[Résolu] infection

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[Résolu] infection

Messagepar naima » 10 Juin 2009 15:45

Salut la communauté:

J'ai utilisé une clé USB infectée sans faire exprès, mais que j'ai désinfecté par la suite grâce au MBAM.
Maintenant je ne peux accéder ni aux disques C et D ni à la clé aussi avec "le double clic", une fenêtre s'affiche me disant que windows ne trouve pas "wscript.exe".
Que dois-je faire svp.

Merci.
Dernière édition par naima le 25 Juin 2009 19:36, édité 3 fois.
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: infection

Messagepar Dell » 10 Juin 2009 16:05

Bonjour naima
Pour gagner du temps post un log HijackThis un des helpers vas te prendre en main dès que possible (Apollo, Falkra, Loup Blanc, Nardino et Ogu), sont les helpers autorisés

:arrow: Tuto et lien pour poster un rapport HijackThis

_DELL_
Windows 10/ 64 Bits, FireFox, F-Secure,
Internet InOne M , SwisscomTv InOne M, Téléphonie IP InOne M, Mobile InOne S
Avatar de l’utilisateur
Dell
Modérateur
Modérateur
 
Messages: 9459
Inscription: 16 Oct 2002 16:57
Localisation: Aigle (Suisse)

Re: infection

Messagepar naima » 10 Juin 2009 16:08

Merci DELL voilà le rapport hijack/


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:07:29, on 10/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\DHTray.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\naima\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.windows.fr/ie8/bienvenue
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [DHTray] C:\WINDOWS\system32\DHTray.exe
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\naima\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\cssdll32.dll
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8641 bytes
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: infection

Messagepar nardino » 11 Juin 2009 08:24

Bonjour.

Quel est ton système d'exploitation ?
Peux-tu vérifier la présence du fichier dans C:\Windows\system32\ ?
Indique la taille de celui-ci si présent.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: infection

Messagepar naima » 11 Juin 2009 11:53

Bonjour,

Système d'exploitation: MS Windows XP professionnal SP3.
wscript.exe est présent sur C:\Windows\system32\.
la taille de l'application 126 KO et de l'exécutable 12KO.

a++
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: infection

Messagepar naima » 11 Juin 2009 17:40

Est-ce que quelqu'un pourrait m'aider svp?
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: infection

Messagepar nardino » 13 Juin 2009 08:43

Bonjour.

Excuses-moi, j'ai été absent quelques jours.
Après vérification sur plusieurs pc le fichier wscript.exe devrait peser 152 Ko.
Peux-tu faire analyser le tien sur ce site :
http://www.virustotal.com/
Poste le résultat.
Merci.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: infection

Messagepar naima » 13 Juin 2009 11:58

Bonjour nardino,

J'ai refais une seconde recherche du fichier dans le lecteur C, il est présent dans plusieurs sous fichiers.

Le wscript (de 152KO) se trouve dans c:\windows\ServicePackFiles.

Sinon des fichiers PF dans c:\windows\Prefetch et un fichier MUI dans c:\windows\systeme32\fr-fr

et l'application nwscript (je ne sais pas ce que c'est) sur c:\windows\systeme32\

Voilà, le résultat de la recherche, dsl pour l'erreur.

a+
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: infection

Messagepar nardino » 13 Juin 2009 21:19

Bonsoir.
Ce que j'aimerai savoir c'est le résultat de l'analyse de ce fichier :
c:\windows\systeme32\wscript.exe
Sur le lien indiqué plus haut.
Et son poids.
Merci
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: infection

Messagepar naima » 13 Juin 2009 21:43

Bonsoir,

oui mais wscript.exe ne se trouve pas dans le system32 mais mais dans le ServicePackFiles :?: :idea: .

est ce que je dois faire l'analyse de c:\windows\ServicePackFiles\wscript.exe ?
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: infection

Messagepar nardino » 13 Juin 2009 21:51

Bonsoir.
Tu en fais une copie à partir de c:\windows\ServicePackFiles\wscript.exe dans C:\Windows\system32\
à la seule condition que le poids du fichier soit bien de 152 Ko.
Donne des nouvelles ensuite.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: infection

