025.VDF : 7.11.46.163 2048 Bytes 18/10/2012 11:38:26 VBASE026.VDF : 7.11.46.164 2048 Bytes 18/10/2012 11:38:26 VBASE027.VDF : 7.11.46.165 2048 Bytes 18/10/2012 11:38:26 VBASE028.VDF : 7.11.46.166 2048 Bytes 18/10/2012 11:38:27 VBASE029.VDF : 7.11.46.167 2048 Bytes 18/10/2012 11:38:27 VBASE030.VDF : 7.11.46.168 2048 Bytes 18/10/2012 11:38:27 VBASE031.VDF : 7.11.46.210 130560 Bytes 19/10/2012 11:38:18 Version du moteur : 8.2.10.187 AEVDF.DLL : 8.1.2.10 102772 Bytes 10/07/2012 11:42:26 AESCRIPT.DLL : 8.1.4.60 463227 Bytes 05/10/2012 10:36:09 AESCN.DLL : 8.1.9.2 131444 Bytes 28/09/2012 10:36:04 AESBX.DLL : 8.2.5.12 606578 Bytes 15/06/2012 08:34:23 AERDL.DLL : 8.1.9.15 639348 Bytes 15/02/2012 14:03:25 AEPACK.DLL : 8.3.0.38 811382 Bytes 28/09/2012 10:36:03 AEOFFICE.DLL : 8.1.2.48 201082 Bytes 25/09/2012 10:36:25 AEHEUR.DLL : 8.1.4.118 5423480 Bytes 12/10/2012 11:38:40 AEHELP.DLL : 8.1.25.2 258423 Bytes 12/10/2012 11:38:35 AEGEN.DLL : 8.1.5.38 434548 Bytes 28/09/2012 10:35:57 AEEXP.DLL : 8.2.0.6 115060 Bytes 12/10/2012 11:38:41 AEEMU.DLL : 8.1.3.2 393587 Bytes 10/07/2012 11:42:24 AECORE.DLL : 8.1.28.2 201079 Bytes 28/09/2012 10:35:56 AEBB.DLL : 8.1.1.3 53621 Bytes 19/10/2012 11:38:19 AVWINLL.DLL : 12.3.0.15 27344 Bytes 13/08/2012 10:15:43 AVPREF.DLL : 12.3.0.15 51920 Bytes 13/08/2012 10:15:44 AVREP.DLL : 12.3.0.15 179208 Bytes 08/05/2012 11:28:38 AVARKT.DLL : 12.3.0.15 211408 Bytes 13/08/2012 10:15:43 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 13/08/2012 10:15:44 SQLITE3.DLL : 3.7.0.1 398288 Bytes 13/08/2012 10:15:44 AVSMTP.DLL : 12.3.0.32 63992 Bytes 13/08/2012 10:15:44 NETNT.DLL : 12.3.0.15 17104 Bytes 13/08/2012 10:15:44 RCIMAGE.DLL : 12.1.0.13 4449488 Bytes 15/02/2012 14:04:25 RCTEXT.DLL : 12.3.0.31 101368 Bytes 13/08/2012 10:15:43 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: par défaut Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, Recherche dans les programmes actifs..........: marche Programmes en cours étendus...................: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: avancé Début de la recherche : vendredi 19 octobre 2012 20:12 La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD2 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD3 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD4 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche d'objets cachés commence. L'entrée de registre a été supprimée. La recherche sur les processus démarrés commence : Processus de recherche 'rsmsink.exe' - '31' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '36' module(s) sont contrôlés Processus de recherche 'hpqgpc01.exe' - '52' module(s) sont contrôlés Processus de recherche 'hpqbam08.exe' - '39' module(s) sont contrôlés Processus de recherche 'hpqSTE08.exe' - '70' module(s) sont contrôlés Processus de recherche 'msdtc.exe' - '42' module(s) sont contrôlés Processus de recherche 'dllhost.exe' - '47' module(s) sont contrôlés Processus de recherche 'vssvc.exe' - '50' module(s) sont contrôlés Processus de recherche 'dllhost.exe' - '62' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '75' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '73' module(s) sont contrôlés Processus de recherche 'WindowsSearch.exe' - '88' module(s) sont contrôlés Processus de recherche 'hpqtra08.exe' - '76' module(s) sont contrôlés Processus de recherche 'ZDWlan.exe' - '48' module(s) sont contrôlés Processus de recherche 'wlcomm.exe' - '33' module(s) sont contrôlés Processus de recherche 'Acer.Empowering.Framework.Launcher.exe' - '89' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '107' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '37' module(s) sont contrôlés Processus de recherche 'SysMonitor.exe' - '49' module(s) sont contrôlés Processus de recherche 'ehmsas.exe' - '36' module(s) sont contrôlés Processus de recherche 'eDSloader.exe' - '49' module(s) sont contrôlés Processus de recherche 'ehtray.exe' - '58' module(s) sont contrôlés Processus de recherche 'eRAgent.exe' - '53' module(s) sont contrôlés Processus de recherche 'GoogleDesktop.exe' - '79' module(s) sont contrôlés Processus de recherche 'RUNDLL32.EXE' - '39' module(s) sont contrôlés Processus de recherche 'RTHDCPL.EXE' - '48' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '70' module(s) sont contrôlés Processus de recherche 'PIFSvc.exe' - '23' module(s) sont contrôlés Processus de recherche 'SbPFCl.exe' - '48' module(s) sont contrôlés