> Tous les forums > Forum Sécurité
 J'ai récupéré un Cheval de Troie.Sujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
komanfer
  Posté le 28/01/2009 @ 20:03 
Aller en bas de la page 
Petite astucienne

Bonjour à vous tous, amis du Groupe Sécurité.

Hier, alors que terminais l'entretien de mon PC, j'ai dû attraper une "sale bestiole" !
Il doit s'agir d'un Cheval de Troie si j'en crois les rapports de Scann de mon antivirus...

1° J'avais éffectué un contrôle avec Malwarebyte's Anti Malware : résultat "Clean".
2° Je terminais juste un Scann avec Kaspersky Online Scanner : résultat "Clean", aussi.
3° J'ai vu passer une fenêtre me proposant une proposition d'une nouvelle version de LACIE. Je n'en ai pas tenu compte....
Interpellée par cette annonce : en effet je possède un disque dur externe de la marque LACIE.
J'ai de suite procédé à un Contrôle du Système Intégral par mon anti virus, Avira Antivir Premium.

Je poste le rapport de scann d'Antivir Premium :

Avira AntiVir Premium
Date de création du fichier de rapport : mercredi 28 janvier 2009 00:03

La recherche porte sur 1283977 souches de virus.

Détenteur de la licence : ~~~~~~~~~~~~~~
Numéro de série : 2200568764-PEPWE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :PC286112454829

Informations de version :
BUILD.DAT : 8.2.0.33 20009 Bytes 02/12/2008 14:57:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 10/12/2008 21:58:40
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 17:52:25
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 09:51:26
ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23/01/2009 23:20:04
ANTIVIR3.VDF : 7.1.1.185 172032 Bytes 27/01/2009 11:29:05
Version du moteur: 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 23/01/2009 13:41:54
AESCN.DLL : 8.1.1.5 123251 Bytes 07/12/2008 17:52:53
AERDL.DLL : 8.1.1.3 438645 Bytes 07/12/2008 17:52:52
AEPACK.DLL : 8.1.3.5 393588 Bytes 09/01/2009 11:46:51
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12/12/2008 10:25:01
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 23/01/2009 13:41:50
AEHELP.DLL : 8.1.2.0 119159 Bytes 07/12/2008 17:52:41
AEGEN.DLL : 8.1.1.10 323957 Bytes 19/01/2009 16:51:10
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 07/12/2008 17:52:38
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 07/12/2008 17:52:37
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 21/07/2008 13:46:29
RCTEXT.DLL : 8.0.51.1 90369 Bytes 14/07/2008 10:41:24

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition premium\sysscan.avp
Documentation....................: bas
Action principale................: réparer
Action secondaire................: renommer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : mercredi 28 janvier 2009 00:03

La recherche d'objets cachés commence.
'55070' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WINWORD.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Watch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mqtgsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avwebgrd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avmailc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mqsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'inetinfo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehSched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehrecvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DKService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avesvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msdtc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NkbMonitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dslmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALERTM~1.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'PollingModule.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Inactivity.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Toaster.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ComComp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GestionnaireInternet.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TaskBarIcon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'52' processus ont été contrôlés avec '52' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '60' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Program Files\LACIE\LaCieSync.zip
[0] Type d'archive: ZIP
--> LaCieSync_v7_1_028.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.4648960.A
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c29680.qua ( QUARANTAINE )
[REMARQUE] Le fichier a été renommé en 'LaCieSync.zip.VIR' !
C:\Program Files\LACIE\LaCieSync_v7_1_028.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.4648960.A
[REMARQUE] Une copie de sécurité a été créée sous le nom 49c29681.qua ( QUARANTAINE )
[REMARQUE] Le fichier a été renommé en 'LaCieSync_v7_1_028.exe.VIR' !
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP95\A0017472.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.4648960.A
[REMARQUE] Une copie de sécurité a été créée sous le nom 49af995a.qua ( QUARANTAINE )
[REMARQUE] Le fichier a été renommé en 'A0017472.exe.VIR' !
Recherche débutant dans 'D:\' <HP_RECOVERY>


Fin de la recherche : mercredi 28 janvier 2009 00:44
Temps nécessaire: 41:53 Minute(s)

La recherche a été effectuée intégralement

6850 Les répertoires ont été contrôlés
340335 Des fichiers ont été contrôlés
3 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
3 Les fichiers ont été déplacés dans la quarantaine
3 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
340330 Fichiers non infectés
9323 Les archives ont été contrôlées
2 Avertissements
3 Consignes
55070 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

Ce qui m'inquiète, c'est que les fichiers concernés et mis en quarantaine, ont été renommé :
" Le fichier a été renommé en 'LaCieSync.zip.VIR' ! " et qu'il s'agirait d'un Cheval de Troie : Contient le cheval de Troie TR/Agent.4648960.A
qui semble être bien présent étant donnés les rapports qui se sont inscrits dans mon anti-virus et mis en quarantaine.