Messagepar naima » 14 Juin 2009 21:20

bonsoir,

J'ai fais la copie du fichier dans system 32, je l'ai analysé et d'après le lien donné, voilà le résultat :


Fichier wscript.exe reçu le 2009.06.14 20:17:01 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 1/40 (2.5%)


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.14 -
AhnLab-V3 5.0.0.2 2009.06.14 -
AntiVir 7.9.0.187 2009.06.14 -
Antiy-AVL 2.0.3.1 2009.06.12 -
Authentium 5.1.2.4 2009.06.14 -
Avast 4.8.1335.0 2009.06.14 -
AVG 8.5.0.339 2009.06.14 -
BitDefender 7.2 2009.06.14 -
CAT-QuickHeal 10.00 2009.06.13 -
ClamAV 0.94.1 2009.06.14 -
Comodo 1328 2009.06.14 -
DrWeb 5.0.0.12182 2009.06.14 -
eSafe 7.0.17.0 2009.06.11 Win32.Autorun
eTrust-Vet 31.6.6556 2009.06.12 -
F-Prot 4.4.4.56 2009.06.14 -
F-Secure 8.0.14470.0 2009.06.13 -
Fortinet 3.117.0.0 2009.06.14 -
GData 19 2009.06.14 -
Ikarus T3.1.1.59.0 2009.06.14 -
K7AntiVirus 7.10.762 2009.06.12 -
Kaspersky 7.0.0.125 2009.06.14 -
McAfee 5646 2009.06.14 -
McAfee+Artemis 5646 2009.06.14 -
McAfee-GW-Edition 6.7.6 2009.06.14 -
Microsoft 1.4701 2009.06.14 -
NOD32 4153 2009.06.14 -
Norman 6.01.09 2009.06.12 -
nProtect 2009.1.8.0 2009.06.14 -
Panda 10.0.0.14 2009.06.14 -
PCTools 4.4.2.0 2009.06.12 -
Prevx 3.0 2009.06.14 -
Rising 21.33.62.00 2009.06.14 -
Sophos 4.42.0 2009.06.14 -
Sunbelt 3.2.1858.2 2009.06.14 -
Symantec 1.4.4.12 2009.06.14 -
TheHacker 6.3.4.3.345 2009.06.13 -
TrendMicro 8.950.0.1092 2009.06.12 -
VBA32 3.12.10.7 2009.06.14 -
ViRobot 2009.6.13.1785 2009.06.13 -
VirusBuster 4.6.5.0 2009.06.14 -
Information additionnelle
File size: 155648 bytes
MD5...: 1d57f948bd2fa464137165329877732b
SHA1..: 5b1c3174a613f789c01c059670d0c955901dac71
SHA256: 4b8f4746f16e7a91e2406d0b7eace8720b51250e35c7f53132d49606fb6b0460
ssdeep: -
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2b73
timedatestamp.....: 0x473e4e90 (Sat Nov 17 02:14:40 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x173fc 0x18000 6.24 b502ad54c71a5fdef37f71d85a77889c
.data 0x19000 0x4dc 0x1000 0.33 d3358059beab53a6f00b52a4feb6de42
.rsrc 0x1a000 0x94d0 0xa000 4.01 0218acc184e81cf1b7e6f821df842024
.reloc 0x24000 0x1364 0x2000 4.84 2260febbba90fd4cfc6d88393df8157e

