Tom's Guide > Forum > Sécurité - Virus > Virus impossible à nettoyer[RESOLU]

Virus impossible à nettoyer[RESOLU]

Forum Sécurité - Virus : Virus impossible à nettoyer[RESOLU]

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
Anonyme   02-08-2008 à 20:31:46

Bonjour,


Mon anti-virus (G DATA INTERNET SECURITY 2008) a trouvé le virus Win32 Luder-L dans plusieurs "Fichiers" :

<gras>La</gras> : Répertoire : C:\SystemVolume
Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP487
Le fichier s'appelle A0151190.exe


<gras>et la</gras> :Répertoire : C:\SystemVolume
Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP494

Le fichier s'appelle : A0159569.exe




es fichiers sont pour l'instant en quarantaine.
Mais l'antivirus ne peut" ni desinfecter ni reculer" ces deux fichiers :

Comment faire pour supprimer ce virus?



Et voici le Hijackthis.log :




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:10:54, on 02/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Program Files\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\G DATA InternetSecurity\AVK\AVKService.exe
C:\Program Files\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
c:\windows\system\hpsysdrv.exe
C:\Program Files\G DATA InternetSecurity\AVK\AVK.exe
C:\Program Files\G DATA InternetSecurity\GUI\avkis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\8LABCPER\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\program files\g data internetsecurity\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA InternetSecurity\Webfilter\AvkWebIE.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll (file missing)
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA InternetSecurity\Webfilter\AvkWebIE.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Winspn] C:\Program Files\Winspn\winspn.exe
O4 - HKLM\..\Run: [GDFirewallTray] C:\Program Files\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://upload.mediamax.com/Upload/XUpload.ocx
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~4\GOEC62~1.DLL
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Program Files\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: Gardien d'AntiVirus (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Pare-feu personnel G DATA (GDFwSvc) - G DATA Software AG - C:\Program Files\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 11302 bytes







Je vous remercie .


Message édité par Anonyme le 03-08-2008 à 20:46:20
Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Anonyme   02-08-2008 à 20:47:36
- 0 +

J'ajoute le rapport de l'analyse anti virus



analyse anti-virus avec G DATA AntiVirus
Version 18.5.8071.731
Signatures anti-virus de 02/08/2008
Tâche: Disques locaux
Temps de démarrage: 02/08/2008 17:30
Moteur(s) : Moteur A (AVK 18.4754), Moteur B (AVKB 18.374)
Heuristiques: Entrer
Archives : Entrer
Volets du système : Entrer

Analyse des volets du système...
Analyse de tous les disques locaux...
Objet : A0151190.exe
Pfad: C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP487
État: Fichier envoyé en quarantaine
Virus : Win32:Luder-L [Trj] (Moteur B)
Objet : A0159569.exe
Pfad: C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP494
État: Fichier envoyé en quarantaine

Répondre à Anonyme
Sham_Rock   02-08-2008 à 21:22:22
- 0 +

bonsoir
pour ton souci, il suffira de désactiver/réactiver la restauration de xp.
mais avant, je voudrais vérifier quelque chose.

Rends toi sur ce lien : Virus Total

  • Clique sur Parcourir
  • Rends toi jusque sur ce fichier si tu le trouves :


C:\Program Files\Winspn\winspn.exe

  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé" ), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : http://perso.orange.fr/-Gof/screen/txtvt.jpg
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.

Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Anonyme   02-08-2008 à 22:01:17
- 0 +

