PC infecté...

Bonjour.
J'ai installé l'antivirus firewall Orange et il a détecté des virus:



AntiVirus Firewall 6.15 - Rapport d'analyse - mercredi 27 juin 2007 18:07:07Rapport
d'analyse
mercredi 27 juin 2007 14:57:41 - 18:00:36
Nom de l'ordinateur : PC_WINXP
Type d'analyse : Effectuer une analyse complète de l'ordinateur
Cible : C:\ D:\ + registre système + rootkits

Résultat : 10 antiprogramme(s) détecté(s)
SpamTool.Win32.Agent.af (virus)
C:\WINDOWS\system32\windev-bba-745d.sys
C:\WINDOWS\system32\windev-a65-4162.sys
C:\WINDOWS\system32\windev-9c9-7281.sys
C:\WINDOWS\system32\windev-848-2c8f.sys
Email-Worm.Win32.Zhelatin.cj (virus)
C:\WINDOWS\system32\sca.exe Action : supprimé
Email-Worm.Win32.Zhelatin.cq (virus)
C:\WINDOWS\system32\mmn.exe Action : supprimé
Email-Worm.Win32.Zhelatin.cs (virus)
C:\WINDOWS\system32\inst.exe Action : supprimé
Packed.Win32.Tibs.y (virus)
C:\WINDOWS\system32\alt.exe
Packed.Win32.Tibs.r (virus)
C:\WINDOWS\system32\3ti.exe
Win32.SpamTool.Agent (Malware)
FILE:C:\WINDOWS\System32\windev-9c9-7281.sys
FILE:C:\WINDOWS\System32\windev-bba-745d.sys
Action : mis en quarantaine



Statistiques
Analysés :
Fichiers : 26472
Registre système : 3914
Non analysés : 43
Résultat :
Virus : 9
Logiciel espion : 1
Eléments suspects: 0
Actions :
Désinfectés : 0
Renommés : 0
Supprimés : 3
Quarantaine : 1
Echec : 6
Secteurs d'amorçage :
Analysés : 1
Infectés : 0
Eléments suspects: 0
Désinfectés : 0


Ils ne sont pas tous désinfectés, que dois-je faire SVP?

Voici le rapport SDFix:
SDFix: Version 1.88

Run by Admin on 27/06/2007 at 19:44

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found




Removing Temp Files...

ADS Check:

Checking C:\WINDOWS
C:\WINDOWS
No streams found.

Checking C:\WINDOWS\system32
C:\WINDOWS\system32
No streams found.

Checking C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.

Checking C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\AntivirusFirewall\\backweb\\6588780\\Program\\fspex.exe"="C:\\Program Files\\AntivirusFirewall\\backweb\\6588780\\program\\fspex.exe:*:enabled:Antivirus Firewall"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\AntivirusFirewall\\backweb\\6588780\\Program\\fspex.exe"="C:\\Program Files\\AntivirusFirewall\\backweb\\6588780\\program\\fspex.exe:*:enabled:Antivirus Firewall"

Remaining Files:
---------------


Listing Files with Hidden Attributes:

C:\WINDOWS\system32\7E9DF1326F.sys
C:\WINDOWS\system32\KGyGaAvL.sys
C:\WINDOWS\system32\config\default.tmp.LOG
C:\WINDOWS\system32\config\SAM.tmp.LOG
C:\WINDOWS\system32\config\SECURITY.tmp.LOG
C:\WINDOWS\system32\config\software.tmp.LOG
C:\WINDOWS\system32\config\system.tmp.LOG

Listing User Accounts:


Admin Administrateur HelpAssistant
Invit‚ SUPPORT_388945a0
La commande s'est termin‚e correctement.