( 7 imports )
> ADVAPI32.dll: RegCreateKeyA, RegCloseKey, RegSetValueA, RegOpenKeyA, RegQueryValueA, RegDeleteKeyA, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW, RegCreateKeyExA, RegOpenKeyExW, ImpersonateLoggedOnUser, RegisterEventSourceW, GetUserNameW, LookupAccountNameW, ReportEventW, DeregisterEventSource, IsTextUnicode, RegQueryValueExA, RegEnumKeyExA, RegOpenKeyExA, RegSetValueExA
> KERNEL32.dll: GetCommandLineA, lstrlenW, GetCommandLineW, HeapAlloc, HeapFree, GetProcessHeap, GetProcAddress, SearchPathW, FindResourceW, GetUserDefaultUILanguage, GetSystemDefaultUILanguage, GetVersionExW, GetLocaleInfoW, CreateFileMappingW, LoadLibraryExW, FindResourceExW, LoadResource, SetLastError, CreateFileW, GetFileSize, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, GetPrivateProfileIntW, GetPrivateProfileIntA, GetPrivateProfileStringW, GetPrivateProfileStringA, GetFullPathNameW, GetFullPathNameA, GetLocaleInfoA, LoadLibraryExA, GetUserDefaultLCID, LoadLibraryW, GetUserDefaultLangID, HeapReAlloc, GetStdHandle, GetConsoleMode, GetSystemDirectoryA, GetTempPathA, GetTempFileNameA, CreateFileA, WriteFile, FlushFileBuffers, GetCPInfo, GetFileAttributesW, FindFirstFileW, GetFileAttributesA, FindFirstFileA, FindClose, GetACP, CreateEventA, CreateThread, CloseHandle, SetEvent, FormatMessageW, LocalAlloc, LocalFree, FormatMessageA, GetVersionExA, GetModuleFileNameW, LoadLibraryA, FreeLibrary, lstrlenA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, RtlUnwind, OutputDebugStringA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetCurrentThreadId, InterlockedIncrement, InterlockedCompareExchange, InterlockedExchange, InterlockedDecrement, ExitProcess, GetModuleHandleA, GetStartupInfoA, GetLastError, WideCharToMultiByte, MultiByteToWideChar, GetModuleFileNameA
> USER32.dll: GetMessageA, DispatchMessageA, GetActiveWindow, MessageBoxW, PostThreadMessageA, GetParent, TranslateMessage, PeekMessageA, MsgWaitForMultipleObjects, SendMessageA, PostMessageA, LoadStringW, LoadStringA, CharNextA, GetClassInfoA, RegisterClassA, CreateWindowExA, GetWindowLongA, SetWindowLongA, SetTimer, DefWindowProcA, PostQuitMessage, KillTimer, EnumThreadWindows, IsWindowVisible, GetClassNameA
> msvcrt.dll: __mb_cur_max, _vsnwprintf, _errno, _vsnprintf, memcpy, memmove, malloc, free, mbtowc, isleadbyte, _snprintf, _itoa, wctomb, ferror, _swab, wcsrchr, _itow, __badioinfo, __pioinfo, _fileno, _lseeki64, _write, _isatty, __3@YAXPAX@Z, wcsncmp, _wcsicmp, _wcsnicmp, _iob, __2@YAPAXI@Z, memset, _endthread, _beginthread, bsearch
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> ole32.dll: CLSIDFromProgID, MkParseDisplayName, CoGetClassObject, CoRegisterMessageFilter, CoInitializeSecurity, CreateFileMoniker, CreateBindCtx, CoMarshalInterThreadInterfaceInStream, CoGetInterfaceAndReleaseStream, CoUninitialize, CoInitialize, CoCreateInstance, CoRevokeClassObject, CoRegisterClassObject, StringFromCLSID, CoGetMalloc, CLSIDFromString
> VERSION.dll: VerQueryValueW, GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA, GetFileVersionInfoW, GetFileVersionInfoSizeW

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=1d57f948bd2fa464137165329877732b' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=1d57f948bd2fa464137165329877732b</a>



C'est grave Docteur? :roll:

a+
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: infection

Messagepar nardino » 14 Juin 2009 21:43

Bonsoir.
Je ne sais pas quel fichier tu as fait analyser.
Tu m'as dit que tu n'avais pas le fichier wscript.exe de 152 Ko dans le system32.
Je t'ai donc demandé de faire la copie dans ce dossier à partir du service packfile.
Est-ce bien celui-ci que tu as soumis à Virus Total ?
Tes problèmes sont-ils maintenant résolus ?
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: infection

Messagepar naima » 15 Juin 2009 00:37

Comme tu m'as demandé, j'ai fait une copie vers le system 32 que j'ai analysé.
Maintenant je viens d'avoir 6 ou 7 alarmes d'avira, c'est bourré de virus. :whaou: :whaou:
Le problème n'est toujours pas réglé malheureusement.