Processus de recherche 'Explorer.EXE' - '107' module(s) sont contrôlés Module OK -> [REMARQUE] Le processus 'explorer.exe' a été arrêté [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. Module OK -> [REMARQUE] Le fichier n'existe pas ! Processus de recherche 'avshadow.exe' - '28' module(s) sont contrôlés Processus de recherche 'CALMAIN.exe' - '29' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '58' module(s) sont contrôlés Processus de recherche 'mcrdsvc.exe' - '31' module(s) sont contrôlés Processus de recherche 'YahooAUService.exe' - '26' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '41' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '41' module(s) sont contrôlés Processus de recherche 'SbPFSvc.exe' - '89' module(s) sont contrôlés Processus de recherche 'SbPFLnch.exe' - '15' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '32' module(s) sont contrôlés Processus de recherche 'ALUSchedulerSvc.exe' - '30' module(s) sont contrôlés Processus de recherche 'nvsvc32.exe' - '35' module(s) sont contrôlés Processus de recherche 'NMSAccessU.exe' - '16' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '32' module(s) sont contrôlés Processus de recherche 'PIFSvc.exe' - '23' module(s) sont contrôlés Processus de recherche 'LSSrvc.exe' - '19' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '80' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '46' module(s) sont contrôlés Processus de recherche 'ehSched.exe' - '42' module(s) sont contrôlés Processus de recherche 'ehRecvr.exe' - '46' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '63' module(s) sont contrôlés Processus de recherche 'MemCheck.exe' - '44' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '36' module(s) sont contrôlés Processus de recherche 'sched.exe' - '39' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '58' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '155' module(s) sont contrôlés Module OK -> [REMARQUE] Le processus 'svchost.exe' a été arrêté [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. [REMARQUE] L'entrée de registre a été réparée. Module OK -> [REMARQUE] Le fichier n'existe pas ! Processus de recherche 'svchost.exe' - '41' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '56' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '60' module(s) sont contrôlés Processus de recherche 'services.exe' - '29' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '68' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '16' module(s) sont contrôlés Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés Processus de recherche 'ssmypics.scr' - '32' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\Program Files\avira_free_antivirus_fr.exe [AVERTISSEMENT] Le fichier est protégé par mot de passe C:\Program Files\FrenchOtto\uninstallotto.exe [AVERTISSEMENT] La version de cette archive n'est pas prise en charge C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP73\A0069705.exe [AVERTISSEMENT] Le fichier est protégé par mot de passe C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP84\A0075986.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen Recherche débutant dans 'D:\' Début de la désinfection : C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP84\A0075986.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '54e20ddf.qua' ! Fin de la recherche : vendredi 19 octobre 2012 21:25 Temps nécessaire: 1:10:22 Heure(s) La recherche a été effectuée intégralement 7533 Les répertoires ont été contrôlés 280380 Des fichiers ont été contrôlés 1 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 1 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 0 Impossible de scanner des fichiers 280379 Fichiers non infectés 7906 Les archives ont été contrôlées 3 Avertissements 5 Consignes 469204 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés 2 - Le rapport Malwarebytes Malwarebytes' Anti-Malware 1.44 Version de la base de données: 3919 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 19/10/2012 19:58:57 mbam-log-2012-10-19 (19-58-57).txt Type de recherche: Examen complet (C:\|D:\|) Eléments examinés: 209778 Temps écoulé: 1 hour(s), 2 minute(s), 29 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 1 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\Program Files\Installation_Messenger.exe (Trojan.Banker.Gen) -> Quarantined and deleted successfully. Configuration: Windows XP / Internet Explorer 8.0

kalimusic · Answer

Bonsoir,

== == == == == == == == == == == == == == == == == == == == == == == ==
Par précaution, sauvegarde tes documents les plus importants.
 == == == == == == == == == == == == == == == == == == == == == == == ==

1. Télécharge  ComboFix de sUBs.
TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.

IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire, sinon se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermées.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.
&#x25CF; Accepte d'installer la console de récupération (sous XP)
&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 

 Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

Notes :

&#9656; Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
&#9656; Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
&#9656; Si après le redémarrage, ComboFix indique des erreurs au sujet d'éléments à supprimer, redémarrer à nouveau le système.

Aide : Comment utiliser ComboFix

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

e.d.g.a.r. · Answer

Merci pour la réponse, 


J'ai bien désactivé "Avira Free Antivirus" : Protection en temps réel inactif


J'ai commencé l'exécution de Combofix, mais on me demande de  désactiver le scann en temps réel  "Avira Deskstop" ???

Comment faire, car Combofix me propose de continuer à mes risques et périls ! 

Je vois bien que des fichiers "Antivir Desktop" existent bien dans Programmes Files, mais comment désactiver ?
Quelle différence ente "Avira Free Antivirus" et "Avira Desktop" ?

@+

e.d.g.a.r. · Answer

Finalement l'exécution s'est effectuée (un peu malgré moi). Mon PC était donc infecté par un Rootkit - Zéro Accès.....

Combofix semble s'être bien déroulé. Le rapport s'est bien enregistré; je te le transmais donc suivant ta demande.

P.S. J'ai remarqué que
a)  I.E. n'était plus mon navigateur par défaut.
b)  l'icône de mon pare feu  Sunbelt Personal Firewall à disparu. 

https://www.cjoint.com/?0JubI6zYDJ8

à+

e.d.g.a.r. · Answer

Correction : ... je te le transmets

kalimusic · Answer

Bonjour,

Il s'agit bien de l'infection zeroaccess/sirefef

Désinstalle la barre d'outil Eazel-FR 

Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants :

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.*
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
BASESERVICES
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

e.d.g.a.r. · Answer

Bonlour,

Je n'ai pas su mettre les deux fichiers sur le même lien,

https://www.cjoint.com/?BJunqm62OqW

https://www.cjoint.com/?BJunsIllFP6

J'spère que ce sont les bons.

PS :  -  Eazel FR que je n'utilisais apparemment que rarement est à proscrire ?

        -  Symantec à supprimer ?

Merci de l'aide rapide

@+

kalimusic · Answer

re,

C'est exactement ce qu'il fallait faire pour les liens ?

Le pare-feu Sunbelt semble fonctionnel maintenant sur le rapport, est-ce la cas ?

Concernant Symantec, il reste seulement le module de mise à jour à désinstaller.
Si tu souhaites conserver Antivir, désinstalle LiveUpdate 3.0

Je prépare un script de correction OTL, A +

e.d.g.a.r. · Answer

re,

En effet, s'agissant de S.B.F. (Kerio), en effet, l'icône en bas à droite de l'écran est revenu !

S'agissant d'Antivir, j'ai sur le bureau le raccourci de  -Avira Control Center- (emplacement AntiVir desktop). Est-ce un doublon avec mon Avira Free Antivirus qui est dans le menu démarrage = icône en bas à droite de l'écran. 
- peut-être un lien avec LiveUpdate 3.0 ?

un script de correction ?