Finished


Le log Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 19:56:10, on 27/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\WINDOWS\System32\PSIService.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\Notepad.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$EX00.420\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 1621555846
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://www.driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D9517FA-4E81-4036-9A36-DFCA09F57A5E}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\System32\PSIService.exe

06/27/07 22:33:38 [Info]: BlackLight Engine 1.0.64 initialized
06/27/07 22:33:38 [Info]: OS: 5.1 build 2600 (Service Pack 1)
06/27/07 22:33:41 [Note]: 7019 4
06/27/07 22:33:41 [Note]: 7005 0
06/27/07 22:34:18 [Note]: 7006 0
06/27/07 22:34:18 [Note]: 7011 2792
06/27/07 22:34:18 [Note]: 7026 0
06/27/07 22:34:19 [Note]: 7026 0
06/27/07 22:34:46 [Note]: FSRAW library version 1.7.1022
06/27/07 23:13:47 [Note]: 7007 0

Voilà ce qu'il me dit:
Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 48A8-2EBE

R‚pertoire de C:\WINDOWS\SYSTEM32\BAK

13/04/2007 14:21 <REP> .
13/04/2007 14:21 <REP> ..
29/08/2002 11:45 13ÿ312 ctfmon.exe
1 fichier(s) 13ÿ312 octets
2 R‚p(s) 6ÿ596ÿ878ÿ336 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 48A8-2EBE

R‚pertoire de C:\PROGRA~1\YAHOO!\MESSEN~1\BAK

23/02/2007 12:34 <REP> .
23/02/2007 12:34 <REP> ..
24/04/2006 20:09 3ÿ334ÿ144 YahooMessenger.exe
1 fichier(s) 3ÿ334ÿ144 octets
2 R‚p(s) 6ÿ596ÿ878ÿ336 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 48A8-2EBE

R‚pertoire de C:\PROGRA~1\JAVA\JRE15~1.0_1\BIN\BAK

23/02/2007 12:34 <REP> .
23/02/2007 12:34 <REP> ..
15/12/2006 04:23 75ÿ520 jusched.exe
1 fichier(s) 75ÿ520 octets
2 R‚p(s) 6ÿ596ÿ874ÿ240 octets libres


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

13312 29 Aug 2002 "C:\WINDOWS\system32\ctfmon.exe"
13312 29 Aug 2002 "C:\WINDOWS\system32\bak\ctfmon.exe"
3334144 24 Apr 2006 "C:\Program Files\Yahoo!\Messenger\bak\YahooMessenger.exe"
36975 3 Jun 2005 "C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe"
36975 10 Nov 2005 "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe"
75520 15 Dec 2006 "C:\Program Files\Java\jre1.5.0_11\bin\bak\jusched.exe"


end of report

Pour les 2 premiers c'est O.K, mais pour le 3eme:
C:\WINDOWS\SYSTEM32\BAK\ctfmon.exe <- coupe ce fichier
C:\WINDOWS\SYSTEM32\ <- colle-le ici
C:\WINDOWS\SYSTEM32\BAK\ <- supprime ce dossier

Ils me disent qu'il y a déjà un fichier ctfmon.exe dans le dossier C:\WINDOWS\SYSTEM32\ et qu'il est impossible de le remplacer par l'autre.
Ils sont exactement de la mm taille (13.0 Ko).
Je jette directement le dossier "bak" ou pas?

Voilà c'est fait! Rien de plus?

Le rapport:
Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report



Apparament je suis infesté de virus pcq mon antivirus vient d'en découvrir un autre!!! Et il me recommande de le supprimer. Je le fais ou pas?

Heu.. ouais mais c'est bon je l'ai supprimé, donc je pense qu'il n'y doit pas y avoir trop de probleme...
Merci bcp !!!

Dsl mais j'ai encore besoin de tes services ^^!
Je viens de trouver 6 virus mais malheureusement mon PC s'est bloqué tout seul pendant que l'analyse allait ce terminer. Voici les 2 principaux virus dont mon antivirus me fait sans cesse part:





Et je sais que mm si je clique sur "nettoyer" ils reviendront. J'ai lu quelques trucs là dessus et ce serait des trojans/backdoor et il serait possible que j'ai des rookits sur mon PC!

Je vais essayer. Mais ce n'est pas dangereux?

J'ai supprimer les 2 fichiers ainsi que ceux-ci:
C:\WINDOWS\system32\windev-848-2c8f.sys Action : supprimé
C:\WINDOWS\system32\windev-9c9-7281.sys Action : supprimé
C:\WINDOWS\system32\windev-a65-4162.sys Action : supprimé
C:\WINDOWS\system32\windev-bba-745d.sys Action : supprimé

J'espere que ce sera bon... :s
Tu n'as pas d'autres manip à me conseiller afin d'être sur qu'ils ont disparus?

D'accord! Merci de ton aide.

Up