:cry:
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: infection

Messagepar nardino » 15 Juin 2009 09:45

Bonjour
Puis-je voir une copie du dernier rapport d'analyse de Antivir ?
Tu trouveras dans Aperçu Rapports, en double cliquant sur le rapport voulu et en cliquant sur rapport dans le message qui s'ouvre.
Ensuite un copier-coller comme dab.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: infection

Messagepar naima » 15 Juin 2009 16:33

Re

Voilà le résultat de la dernière analyse d'Antivir:




Avira AntiVir Personal
Date de création du fichier de rapport : lundi 15 juin 2009 13:41

La recherche porte sur 1465038 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :HP21325285321

Informations de version :
BUILD.DAT : 8.2.0.61 17752 Bytes 25/05/2009 13:47:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 17:14:37
ANTIVIR2.VDF : 7.1.4.87 2982912 Bytes 12/06/2009 17:34:13
ANTIVIR3.VDF : 7.1.4.89 13312 Bytes 14/06/2009 17:25:00
Version du moteur: 8.2.0.187
AEVDF.DLL : 8.1.1.1 106868 Bytes 11/05/2009 17:22:12
AESCRIPT.DLL : 8.1.2.6 409978 Bytes 11/06/2009 17:25:54
AESCN.DLL : 8.1.2.3 127347 Bytes 15/05/2009 17:10:01
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.18 401783 Bytes 27/05/2009 17:22:52
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 11/05/2009 17:21:21
AEHEUR.DLL : 8.1.0.131 1786232 Bytes 11/06/2009 17:25:44
AEHELP.DLL : 8.1.3.6 205174 Bytes 11/06/2009 17:25:01
AEGEN.DLL : 8.1.1.45 348532 Bytes 10/06/2009 17:24:20
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.6.12 180599 Bytes 27/05/2009 17:22:42
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 11/05/2009 17:19:07
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : lundi 15 juin 2009 13:41

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'imapi.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BearShare.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cidaemon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscript.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cfp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cssurf.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DHTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'pdfsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iviRegMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cisvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cmdagent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'40' processus ont été contrôlés avec '40' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '60' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <HP_RECOVERY>


Fin de la recherche : lundi 15 juin 2009 16:27
Temps nécessaire: 2:45:58 Heure(s)

La recherche a été effectuée intégralement

9321 Les répertoires ont été contrôlés
377292 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
377291 Fichiers non infectés
8035 Les archives ont été contrôlées
1 Avertissements
0 Consignes

@+
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: infection

Messagepar nardino » 15 Juin 2009 21:45

Bonsoir.
Ce rapport est parfaitement propre.
Celui qui te signale les découvertes doit être celui d'avant au regard de la date d'exécution.
Puis-je le voir ?
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: infection

Messagepar naima » 16 Juin 2009 20:38

Bonsoir Nardino,

Je ne peux pas t'envoyer le rapport d'Antinvir, car concernant les alarmes, ceux sont des "scan en temps réel" et c'est à moi de cocher l'action à mener. :cry: Donc pas de rapport par la suite. Les virus se trouvent dans le fichier c\windows\system32\winxp.exe, à chaque fois, j'ai coché "déplacer en quarantaine".

voilà.a+
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: infection

Messagepar nardino » 16 Juin 2009 20:56

Bonsoir.
Nous commençons à y voir plus clair. :wink:
Télécharge et installe UsbFix de C_XX & Chiquitine29 :
http://sd-1.archive-host.com/membres/up ... UsbFix.exe

Double clique sur l'icône UsbFix sur ton bureau.
Choisis l’option 1
A la fin du scan, poste le rapport UsbFix.txt qui va s'ouvrir.
Il sera enregistré ici : C:\UsbFix.txt

Remarque.
"Process.exe", un composant de l’outil, est détecté par certains antivirus comme étant un RiskTool.
Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus.
Cet utilitaire pourrait arrêter des logiciels de sécurité d’où l’alerte émise par ces antivirus.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: infection

Messagepar naima » 17 Juin 2009 14:29

Bonjour nardino:

Si je n'ai pas encore posté de réponse c'est parce que je n'arrive pas à accéder au lien que tu m'as donné, en fait je crois que le problème vient de mon fournisseur d'accès à internet, c'est vrai que la connexion est lente en ce moment chez moi ! :cry: le serveur met trop de temps à répondre donc la connexion n'interrompe, je devrais attendre quelques jours je crois :cry: :cry: .

Merci.a++^^
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités