RÉSOLU : attaque sérieuse sysam.exe

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 03 Juin 2010 11:33

j'ai été occupé à autre chose, désolé.

Voici le rapport Avira :



Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 3 juin 2010 11:46

La recherche porte sur 2184355 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : Bressy
Nom de l'ordinateur : KALIBEE-16F29E6

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 28/05/2010 20:13:25
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:13:22
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:13:22
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 20:13:22
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 20:13:22
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 20:13:22
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 20:13:22
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 20:13:22
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 20:13:22
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 20:13:22
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 20:13:22
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 20:13:22
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 20:13:22
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 20:13:22
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 20:13:22
VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 20:13:22
VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 20:13:22
VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 20:13:22
VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 20:13:22
VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 20:13:23
VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 20:13:23
VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 20:13:23
VBASE021.VDF : 7.10.7.51 118272 Bytes 06/05/2010 20:13:23
VBASE022.VDF : 7.10.7.75 404992 Bytes 10/05/2010 20:13:23
VBASE023.VDF : 7.10.7.100 125440 Bytes 13/05/2010 20:13:23
VBASE024.VDF : 7.10.7.119 177664 Bytes 17/05/2010 20:13:23
VBASE025.VDF : 7.10.7.139 129024 Bytes 19/05/2010 20:13:23
VBASE026.VDF : 7.10.7.157 145920 Bytes 21/05/2010 20:13:23
VBASE027.VDF : 7.10.7.173 147456 Bytes 25/05/2010 20:13:23
VBASE028.VDF : 7.10.7.189 120320 Bytes 27/05/2010 20:13:23
VBASE029.VDF : 7.10.7.202 130560 Bytes 31/05/2010 15:37:57
VBASE030.VDF : 7.10.7.213 116736 Bytes 01/06/2010 09:43:18
VBASE031.VDF : 7.10.7.214 13312 Bytes 02/06/2010 09:43:18
Version du moteur : 8.2.2.4
AEVDF.DLL : 8.1.2.0 106868 Bytes 28/05/2010 20:13:24
AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 02/06/2010 09:43:29
AESCN.DLL : 8.1.6.1 127347 Bytes 28/05/2010 20:13:24
AESBX.DLL : 8.1.3.1 254324 Bytes 28/05/2010 20:13:24
AERDL.DLL : 8.1.4.6 541043 Bytes 28/05/2010 20:13:24
AEPACK.DLL : 8.2.1.1 426358 Bytes 28/05/2010 20:13:24
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 28/05/2010 20:13:24
AEHEUR.DLL : 8.1.1.32 2720118 Bytes 02/06/2010 09:43:26
AEHELP.DLL : 8.1.11.5 242038 Bytes 02/06/2010 09:43:20
AEGEN.DLL : 8.1.3.10 377205 Bytes 02/06/2010 09:43:19
AEEMU.DLL : 8.1.2.0 393588 Bytes 28/05/2010 20:13:23
AECORE.DLL : 8.1.15.3 192886 Bytes 28/05/2010 20:13:23
AEBB.DLL : 8.1.1.0 53618 Bytes 28/05/2010 20:13:23
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 28/05/2010 20:13:25
AVREP.DLL : 8.0.0.7 159784 Bytes 28/05/2010 20:13:25
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 28/05/2010 20:13:20
RCTEXT.DLL : 9.0.73.0 88321 Bytes 28/05/2010 20:13:20

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Sélection manuelle
Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\PROFILES\folder.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : jeudi 3 juin 2010 11:46

