Hello le forum,

Hier j'ai fait un scan avec mon anti-virus BitDefender v7.2 et il ma détecter un trojan.

Voici la liste du scan:

C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP208\A0074492.exe=>wise0019 Infectés avec Trojan.Downloader.Small.BKE

C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP208\A0074492.exe=>wise0019 Désinfection impossible

C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP208\A0074492.exe=>wise0019 Déplacement impossible

Je me suis dis que vu que Bitdefender arrivait pas à le supprimer, j'ai installé Avast car je ne voulais pas rester sur une mauvaise impression que j’avais depuis que je l’avais installé il y a plus d’une année et que je n’avais pas garder longtemps suite a mon problème du clique droit de la souris.

Mon problème du clique droit de la souris et toujours le même avec Avast.
J'ai quand même pu faire un scan et a ma surprise, Avast détecte pas le trojan que BitDefender v7.2 avait détecté.

Comment je peux faire pour supprimer ce trojan?
Est-il dangereux pour mon PC?
Pourquoi Avast ne détecte rien?

Merci de vos réponses amies libelluliens et bonne journée

Split/Falkra : on s'y retrouvera mieux avec des sujets séparés, tu peux changer le titre.

Avast a une dent contre toi.

Ton trojan est dans la restauration système, ce n'est pas bon signe, si ça se trouve il a déjà séjourné ailleurs. Bitdefender l'a peut-être mis en quarantaine, donc avast (à jour?) ne le trouverait pas.

Le plus simple là c'est de désactiver la restauratin système, puis la réactvier. Radical.

Merci Falkra pour ta réponse

Petite qurestion..... Comment faire pour désactivé et reactivé la restauration du système?

Le mieux est-il pas de formater mon PC?

sans hesiter !
je l'utilise avec succes depuis des années : mises à jour automatique, pas de difficultés de configuration, jusqu'ici il ne m'a jamais laissé passé une seule saloperie (c'est bien ce qui compte non ?)

http://www.free-av.com

hello,

J'utlise aussi Avast et je trouve qu'il y a pas mieux pour un produit gratuit. Mais si je devais payer, je prendrai Bitdefender.

http://www.matbe.com/articles/lire/81/c ... nti-virus/

Un bon comparatif, il date un peu, mais c'est un test de qualité... Après il faut ce situer par rapport à ses connaissances, ses besoins..... débutant, expert...etc.

Pour avoir vu tourner le dernier Norton sécurity chez un client.....l'horreur mieux ne pas avoir d'antivirus tout court.......jamais vu une interface aussi bordelique

Pour la restauration sysème, tout est là :
http://www.libellules.ch/restauration_systeme.php

Petite qurestion..... Comment faire pour désactivé et reactivé la restauration du système?

Le mieux est-il pas de formater mon PC?

Pascou26


Je crois que Pascou 26 demande comment désactiver le point de restauration système sur son pc, avant le scan, et réactiver le point restauration, après le redémarrage :
==> (dans "panneau de configuration", "outil système", "restauration du système" (il y a une case à cocher : "désactiver la restauration du système" mais j'ai pas la capture d'écran)

Ha, pardon, la suite ici :
http://www.libellules.ch/desactiver_restauration.php

Bonjour et merci pour votre aide.

J'ai désactivé la restauration du système et j'ai fais un scan avec BitDefender et là il ma rien détecter comme trojan.

J'ai ensuite réactivé la restauration du système et j'ai de nouveau fais un scan et Bitdefender a détecter le trojan.

Malheureusement ca na rien changé le faite de désactivé la restauration du système.

Pensez-vous que je dois réinstaller mon Windows ?

Non, pas de réinstallation, on peut toujours régler ça autrement.
Ton virus revient dans le système, il faut éliminer son point d'entrée et de démarrage dans le système pour le désactiver totalement.

Analyse un log de hijackthis (cf tuto spywares), ou poste-le directement ici, on trouvera les lignes à éliminer.

Merci Falkra pour tes réponses rapides

Tu peux me dire la procedure pour analyser un log de hijackthis (cf tuto spywares)

J'ai aucune idée comment faire.

Dans le tuto sur les spywares (menu "guides"), tu trouveras les liens et le descriptif, et une fosi que tu auras lancé le scan avec créan de log (fichier journal), soit tu le postes sur le forum, soit tu le copie-colles dans ce site, analyseur en ligne. Il donnera des indications sur ce qui est suspect.
Pour plus de tranquillité, poste-le ici, on triera.

Donc si j'ai bien compris je dois faire un scan avec hijackthis via leur site internet http://www.hijackthis.de/fr et ensuite je poste les resultats du scan.

Ou le mieux c'est d'installer le programme et de faire le scan.

2 choses à faire, télécharger hijackthis (programme), et lui demander de faire un scan en générant un rapport ("log") :

Les infos et copies d'écran ici : Guide anti spywares (vers la fin)

Ensuite, ce rapport, l'analyser sur le site en question, ou en poster une copie sur le forum :
Comment interpréter un log hijackthis

En fonction des résultats, on (ou le site) te dira quelle entrée faire sauter por que le virus ne démarre plus avec windows.

Voilà j'ai installé le programme et fait un scan.

Les resultats:

Logfile of HijackThis v1.99.1
Scan saved at 14:53:20, on 23.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Arcade\PCMService.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\Pascal\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Ok, tu peux copier coller ceci dans l'analyseur, qui pour une fois est très fiable, si je n'ai rien oublié (cttimer est un truc de Via ou S3, drivers, agrsmmsg.exe pour un modem) :

Voilà une saleté à éliminer :
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe

Pour ce faire, lance hijackthis, rescanne, sélectionne cette ligne (coche) et clique sur "fix this", il demandera confirmation. Ensuite redémarre, et essaie de nettoyer ce que l'antivirus trouvera.

je trouve pas fix this !!
C'est pas fix checked ?

Si, c'est ça "fix checked" (cochés), excuse moi. Redémarre après.

Je redemarre et je fait un scan avec Bitdefender

Voila je viens de faire un scan avec BitDefender et malheureusement toujours la même chose

Rapport de scan:

C:\Program Files\Softwin\BitDefender Free Edition\Infected\A0000005.exe Infectés avec BehavesLike:Trojan.TrustedZone
C:\Program Files\Softwin\BitDefender Free Edition\Infected\A0000005.exe Désinfection impossible
C:\Program Files\Softwin\BitDefender Free Edition\Infected\A0000005.exe Déplacement impossible
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP3\A0000215.exe Infectés avec BehavesLike:Trojan.TrustedZone
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP3\A0000215.exe Désinfection impossible
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP3\A0000215.exe Déplacé
Fichiers analysés

Est-ce qu'il y a plus d'espoir pour supprimer le trojan ?