Fichier Winspndes.exe reçu le 2008.08.02 21:53:16 (CET)Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.29.1 2008.08.02 -
AntiVir 7.8.1.15 2008.08.01 -
Authentium 5.1.0.4 2008.08.01 -
Avast 4.8.1195.0 2008.08.02 -
AVG 8.0.0.156 2008.08.02 -
BitDefender 7.2 2008.08.02 -
CAT-QuickHeal 9.50 2008.08.02 -
ClamAV 0.93.1 2008.08.02 -
DrWeb 4.44.0.09170 2008.08.02 -
eSafe 7.0.17.0 2008.07.29 -
eTrust-Vet 31.6.6002 2008.08.02 -
Ewido 4.0 2008.08.02 -
F-Prot 4.4.4.56 2008.08.01 -
F-Secure 7.60.13501.0 2008.08.02 -
Fortinet 3.14.0.0 2008.08.02 -
GData 2.0.7306.1023 2008.08.02 -
Ikarus T3.1.1.34.0 2008.08.02 -
K7AntiVirus 7.10.402 2008.08.02 -
Kaspersky 7.0.0.125 2008.08.02 -
McAfee 5352 2008.08.01 -
Microsoft 1.3807 2008.08.02 -
NOD32v2 3319 2008.08.02 -
Norman 5.80.02 2008.08.01 -
Panda 9.0.0.4 2008.08.02 -
PCTools 4.4.2.0 2008.08.02 -
Prevx1 V2 2008.08.02 -
Rising 20.55.42.00 2008.08.02 -
Sophos 4.31.0 2008.08.02 -
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.02 -
TheHacker 6.2.96.392 2008.08.02 -
TrendMicro 8.700.0.1004 2008.08.01 -
VBA32 3.12.8.2 2008.08.02 -
ViRobot 2008.8.1.1321 2008.08.01 -
VirusBuster 4.5.11.0 2008.08.02 -
Webwasher-Gateway 6.6.2 2008.08.02 -

Information additionnelle
File size: 24576 bytes
MD5...: 283273b8beedb698fbd0f7a64a977ceb
SHA1..: 80af5c2be2864036cc963e2ea34e90625e36d0f3
SHA256: 4b9b0fad97287bbf0f0e1c81ac3c54211784be0b6da128ddb0ad95bace886af4
SHA512: 1ac509104a6ccf7531b1672d25221731648cf9ea65a31e1d6a8789af369fa49e<BR>c15d7fb07be4058bd3e6882403da8f1164b28601cc1e036bfaf814239bda4080
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x401068<BR>timedatestamp.....: 0x46c300eb (Wed Aug 15 13:34:35 2007)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x2750 0x3000 4.84 fee3c8d3cf35951f3665d872985c1ea2<BR>.data 0x4000 0x9f4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.rsrc 0x5000 0x1138 0x2000 3.83 659d299660bc6fe8a8d30f0988b5e88c<BR><BR>( 1 imports ) <BR>&gt; MSVBVM60.DLL: MethCallEngine, -, EVENT_SINK_AddRef, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -<BR><BR>( 0 exports ) <BR>

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.29.1 2008.08.02 -
AntiVir 7.8.1.15 2008.08.01 -
Authentium 5.1.0.4 2008.08.01 -
Avast 4.8.1195.0 2008.08.02 -
AVG 8.0.0.156 2008.08.02 -
BitDefender 7.2 2008.08.02 -
CAT-QuickHeal 9.50 2008.08.02 -
ClamAV 0.93.1 2008.08.02 -
DrWeb 4.44.0.09170 2008.08.02 -
eSafe 7.0.17.0 2008.07.29 -
eTrust-Vet 31.6.6002 2008.08.02 -
Ewido 4.0 2008.08.02 -
F-Prot 4.4.4.56 2008.08.01 -
F-Secure 7.60.13501.0 2008.08.02 -
Fortinet 3.14.0.0 2008.08.02 -
GData 2.0.7306.1023 2008.08.02 -
Ikarus T3.1.1.34.0 2008.08.02 -
K7AntiVirus 7.10.402 2008.08.02 -
Kaspersky 7.0.0.125 2008.08.02 -
McAfee 5352 2008.08.01 -
Microsoft 1.3807 2008.08.02 -
NOD32v2 3319 2008.08.02 -
Norman 5.80.02 2008.08.01 -
Panda 9.0.0.4 2008.08.02 -
PCTools 4.4.2.0 2008.08.02 -
Prevx1 V2 2008.08.02 -
Rising 20.55.42.00 2008.08.02 -
Sophos 4.31.0 2008.08.02 -
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.02 -
TheHacker 6.2.96.392 2008.08.02 -
TrendMicro 8.700.0.1004 2008.08.01 -
VBA32 3.12.8.2 2008.08.02 -
ViRobot 2008.8.1.1321 2008.08.01 -
VirusBuster 4.5.11.0 2008.08.02 -
Webwasher-Gateway 6.6.2 2008.08.02 -

Information additionnelle
File size: 24576 bytes
MD5...: 283273b8beedb698fbd0f7a64a977ceb
SHA1..: 80af5c2be2864036cc963e2ea34e90625e36d0f3
SHA256: 4b9b0fad97287bbf0f0e1c81ac3c54211784be0b6da128ddb0ad95bace886af4
SHA512: 1ac509104a6ccf7531b1672d25221731648cf9ea65a31e1d6a8789af369fa49e<BR>c15d7fb07be4058bd3e6882403da8f1164b28601cc1e036bfaf814239bda4080
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x401068<BR>timedatestamp.....: 0x46c300eb (Wed Aug 15 13:34:35 2007)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x2750 0x3000 4.84 fee3c8d3cf35951f3665d872985c1ea2<BR>.data 0x4000 0x9f4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.rsrc 0x5000 0x1138 0x2000 3.83 659d299660bc6fe8a8d30f0988b5e88c<BR><BR>( 1 imports ) <BR>&gt; MSVBVM60.DLL: MethCallEngine, -, EVENT_SINK_AddRef, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -<BR><BR>( 0 exports ) <BR>

Répondre à Anonyme
Sham_Rock   02-08-2008 à 22:05:25
- 0 +

ce fichier me laisse sceptique,
en recoupant, apparemment, Winspn correspond à Espion Pro

Citation :

Espion est un logiciel permettant de surveiller l'utilisation de votre ordinateur en votre absence. Il prend des captures d'écran à intervalles réguliers, que vous déterminez avant d'éteindre votre machine. Il permet également d'enregistrer toutes les touches frappées sur le clavier. Il vous suffit d'entrer les options de sauvegarde.


http://www.01net.com/telecharger/w [...] 28352.html

c'est toi qui a installé ça?

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Anonyme   02-08-2008 à 22:10:28
- 0 +

Non j'utilise seul cette ordinateur, je vois pas l'interet de m'auto surveiller

Maintenant des personnes passe chez moi donc je ne sais pas.

Voila

Je vous remercie pour votre attention.

Répondre à Anonyme
Sham_Rock   02-08-2008 à 22:38:16
- 0 +

alors on supprime

1

~Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.

~Lance Hijackthis “Do a system scan only”.
Coche les lignes qui suivent si encore présentes et uniquement celles-là.

O4 - HKLM\..\Run: [Winspn] C:\Program Files\Winspn\winspn.exe

Clique sur Fix checked (en bas à gauche)


Sélectionne TOUS les emplacements en gras ci-dessous :

C:\Program Files\Winspn

---> Clique-droit puis Copier (ou Ctrl+C)

Double-clique sur OTMoveIt.exe afin de le lancer.
Fais un Clique-droit sur le cadre de gauche puis choisis Coller (ou Ctrl+V).
Clique maintenant sur MoveIt!

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

2
~Désactive puis réactive la restauration en suivant ce tuto:
http://service1.symantec.com/SUPPO [...] 0101856924
Il faudra désactiver la restauration, redémarrer l'ordinateur et réactiver aussitôt la restauration.

3

~Fais une analyse antivirus en ligne sur le site de Kaspersky
http://webscanner.kaspersky.fr/

~ Clique sur Online Scanner.
~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

~Sélectionne le poste de travail comme analyse.

~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.

Tuto du scan en ligne


------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Anonyme   02-08-2008 à 22:42:03
- 0 +

Pour l'analyse en ligne avec Kapersky ca prend combien de temps?

Et G DATA il est pas mieux?


Merci encore.

Répondre à Anonyme
Sham_Rock   02-08-2008 à 22:43:53
- 0 +

je ne peux pas te dire combien de temps ça prendra.
pour Gdata, je ne connais pas.
j'ai confiance en mes procédures, et de toute façon, c'est pas pressé, je regarderai tout ça demain. ;O)

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Anonyme   02-08-2008 à 22:51:39
- 0 +

Ok, je vous remercie bonne nuit à vous.

Répondre à Anonyme
Anonyme   03-08-2008 à 14:32:54
- 0 +

Bonjour,

J'ai fait deux analyses une avec G DATA (C'est bizarre il y a moins de fichiers analyses que la derniere fois : 195 000 maintenant contre 210 000 la derniere fois)

analyse anti-virus avec G DATA AntiVirus
Version 18.5.8071.731
Signatures anti-virus de 02/08/2008
Temps de démarrage: 03/08/2008 00:35
Moteur(s) : Moteur A (AVK 18.4760), Moteur B (AVKB 18.374)
Heuristiques: Entrer
Archives : Entrer
Volets du système : Entrer

Analyse des volets du système...
Analyse de tous les disques locaux...