La recherche d'objets cachés commence.
'44104' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ss_service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FilMsg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SUPERAntiSpyware.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ss_service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'xfilter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sqlservr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'aawservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BCMWLTRY.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'WLTRYSVC.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WLKEEPER.exe' - '1' module(s) sont contrôlés
Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'49' processus ont été contrôlés avec '49' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '54' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\28ab773e3d0b780fe7\CustomText.1036.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\DeleteTemp.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\dlmgr.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\DW20.EXE
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\DWINTL20.DLL
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\ExpressRes.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\ExpressUI.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\gencomp.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\HtmlLite.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\setup.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\setupres.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\SITSetup.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\vs70uimgr.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\vsbasereqs.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\vsscenario.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\28ab773e3d0b780fe7\vs_setup.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\DeleteTemp.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\dlmgr.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\DW20.EXE
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\DWINTL20.DLL
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\gencomp.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\HtmlLite.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setup.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1025.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1028.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1029.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1030.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1031.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1032.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1035.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1036.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1037.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1038.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1040.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1041.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1042.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1043.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1044.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1045.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1046.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1049.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1053.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.1055.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.2052.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.2070.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.3082.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\setupres.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\SITSetup.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\vs70uimgr.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\vsbasereqs.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\vsscenario.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\vs_setup.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1025.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1028.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1029.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1030.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1031.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1032.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1035.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1036.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1037.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1038.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1040.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1041.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1042.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1043.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1044.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1045.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1046.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1049.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1053.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.1055.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.2052.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.2070.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.3082.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapRes.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\969391c3c8999fd078bc9096101516\WapUI.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\CustomText.1036.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\DeleteTemp.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\dlmgr.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\DW20.EXE
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\DWINTL20.DLL
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\ExpressRes.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\ExpressUI.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\gencomp.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\HtmlLite.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\setup.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\setupres.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\SITSetup.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\vs70uimgr.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\vsbasereqs.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\vsscenario.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\aa5738e580c87bea69af54\vs_setup.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\CustomText.1036.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\DeleteTemp.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\dlmgr.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\DW20.EXE
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\DWINTL20.DLL
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\ExpressRes.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\ExpressUI.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\gencomp.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\HtmlLite.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\setup.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\setupres.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\SITSetup.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\vs70uimgr.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\vsbasereqs.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\vsscenario.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\c570395130e8904649ad71ae74f6\vs_setup.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\SoftwareDistribution\Download\a902edf766fc765d2503c629a96adda0\BIT15.tmp
[0] Type d'archive: CAB (Microsoft)
--> _sfx_0005._p
[AVERTISSEMENT] Impossible d'écrire le fichier !
--> _sfx_0003._p
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\_OTM\MovedFiles\05292010_104031.zip
[0] Type d'archive: ZIP
--> C_WINDOWS/system32/drivers/sysam.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen2
C:\_OTM\MovedFiles\05292010_104031\C_WINDOWS\system32\drivers\sysam.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen2

Début de la désinfection :
C:\_OTM\MovedFiles\05292010_104031.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c39842a.qua' !
C:\_OTM\MovedFiles\05292010_104031\C_WINDOWS\system32\drivers\sysam.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c7a846e.qua' !


Fin de la recherche : jeudi 3 juin 2010 12:29
Temps nécessaire: 41:57 Minute(s)

La recherche a été effectuée intégralement

12238 Les répertoires ont été contrôlés
410245 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
110 Impossible de contrôler des fichiers
410133 Fichiers non infectés
2793 Les archives ont été contrôlées
113 Avertissements
3 Consignes
44104 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

A+
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 03 Juin 2010 16:08

j'ai été occupé à autre chose, désolé.
Non, pas de problème, il y a une vie loin de l'écran. ;)

Clean, il a juste nettoyé les quarantaines.

Plus de symptômes ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 03 Juin 2010 18:53

nan ça a l'air nickel. Je suis bien content de mon firewall ;-) Facile à utiliser.

Merci encore pour cet accompagnement. Je libère le pc des outils style Combo et tout et tout.

A +
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 03 Juin 2010 19:01

Désinstalle combofix : entre combofix /uninstall dans la boite exécuter du menu démarrer.
=> combofix espace slasht uninstall
Après cela, efface ce dossier s'il existe encore :
C:\QooBox

Pour Désinstaller OTMoveit (OTM), démarre-le et clique sur Clean Up!

Pas autrement !

On n'a pas terminé.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 06 Juin 2010 16:41

Toujours là ?

Un autre outil à passer :

Télécharge l'outil suivant (de noahdfear) sur ton Bureau :
http://noahdfear.net/downloads/HAMeb_check.exe

Lance-le. Un rapport apparaîtra à l'écran ; copie/colle son contenu ici, dans ta réponse.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 07 Juin 2010 10:08

merci de continuer de m'aider ! Voici le rapport noahdfear :

C:\Documents and Settings\Bressy\Mes documents\Téléchargements\HAMeb_check.exe
07/06/2010 at 11:06:19,42

Compteÿ: actif Oui
Appartient aux groupes locaux *Administrateurs

~~ Checking profile list ~~

S-1-5-21-1085031214-1580818891-839522115-1000
%SystemDrive%\Documents and Settings\HelpAssistant

~~ Checking for HelpAssistant directories ~~

HelpAssistant

~~ Checking mbr ~~

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll intelide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

~~ Checking for termsrv32.dll ~~

termsrv32.dll present!


HKEY_LOCAL_MACHINE\system\currentcontrolset\services\termservice\parameters
ServiceDll REG_EXPAND_SZ %SystemRoot%\System32\termsrv.dll

~~ Checking firewall ports ~~

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile\GloballyOpenPorts\List]
"65533:TCP"=65533:TCP:*:Enabled:Services
"52344:TCP"=52344:TCP:*:Enabled:Services
"2076:TCP"=2076:TCP:*:Enabled:Services
"2652:TCP"=2652:TCP:*:Enabled:Services
"3389:TCP"=3389:TCP:*:Enabled:Remote Desktop

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"=65533:TCP:*:Enabled:Services
"52344:TCP"=52344:TCP:*:Enabled:Services
"2076:TCP"=2076:TCP:*:Enabled:Services
"2652:TCP"=2652:TCP:*:Enabled:Services
"3389:TCP"=3389:TCP:*:Enabled:Remote Desktop


~~ EOF ~~


A+
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 07 Juin 2010 16:36

On attaque maintenant..
=============

Avis aux visiteurs : cette procédure est personnalisée pour la machine de Bressy

*Important : il faut suivre les instructions suivantes à la lettre, selon la séquence prescrite. Prière d'imprimer les instructions car aucun programme sauf l'outil ne doit être lancé durant la procédure, navigateur inclus.

Télécharge l'outil suivant et sauvegarde-le sur le Bureau (merci à noahdfear) :
http://noahdfear.net/downloads/HelpAsst/He...mebroot_fix.exe
(pour XP seulement)

- Ferme tous les programmes lancés/ouverts.
- Lance l'outil par double-clic et suis les invites.
- Si l'outil détecte un infection du MBR : permets-lui de lancer "mbr -f" et ensuite d'éteindre la machine.
- Après redémarrage, patiente 5 minutes (n'ouvre ou ne lance rien), et ensuite fais ceci :
> Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" :

helpasst -mbrt

(il y a un espace après "helpasst")

- L'outil va tourner, puis produire un rapport ;
- Copie/colle le contenu de ce rapport ici, dans ta réponse.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Cette étape-ci n'est à exécuter que si l'outil n'a pas trouvé d'infection du MBR durant l'étape précédente.

**Si l'outil ne détecte pas d'infection du MBR et complète sa routine sans redémarrer la machine :

> Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" :

mbr -f

(il y a un espace après "mbr")

- Prière de refaire l'étape ci-haut une seconde fois (exécuter la commande mbr -f)
- Maintenant, éteinds la machine (pas un redémarrage, mais un arrêt).
- Attends quelques minutes (3 ou 4), puis démarre la machine à nouveau ;
- Patiente 5 minutes, après le démarrage (ne lance rien).
> Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" :

helpasst -mbrt

(il y a un espace après "helpasst")

- L'outil va tourner, puis produire un rapport ;
- Copie/colle le contenu de ce rapport ici, dans ta réponse.
=====

*Note importante pour les machines Dell : une réparation du MBR peut retirer l'accès à l'utilitaire de restauration d'usine, qui permet une restauration à l'état d'origine via une touche du clavier, au démarrage. Il existe quelques méthodes pour y remédier, mais celles-ci sont quelque peu complexes. Si le risque te semble trop important, il est alors déconseillé de laisser l'outil exécuter la commande "mbr -f" ou d'exécuter cette dernière manuellement ; si c'est la cas, tu devras alors restaurer la machine à son état d'origine (ce qui correspond à un formatage), ou bien ne rien faire et conserver un Master Boot Record infecté (non recommandé).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 08 Juin 2010 09:53

visiblement l'outil n'a pas trouvé d'infection du mbr (pas de redémarrage), donc, j'ai appliqué la seconde procédure. Voici le rapport :

C:\Documents and Settings\Bressy\Bureau\HelpAsst_mebroot_fix.exe
08/06/2010 at 10:05:59,71

HelpAssistant account is Active ~ attempting to de-activate

Compteÿ: actif Oui
Appartient aux groupes locaux *Administrateurs

HelpAssistant successfully set Inactive

~~ Checking for termsrv32.dll ~~

termsrv32.dll present! ~ attempting to remove
termsrv32.dll successfully removed

~~ Checking firewall ports ~~

backing up DomainProfile\GloballyOpenPorts\List registry key
closing rogue ports

HKLM\~\services\sharedaccess\parameters\firewallpolicy\domainprofile\globallyopenports\list
"65533:TCP"=-
"52344:TCP"=-
"2076:TCP"=-
"2652:TCP"=-
"3389:TCP"=-

backing up StandardProfile\GloballyOpenPorts\List registry key
closing rogue ports

HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\globallyopenports\list
"65533:TCP"=-
"52344:TCP"=-
"2076:TCP"=-
"2652:TCP"=-
"3389:TCP"=-

~~ Checking profile list ~~

HelpAssistant profile found in registry ~ backing up and removing S-1-5-21-1085031214-1580818891-839522115-1000
HelpAssistant profile directory exists at C:\Documents and Settings\HelpAssistant ~ attempting to remove
~ All C:\Documents and Settings\HelpAssistant files successfully removed ~

~~ Checking mbr ~~

user & kernel MBR OK

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Status check on 08/06/2010 at 10:50:02,12

Compteÿ: actif Non
Appartient aux groupes locaux

~~ Checking mbr ~~

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll intelide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

~~ Checking for termsrv32.dll ~~

termsrv32.dll not found


HKEY_LOCAL_MACHINE\system\currentcontrolset\services\termservice\parameters
ServiceDll REG_EXPAND_SZ %systemroot%\System32\termsrv.dll

~~ Checking profile list ~~

No HelpAssistant profile in registry

~~ Checking for HelpAssistant directories ~~

none found

~~ Checking firewall ports ~~

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]


~~ EOF ~~
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 08 Juin 2010 18:41

Là c'est bon. :super:

Exécute la commande suivante :
helpasst -cleanup
(dans menu démarrer, exécuter)

Ensuite tu pourras supprimer HelpAssistant_mebroot_fix.exe du bureau à la main.
HAMeb_check.exe doit être viré à la main (du Bureau), aussi.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 08 Juin 2010 19:54

ok, done.

Merci encore pour toute cette démarche.

A+
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 08 Juin 2010 20:14

On termine, poste un rapport HijackThis stp, et je te prépare les nettoyages, mises à jour et autres démarches pour sécuriser.
Si tu me confirmes que tout tourne bien. ;)
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 09 Juin 2010 08:23

Oui, ça tourne bien. Il y a juste avira qui détecte régulièrement un logiciel :
Dans le fichier 'C:\System Volume Information\_restore{9E8CBC28-EF97-4191-B10D-79B61AD6E9FD}\RP8\A0000851.exe'
un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen2' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Mais depuis ce matin, il ne voit plus rien...donc cool ;-)

voici le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:19:34, on 09/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Eltima Software\Shared Serial Ports\ss_service.exe
C:\Program Files\Eltima Software\Shared Serial Ports\ss_service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Filseclab\xfilter\xfilter.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Fichiers communs\Filseclab\FilMsg.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = gmail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [XFILTER] "C:\Program Files\Filseclab\xfilter\xfilter.exe" -a
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Filseclab Messenger.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service Google Update (gupdate1c9ec574bbdba0) (gupdate1c9ec574bbdba0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Eltima Serial Share Service (ss_service) - Unknown owner - C:\Program Files\Eltima Software\Shared Serial Ports\ss_service.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 6938 bytes


Voilà, à+
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 09 Juin 2010 14:25

Désactive et réactive la restauration système pour purger tout ça :
http://www.libellules.ch/desactiver_restauration.php

Passe à IE8 (bien plus rapide, plus fiable, plus récent), même si tu ne l'utilises pas pour le surf :
http://www.microsoft.com/windows/intern ... fault.aspx

Je te prépare la suite.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 09 Juin 2010 16:51

done. j'attends tes instructions. Par contre, je ne vois pas en quoi upgrader IE joue un rôle car je ne l'utilise jamais.
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 09 Juin 2010 18:45

Les composants d'IE sont utilisés par les programmes, et il faut l'avoir à jour pour ça, et aussi pour éviter les failles (même si toi tu ne l'utilises pas, un programme le fera à ta place). ;)

Relance HijackThis, clique sur "Scan" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555


Pour Désinstaller OTMoveit (OTM), démarre-le et clique sur Clean Up!

Garde MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines.
Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.
Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats.


De manière générale, n'oublie pas de faire des sauvegarde de tes documents personnels régulièrement.

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.
PSI de Secunia peut t'y aider. https://psi.secunia.com/
JavaRa peut t'y aider pour Java : http://raproducts.org/
Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres.
Et bien sûr, il y a Windows Updates.

Rends toi sur cette page de configuration du plugin Flash.
Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours.
Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage.

Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares.
Pour tout savoir sur le plugin flash : la FAQ du plugin Flash

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) :
Image (clique sur l'image).

Plus d'infos dans la FAQ sécurité du site.

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 10 Juin 2010 17:49

ok, je fais ça, merci ;-)
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Précédente

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités