emparis Posté(e) le 6 décembre 2008 Partager Posté(e) le 6 décembre 2008 Bonjour, j'espère que je poste dans la bonne partie du forum et que je pourrais -enfin !- trouver une solution. Alors je vous explique. J'ai un vieux PC portable (8Go) qui tourne avec XP SP2 et IE6. J'ai Avast edition familiale 4.8 et Spybot. Dimanche dernier Avast m'a mis une alerte virus. Je l'ai fait tourner et il a détecté 2 rootkit : C:\WINDOWS\system32\bitsprx2.dll\qmgr.dll C:\WINDOWS\system32\bitsprx3.dll\qmgr.dll Proposition de lancer un scan au démarrage que j'ai accepté. Là il a trouvé deux autres problèmes : C:\WINDOWS\system32\drivers\lqwwlka.dat ( infecté par win 32 : agent - Ngl Trj ) C:\WINDOWS\system32\drivers\ckrvyhtz.dat ( infecté par win 32 : agent PSI Rtk) Impossible de les renommer, de les supprimer, de les réparer. J'ai eu la bonne surprise :) d'avoir une réponse du support de Avast qui m'a dit de démarrer en mode sans échec et de supprimer les fichiers infectés manuellement et de désactiver la restauration du système (je l'ai fait). Ca a marché pour les 2 fichiers.dll mais pas pour les dat. Là j'ai, quoique je tente, un message "ce fichier est protégé en écriture/utilisé par d'autres programmes" J'ai reprogrammé un scan au démarrage d'Avast et il a retrouvé les 2 fichiers dat cités plus haut. J'ai fait un scan en ligne avec Panda il a trouvé les fichiers infectés mais ne traite pas en ligne. J'ai essayé l'anti-virus en ligne de Trend mais ça plante IE à chaque fois pendant la procédure de test de mon matériel. J'ai aussi essayé Secuser mais je ne suis pas parvenue à installer l'Active-X. J'ai regarder sur leur FAQ ils donnent une procédure pour déclarer leur site comme OK mais mon navigateur ne veut pas ajouter leur site car leur adresse n'est pas de type https. Bref... AU SECOURS !!!! Je craque, j'ai l'impression de tourner en rond et de ne pas avancer. Lien vers le commentaire Partager sur d’autres sites More sharing options...
noisette Posté(e) le 6 décembre 2008 Partager Posté(e) le 6 décembre 2008 Salut, désactive la restauration système (ou laisse la désactivée), installe et scanne avec MBAM, si possible en mode sans échec (tapote F8 au démarrage du PC), et poste le rapport qu'il fournit en fin de scan, ainsi qu' un rapport HijackThis effectué en mode normal, les deux si possible dans la centralisation (Hijackthis) indiquée dans ma signature. Lien vers le commentaire Partager sur d’autres sites More sharing options...
emparis Posté(e) le 6 décembre 2008 Auteur Partager Posté(e) le 6 décembre 2008 Salut,désactive la restauration système (ou laisse la désactivée), installe et scanne avec MBAM, si possible en mode sans échec (tapote F8 au démarrage du PC), et poste le rapport qu'il fournit en fin de scan, ainsi qu' un rapport HijackThis effectué en mode normal, les deux si possible dans la centralisation (Hijackthis) indiquée dans ma signature. Merci pour ta réponse. Pour ce qui est de désactiver la restauration du système je l'ai fait depuis plusieurs jours. Sinon, j'ai une question : est-ce que MBAM est compatible avec Spybot que j'ai sur mon PC (pas envie de créer des conflits) ? Sinon, si ça peut te parler, voici le log d'Hijack This : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:41:14, on 06/12/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ati2evxx.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINDOWS\system32\Atiptaxx.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\DvzCommon\DvzMsgr.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Pages\Local Settings\Temporary Internet Files\Content.IE5\C52345I7\HiJackThis[1].exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.wanadoo.fr... R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = forumtricotin.com... R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.wanadoo.fr... R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {3C8A4004-EDF1-4378-AC28-2A4002640C24} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - www.pandasecurity.com... O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - www.bitdefender.fr... O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com... O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - messenger.msn.com... O20 - Winlogon Notify: ewtqtdmr - cmaacma.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing) O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: IomegaAccess - Unknown owner - C:\Program Files\Iomega\Tools_NT\IOMEGAACCESS.EXE (file missing) O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe O23 - Service: ZipToA - Unknown owner - C:\WINDOWS\System32\ZipToA.exe -- End of file - 5959 bytes Lien vers le commentaire Partager sur d’autres sites More sharing options...