@+

kalimusic · Answer

ok pour Sunbelt

Pour Antivir, sur le bureau c'est un raccourci et l'autre c'est le programme.
  
LiveUpdate 3.0 est le module de mise à jour de l'antivirus de Symantec, il faut le désinstaller. 

Je vais te faire supprimer des résidus d'infections et des éléments obsolètes avec OTL, mais avant, j'ai besoin d'une information sur un fichier stp

Analyse le fichier C:\WINDOWS\system32\drivers\c424f7e4.sys sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal

A+

e.d.g.a.r. · Answer

re,

Voici le lien :

https://www.cjoint.com/?BJuqhH3Tv1h



P.S.  je vois un fichier Read Me, quand je clique dur  démarrer. S'agit-il d'un point de restauration à conserver.

@+

kalimusic · Answer

ok,


1. Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions hébergées ici 
&#x25CF; Ferme impérativement les applications en cours.
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver à la racine du disque dans ce dossier : C:\_OTL\MovedFiles  

2. Comme tu as déjà Malwarebytes.
Effectue la mise à jour et lance un examen rapide.
Tuto :

e.d.g.a.r. · Answer

Ok voici les trois liens :

https://www.cjoint.com/?BJuqKIvwuVx

https://www.cjoint.com/?BJuqLpByiZJ

https://www.cjoint.com/?BJuqNSW0xQ9


Bonne réception, 

@+

e.d.g.a.r. · Answer

re  : Le précédent message comporte les trois liens importants. 

================================

suite du feuilleton de moindre importance :

C:\Program Files\Symantec\LiveUpdate

LiveUpdate 3.0 ?????

J'ai voulu "supprimer" Symantec de l'arborescence ci-dessus, mais j'ai le message suivant :

Impossible Symantec Alu SchedulerSvc.exe  : Accès refusé
vérifier que le disque ..... efectivement il est en lecture seule. Faut-il passer par Partage / Assistant Configuration réseau ?


@+

e.d.g.a.r. · Answer

re

J'ai pu désinstaller  LiveUpdate 3.0 (+ Live udapte Notice)

Cijoint le dernier rapport Malware que je ne sais pas transmettre via l'hébergement :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3919
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20/10/2012 21:35:23
mbam-log-2012-10-20 (21-35-23).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 213316
Temps écoulé: 1 hour(s), 11 minute(s), 13 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

====================================
 

Dois-je renvoyer des liens OTL ? -ceux que j'ai sont respectivement des horaires suvants : 12h54 - 13h01 - 16h36  



P.S.  lors du démarrage de ce soir, Avira Free Antivirus a détecté :

Autoname dII    TR/kazy . 67 671 30  ????  Mis en quarantaine.


@+

kalimusic · Answer

Ouvre Antivir et essaye de retrouver quel fichier a été mis en quarantaine stp

Je regarde le rapport OTL 

A +

e.d.g.a.r. · Answer

re

***As tu fait la correction avec le script OTL ?**** je ne comprends pas ce que je dois faire en réponse à cette question.

==============

Voici le dernier raport antivir :



Avira Free Antivirus
Date de création du fichier de rapport : samedi 20 octobre 2012  20:20

La recherche porte sur 4377534 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira Free Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Microsoft Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : ACER-7989E0343A

Informations de version :
BUILD.DAT               : 12.0.0.380     40867 Bytes  07/09/2012 22:26:00
AVSCAN.EXE              : 12.3.0.33     468472 Bytes  13/08/2012 10:15:44
AVSCAN.DLL              : 12.3.0.15      65488 Bytes  13/08/2012 10:15:44
LUKE.DLL                : 12.3.0.15      68304 Bytes  13/08/2012 10:15:44
AVSCPLR.DLL             : 12.3.0.14      97032 Bytes  08/05/2012 11:28:39
AVREG.DLL               : 12.3.0.17     232200 Bytes  10/05/2012 19:16:12
VBASE000.VDF            : 7.10.0.0    19875328 Bytes  06/11/2009 08:05:36
VBASE001.VDF            : 7.11.0.0    13342208 Bytes  14/12/2010 14:04:02
VBASE002.VDF            : 7.11.19.170 14374912 Bytes  20/12/2011 14:04:09
VBASE003.VDF            : 7.11.21.238  4472832 Bytes  01/02/2012 13:19:06
VBASE004.VDF            : 7.11.26.44   4329472 Bytes  28/03/2012 20:59:36
VBASE005.VDF            : 7.11.34.116  4034048 Bytes  29/06/2012 11:06:06
VBASE006.VDF            : 7.11.41.250  4902400 Bytes  06/09/2012 18:49:32
VBASE007.VDF            : 7.11.45.207  2363904 Bytes  11/10/2012 11:38:31
VBASE008.VDF            : 7.11.45.208     2048 Bytes  11/10/2012 11:38:31
VBASE009.VDF            : 7.11.45.209     2048 Bytes  11/10/2012 11:38:32
VBASE010.VDF            : 7.11.45.210     2048 Bytes  11/10/2012 11:38:32
VBASE011.VDF            : 7.11.45.211     2048 Bytes  11/10/2012 11:38:32
VBASE012.VDF            : 7.11.45.212     2048 Bytes  11/10/2012 11:38:32
VBASE013.VDF            : 7.11.45.213     2048 Bytes  11/10/2012 11:38:32
VBASE014.VDF            : 7.11.46.65    220160 Bytes  16/10/2012 11:38:29
VBASE015.VDF            : 7.11.46.153   173568 Bytes  18/10/2012 11:38:26
VBASE016.VDF            : 7.11.46.223   162304 Bytes  19/10/2012 20:16:11
VBASE017.VDF            : 7.11.46.224     2048 Bytes  19/10/2012 20:16:11
VBASE018.VDF            : 7.11.46.225     2048 Bytes  19/10/2012 20:16:12
VBASE019.VDF            : 7.11.46.226     2048 Bytes  19/10/2012 20:16:12
VBASE020.VDF            : 7.11.46.227     2048 Bytes  19/10/2012 20:16:12
VBASE021.VDF            : 7.11.46.228     2048 Bytes  19/10/2012 20:16:12
VBASE022.VDF            : 7.11.46.229     2048 Bytes  19/10/2012 20:16:12
VBASE023.VDF            : 7.11.46.230     2048 Bytes  19/10/2012 20:16:12
VBASE024.VDF            : 7.11.46.231     2048 Bytes  19/10/2012 20:16:12
VBASE025.VDF            : 7.11.46.232     2048 Bytes  19/10/2012 20:16:12
VBASE026.VDF            : 7.11.46.233     2048 Bytes  19/10/2012 20:16:12
VBASE027.VDF            : 7.11.46.234     2048 Bytes  19/10/2012 20:16:12
VBASE028.VDF            : 7.11.46.235     2048 Bytes  19/10/2012 20:16:13
VBASE029.VDF            : 7.11.46.236     2048 Bytes  19/10/2012 20:16:13
VBASE030.VDF            : 7.11.46.237     2048 Bytes  19/10/2012 20:16:13
VBASE031.VDF            : 7.11.46.246    16384 Bytes  20/10/2012 11:38:21
Version du moteur       : 8.2.10.187
AEVDF.DLL               : 8.1.2.10      102772 Bytes  10/07/2012 11:42:26
AESCRIPT.DLL            : 8.1.4.60      463227 Bytes  05/10/2012 10:36:09
AESCN.DLL               : 8.1.9.2       131444 Bytes  28/09/2012 10:36:04
AESBX.DLL               : 8.2.5.12      606578 Bytes  15/06/2012 08:34:23
AERDL.DLL               : 8.1.9.15      639348 Bytes  15/02/2012 14:03:25
AEPACK.DLL              : 8.3.0.38      811382 Bytes  28/09/2012 10:36:03
AEOFFICE.DLL            : 8.1.2.48      201082 Bytes  25/09/2012 10:36:25
AEHEUR.DLL              : 8.1.4.118    5423480 Bytes  12/10/2012 11:38:40
AEHELP.DLL              : 8.1.25.2      258423 Bytes  12/10/2012 11:38:35
AEGEN.DLL               : 8.1.5.38      434548 Bytes  28/09/2012 10:35:57
AEEXP.DLL               : 8.2.0.6       115060 Bytes  12/10/2012 11:38:41
AEEMU.DLL               : 8.1.3.2       393587 Bytes  10/07/2012 11:42:24
AECORE.DLL              : 8.1.28.2      201079 Bytes  28/09/2012 10:35:56
AEBB.DLL                : 8.1.1.3        53621 Bytes  19/10/2012 11:38:19
AVWINLL.DLL             : 12.3.0.15      27344 Bytes  13/08/2012 10:15:43
AVPREF.DLL              : 12.3.0.15      51920 Bytes  13/08/2012 10:15:44
AVREP.DLL               : 12.3.0.15     179208 Bytes  08/05/2012 11:28:38
AVARKT.DLL              : 12.3.0.15     211408 Bytes  13/08/2012 10:15:43
AVEVTLOG.DLL            : 12.3.0.15     169168 Bytes  13/08/2012 10:15:44
SQLITE3.DLL             : 3.7.0.1       398288 Bytes  13/08/2012 10:15:44
AVSMTP.DLL              : 12.3.0.32      63992 Bytes  13/08/2012 10:15:44
NETNT.DLL               : 12.3.0.15      17104 Bytes  13/08/2012 10:15:44
RCIMAGE.DLL             : 12.1.0.13    4449488 Bytes  15/02/2012 14:04:25
RCTEXT.DLL              : 12.3.0.31     101368 Bytes  13/08/2012 10:15:43