Analyse complète terminée : 03/08/2008 03:56
195275 fichiers analysés
0 fichiers contaminés détectés
0 fichiers suspects détectés


Et j'ai fait une autre analyse avec Kapersky :

Sunday, August 03, 2008 7:01:49 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 3/08/2008
Enregistrements dans la base antivirus Kaspersky : 929758


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Statistiques de l'analyse
Total d'objets analysés 196037
Nombre de virus trouvés 0
Nombre d'objets infectés 0 / 0
Nombre d'objets suspects 0
Durée de l'analyse 02:45:00

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\7P23GTIJ\NSSocket[1].htm L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLML_MAIN\CLML.db L'objet est verrouillé ignoré

C:\Program Files\G DATA InternetSecurity\Firewall\GDFwSvc.dat L'objet est verrouillé ignoré

C:\Program Files\G DATA InternetSecurity\Firewall\GDFwSvc.ldb L'objet est verrouillé ignoré

C:\Program Files\G DATA InternetSecurity\Firewall\GDFwSys.dat L'objet est verrouillé ignoré

C:\Program Files\G DATA InternetSecurity\Firewall\GDFwSys.ldb L'objet est verrouillé ignoré

C:\Program Files\G DATA InternetSecurity\Firewall\LiveStrm.dat L'objet est verrouillé ignoré

C:\Program Files\G DATA InternetSecurity\Firewall\LiveStrm.ldb L'objet est verrouillé ignoré

C:\Program Files\G DATA InternetSecurity\Firewall\Modules.dat L'objet est verrouillé ignoré

C:\Program Files\G DATA InternetSecurity\Firewall\Modules.ldb L'objet est verrouillé ignoré

C:\Program Files\G DATA InternetSecurity\Firewall\Protocol.dat L'objet est verrouillé ignoré

C:\Program Files\G DATA InternetSecurity\Firewall\Protocol.ldb L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP1\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\AVP67F1.tmp L'objet est verrouillé ignoré

C:\WINDOWS\Temp\AVP67F2.tmp L'objet est verrouillé ignoré

C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt L'objet est verrouillé ignoré

C:\WINDOWS\Temp\JETF2FD.tmp L'objet est verrouillé ignoré

C:\WINDOWS\Temp\JETF452.tmp L'objet est verrouillé ignoré

C:\WINDOWS\Temp\JETF5C9.tmp L'objet est verrouillé ignoré

C:\WINDOWS\Temp\JETF898.tmp L'objet est verrouillé ignoré

C:\WINDOWS\Temp\sqlite_AwPqaObPmIiFwib L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.



Voilà Je vous remercie

Répondre à Anonyme
Sham_Rock   03-08-2008 à 19:46:29
- 0 +

bonsoir

Supprime tous les programmes installés pour la désinfection.


Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.

http://www.malekal.com/fichiers/projetantimalwares/reagir_miniban.gif

Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.

:hello:

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Anonyme   03-08-2008 à 20:02:52
- 0 +

Bonjour,

Merci pour votre aide.

Je me demande si le virus va revenir car je l'avais trouvé une premiere fois dans un repertoire puis j'ai nettoye ce repertoire avec mon antivirus mais il s'est copier dans les fichiers de restauration du systeme.


Voila

Merci encore.

Répondre à Anonyme
Sham_Rock   03-08-2008 à 20:38:31
- 0 +

re
nan, c'est bon, on a supprimé tes points de restaurations.
bon surf
:hello:

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
pitibourriquet   22-06-2009 à 09:11:06
- 0 +

tu m'as l'air d'etre un pro alors je tente ma question

quand je veux ouvrir un dossier il se ferme automatiquement,donc je ne peux plus bosser et ca devient tres problematique,j'ai avast qui ne me trouve rien ,jai fait une analyse par hijack mais je comprends rien,et jai fait avg qui me trouve rien
que faire

Répondre à pitibourriquet
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > Virus impossible à nettoyer[RESOLU]
Aller à :

Il y a 526 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,250 secondes
Liens