noisette Posté(e) le 6 décembre 2008 Partager Posté(e) le 6 décembre 2008 Salut: installe MBAM, il n'y aura pas de problème avec Spybot. Au passage, ne conserve Spybot que pour des scans à la demande de temps en temps: désactive le tea-timer, quitte à le remplacer par autre chose (voir Spyware Terminator par exemple). Pense également à changer Avast. Le spécialiste des rapports Hijackthis, c'est Snooky, qui passera, mais en attendant, tu peux dors et déjà fixer ces lignes: O2 - BHO: (no name) - {3C8A4004-EDF1-4378-AC28-2A4002640C24} - (no file) O20 - Winlogon Notify: ewtqtdmr - cmaacma.dll (file missing) Passe donc MBAM, et poste le rapport créé. Lien vers le commentaire Partager sur d’autres sites More sharing options...
emparis Posté(e) le 6 décembre 2008 Auteur Partager Posté(e) le 6 décembre 2008 Salut:installe MBAM, il n'y aura pas de problème avec Spybot. Au passage, ne conserve Spybot que pour des scans à la demande de temps en temps: désactive le tea-timer, quitte à le remplacer par autre chose (voir Spyware Terminator par exemple). Pense également à changer Avast. Le spécialiste des rapports Hijackthis, c'est Snooky, qui passera, mais en attendant, tu peux dors et déjà fixer ces lignes: O2 - BHO: (no name) - {3C8A4004-EDF1-4378-AC28-2A4002640C24} - (no file) O20 - Winlogon Notify: ewtqtdmr - cmaacma.dll (file missing) Passe donc MBAM, et poste le rapport créé. Merci, je vais tenter et voir ce que cela donne. Pour ces 2 lignes du log, ça fait partie des trucs dont je n'arrive pas à me débarasser malgré plusieurs tentatives Il y avait d'autres problèmes soulevés par le log sur lesquels le fix a marché, mais pas sur ces 2 lignes. Tant que j'y suis dans les emmerdements, il y a des traces d'F-secure dont je n'arrive pas à me débarasser non plus. Je croyais qu'il était désinstallé depuis super longtemps, depuis que j'ai quitté Wanadoo pour Free. Mais en fait, il semble qu'il y ait des résidus. J'ai tenté de les dégager en utilisant Revo uninstaller (fonction uninstall pas chasseur) et aussi un executable que j'ai téléchargé sur le site de Securitoo mais RIEN n'y fait : il reste des bidules (http://www.securitoo.com/fra/pages/faqs_av_fw.php) Honnêtement, je commence à en avoir par dessus la tête car ça fait depuis dimanche dernier que je tourne en rond. Je vais charger MBAM et voir ce que ça donne. Pour F-secure je vais aussi esssayer un truc vu là : http://www.clubic.com/forum/logiciel-gener...e1.html#8592106 Lien vers le commentaire Partager sur d’autres sites More sharing options...
emparis Posté(e) le 6 décembre 2008 Auteur Partager Posté(e) le 6 décembre 2008 Re Voici le résultat de MBAM : Malwarebytes' Anti-Malware 1.31 Version de la base de données: 1467 Windows 5.1.2600 Service Pack 2 06/12/2008 20:19:55 mbam-log-2008-12-06 (20-19-35).txt Type de recherche: Examen complet (C:\|D:\|) Eléments examinés: 91590 Temps écoulé: 38 minute(s), 47 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 3 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken. Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.