Configuration pour la recherche actuelle :
Nom de la tâche...............................: AVGuardAsyncScan
Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVGUARD_5082eb3e\guard_slideup.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: quarantaine
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: arrêt
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: intégral

Début de la recherche : samedi 20 octobre 2012  20:20

La recherche sur les processus démarrés commence :
Processus de recherche 'SearchProtocolHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchFilterHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchProtocolHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WindowsSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avshadow.exe' - '1' module(s) sont contrôlés
Processus de recherche 'reader_sl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ZDWlan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Acer.Empowering.Framework.Launcher.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SbPFCl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CALMAIN.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SysMonitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSloader.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleDesktop.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RUNDLL32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PIFSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fxssvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'YahooAUService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SbPFSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SbPFLnch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALUSchedulerSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMSAccessU.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PIFSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehRec.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehSched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehRecvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MemCheck.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\WINDOWS\system32\autoname.dll'
C:\WINDOWS\system32\autoname.dll
  [RESULTAT]  Contient le cheval de Troie TR/Kazy.67671.30

Début de la désinfection :
C:\WINDOWS\system32\autoname.dll
  [RESULTAT]  Contient le cheval de Troie TR/Kazy.67671.30
  [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '533e482d.qua' !


Fin de la recherche : samedi 20 octobre 2012  20:23
Temps nécessaire: 00:08 Minute(s)

La recherche a été effectuée intégralement

      0 Les répertoires ont été contrôlés
     63 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de scanner des fichiers
     62 Fichiers non infectés
      0 Les archives ont été contrôlées
      0 Avertissements
      1 Consignes


Les résultats de la recherche sont transmis au Guard.

================================

Il est 23h19 : Avira Free Antivirus dort....apparemment !


@+

kalimusic · Answer

ok pour antivir,

Refait les étapes 1 & 3 de ce message  stp --> https://forums.commentcamarche.net/forum/affich-26288195-avira-free-antivirus#14

A +

e.d.g.a.r. · Answer

re

A -  

J'ai donc voulu faire l'étape 1 avec OLT. J'ai eu le "sablier pendant 45minutes", sans visu de la progression du processus. En bas de la fenêtre OLT j'avais : Killing processes - DO NOT INTERRUPT.....

J'ai donc éteint le PC, ayant eu des doute sur le lien que j'ai recopié dans presonalisation. 

Est-ce bien celui là :
: OTL IE - "URL" = http://127.0.0.1:4664/search&s=aI62Ks4smn0Hf1OvK7b78vPP0mM?q = {searchTerms} O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - Aucune valeur CLSID trouvé. O3 - HKLM \ .. \ Toolbar: (no name) - {381FFDE8-2394-4f90-B10d-FC6124A40F8C} - Aucune valeur CLSID trouvé. O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: erreur de clé). [7 C: \ WINDOWS \ Fonts \ * tmp -> C:. \ WINDOWS \ Fonts \ * tmp ->] [2 C:.. \ WINDOWS \ System32 \ * tmp fichiers -> C: \ WINDOWS \ System32 \ *. tmp ->] [05/10/2010 00:26:35 | 000,000,000 | --- D | M] - C: \ Documents and Settings \ charly \ Application Data \ OpenCandy: Fichiers ipconfig / flushdns / c: Commands [ EMPTYTEMP]


1 ) Dois-je le copier  avec la première ligne   [: OTL IE - "URL" =...] ou seulement à partir de [http:\.....] ?

2 )  Faut-ilcocher tous utilisateurs ?

3) C'est rapport minimal qui est sélectionné


@+

e.d.g.a.r. · Answer

J'ai refait l'essai en collant à partir de [http\....

résultat :

Error: Unable to interpret <http://127.0.0.1:4664/search&s=aI62Ks4smn0Hf1OvK7b78vPP0mM?q = {searchTerms} O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - Aucune valeur CLSID trouvé. O3 - HKLM \ .. \ Toolbar: (no name) - {381FFDE8-2394-4f90-B10d-FC6124A40F8C} - Aucune valeur CLSID trouvé. O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: erreur de clé). [7 C: \ WINDOWS \ Fonts \ * tmp -> C:. \ WINDOWS \ Fonts \ * tmp ->] [2 C:.. \ WINDOWS \ System32 \ * tmp fichiers -> C: \ WINDOWS \ System32 \ *. tmp ->] [05/10/2010 00:26:35 | 000,000,000 | --- D | M] - C: \ Documents and Settings \ charly \ Application Data \ OpenCandy: Fichiers ipconfig / flushdns / c: Commands [ EMPTYTEMP]> in the current context!
 
OTL by OldTimer - Version 3.2.69.0 log created on 10212012_170606

kalimusic · Answer

Bonjour,

Ce n'est pas bon, il faut la commande initiale :OTL et respecter les retours à la ligne.
Il n'y a aucun paramètre à modifier en correction.
Copie/colle le script en citation (grisé) :

:OTL
IE - HKU\S-1-5-21-1571414103-765381124-3949952804-1005\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=aI62Ks4smn0Hf1OvK7b78vPP0mM?q={searchTerms}     
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.     
O3 - HKLM\..\Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - No CLSID value found.     
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)     
[7 C:\WINDOWS\Fonts\*.tmp files -> C:\WINDOWS\Fonts\*.tmp -> ] 
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
[2010/10/05 00:26:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\charly\Application Data\OpenCandy     
:Files
ipconfig /flushdns /c
:Commands 
[emptytemp]

A +

e.d.g.a.r. · Answer

Bonsoir,

Avant de te transmettre les trois liens relatifs aus trois étapes convenues lors de notre échange d'hier soir 20/10/2012 23h28,

en voici deux préalables,

- le premier concerne un rapport de mbam après sa mise à jour, et avant l'étape 1 de OLT, qui m'a demandé de supprimer un virus:

https://www.cjoint.com/?BJwaJqDeMTw 
(je ne suis pas sûr que ce soit celui là car j'ai une ligne dans les rapports logs que je ne peux ouvrir = C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs\protection-log-2012-10-21.txt

- le second concerne un virus mis en quarantaine par Avira Free Antivirus, après que l'étape 1 ait été exécutée 

https://www.cjoint.com/?BJvxXtZjgJ7


Au cas ou cet historique des événements aient leur importance.



Je transmets donc les liens correpondant aux trois étapes, à suivre,

Bonsoir, et à demain.

e.d.g.a.r. · Answer

re, 
il est tard, mais il n'y a pas d'heures pour les braves !

a) merci de prendre connaissance des liens sur l'envoi précédent, si tant est qu'ils soient utiles.

b) voici les 3 liens demandés :

1 = https://www.cjoint.com/?BJwbGHEIO1t            

2 =  https://www.cjoint.com/?BJwbKDi3tTE 

3 =  https://www.cjoint.com/?BJwbOMRR8Gh          (rapport de 01h13:41)


Bonne réception et à demain

@+

kalimusic · Answer

Bonjour,

Malwarebytes a détecté une page d'acceuil indésirable dans IE  (quin'apparaissait pas dans l'analyse OTL) et Antivir détecte des éléments dans la restauration système, ce qui est tout à fait normal, on la purgera en fin de désinfection.
La correction OTL a été correctement effectué mais je n'ai pas le temps de regarder le nouveau rapport d'analyse avant ce soir.

Comment se comporte le pc maintenant ?

A +

e.d.g.a.r. · Answer

Bonjour,
et merci encore de ton aide précieuse.

 J'ai lancé ce midi un examen complet avec mbam qui m'a détecté un "Trojan. Fake FAV" - Voici le rapport.

https://www.cjoint.com/?BJwnLzAwXMT


Hier soir, Avira Free Antivirus, m'a alerté sur 4 infections qui sont sans doute en lien avec ton commentaire de ce jour. Voici quand même le rapport :

https://www.cjoint.com/?BJwnScXSP6W


P.S. 

a) Depuis des semaines; comme un certain nombre d'internautes apparemment , la page d'accueil SFR s'affiche mal avec IE8, alors quelle est correcte avec Google chrome. Y a t'il un lien de cause à effet ? J'en doute.

b) mes soucis "d'infections", semblent être apparus en même temps qu'un logiciel antivirus nommé     "Système Progressive Protection"   se soit installé malgré moi (fausse manip ?). Toujours est-il que j'espère l'avoir bien désinstallé et non supprimé ! Comment le savoir ?  

Bonne journée, et à ce soir, 

@+

kalimusic · Answer

Bonjour,

Les détections sont soit dans la restauration système comme déjà expliqué, soit dans la quarantaine des outils utilisés, on va s'en occuper juste après ;) 


***

a) Depuis des semaines; comme un certain nombre d'internautes apparemment , la page d'accueil SFR s'affiche mal avec IE8, alors quelle est correcte avec Google chrome. Y a t'il un lien de cause à effet ? J'en doute. Désolé, je n'en sais rien.

b) mes soucis "d'infections", semblent être apparus en même temps qu'un logiciel antivirus nommé "Système Progressive Protection" se soit installé malgré moi (fausse manip ?). Toujours est-il que j'espère l'avoir bien désinstallé et non supprimé ! Comment le savoir ?  Système Progressive Protection est un rogue.
https://www.bleepingcomputer.com/virus-removal/remove-system-progressive-protection
Ce n'est pas toujours le cas, mais c'est lié. L'infection s'invite sur le système en exploitant les failles des logiciels qui ne sont pas jour.


 == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1.  Ouvre la commande Exécuter en pressant Windows + R 
&#x25CF; Dans la boite de dialogue, tape ComboFix /Uninstall 
&#x25CF; Valide par Ok puis suivre les invites à l'écran.
&#x25CF; Un message confirme que ComboFix a été désinstallé. 

2. Lance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

3. Relance OTL 
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau


== == == == == == == == == == MISES A JOUR == == == == == == == == == ==

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne soirée

e.d.g.a.r. · Answer

Bonsoir, 

J'ai enfin pu désinstaller Combofix après plusieurs essais : Après avoir utilisé les touches Windows+R (et non en passant par l'onglet démarrer), et respecté la casse "espace" entre Combofix /    et le slach.

Du coup j'ai involontairement relancé un rapport combofix (n°2) que voici pour info.

https://www.cjoint.com/?BJxbI4uXnBb


OK pour le reste dont java.

Merci mille fois pour tout. J'espère que nous sommes arrivés au bout des infections signalées au cours des échanges depuis le 19/10.

@+ sur le forum.

e.d.g.a.r. · Answer

Bonjour,

Après action, j'ai bien repéré cet unique point de restauration. 

Fin de la désinfection donc.

Bonne journée.

AVIRA Free Antivirus

27 réponses

Discussions similaires

Newsletters