JE PRECISE QUE MON DISQUE DUR EXTERNE N'ETAIT PAS INSTALLE SUR MON PC. Il y a au moins 3 semaines que je ne l'ai pas utilisé !

1° Une question (je cherche toujours à comprendre quand un accident se produit) : Pourquoi LACIE ? Justement comme mon disque dur externe ?

Quand j'ai installé mon disque dur externe (c'est le 1er !) au début du mois de janvier, j'ai suivi les instructions : il fallait créer sur le PC un dossier qui contiendrait tous les fichiers d'installation, de paramétrage, de configuration dont il fallait garder une copie (sur le PC). Au moment de l'inatallation, puis au formatage, toutes ces instructions allaient être écrasées et diqparaître !....
J'ai donc dans mon C: / Program Files....un dossier dénommé LACIE. Si j'y touche, je perds toutes ces instructions qui me seront encore essentielles !
Je suis une "bleue", et je préfère garder tous mes repères...
Je suis sûre que vous comprennez !...

J'avoue n'avoir que très peu d'expérience en matière de "désinfection de PC".
J'ai eu la chance d'être "prise en main" par un header du Groupe Sécurité, suite à divers spywares qui me gènaient.
Nous avons réussi, avec votre collègue, un nettoyage assez complet de mon PC.
Ce nettoyage était encore en cours, quand j'ai subi l'attaque d'un Cheval de Troie (situé dans le système 32). Quelque chose d'assez coriace ! Il nous a fallu un certain temps pour en venir à bout !
J'ai appris énormémént de choses en matière de sécurisation de mon PC, mais j'étais guidée et j'ai un peu oublié tout ce que nous avons fait (dans les détails).

Malheureusement, j'ai à nouveau besoin d'être guidée par l'un d'entre vous, car je ne sais plus par ou je dois commencer ?
Est-ce vraiment un Cheval de Troie, ou serait-ce un faux positif de avira antivir Premium ?

J'ai pris Avira Antivir Premium sur les conseils de votre collègue, et abandonné mon ancien antivirus (Avast).
En matière de protection, et nettoyage j'utilise : * CCleaner, après chaque session de travail (partiquement 1/jour)
* Malwarebyte's Anti Malware (1/semaine en entretien régulier)
* J'avais Norton Security Scan jusqu'à présent (utilisé 1/semaine) en alternace ou complément
de Malwarebyte's Anti Malware.
Ce logiciel a semble-t-il subi une modification dans sa version actuelle et n'offre plus de
rapport d'analyse"....
* J'utilise donc à défaut Kaspersky Online Scanner (1/semaine)
J'utilise Internet Explorer comme navigateur sur le web. Suite à mes misères passées, nous y avons ajouté SpywareBlaster, pour renforcer la sécurité.
Depuis quelques temps, je m'achemine vers un nouveau changement : utiliser Firefox, comme navigateur. Plus sécurisé, c'est évident ! mais j'ai encore du mal à me faire à ce nouvel outil (le défaut de vielles habitudes, au travail j'utilisais IE). Récemment à la retraite, je veux prendre le temps de m'améliorer. ... J'ai beaucoup de mal avec les dossiers crpités et le "langage" de Java.
Je suis patiente, je prends mon temps. mais je ne me sens pas encore bien à l'aise dans Firefox. Je garde espoir !

Bref, pour résumer : je suis encore très craintive dès qu'un problème (spyware, virus ou Cheval de Troie) se présente....
J'avoue que je ne sais pas par ou commencer...

J'ai repris mes notes : - le tutoriel de Nardino pour la configuration de Avira Antivir Premium.(merci Nardino).
- le tutoriel donné por l'intallation de Avira Antivir Premium, donné sur le forum de Malekal et son annexe sue les réparations, donné sur
http://malekal.com/tutorial_antivir.php

MAIS JE N'AI PAS TROUVE DE VRAIE MARCHE A SUIVRE, NI DE GUIDE POUR EVITER DE FAIRE DES ERREURS !....

Accepterez-vous de m'aider ? Je suis toute prête à apprendre à bien faire.....

Je vous poste mon dernier rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:18:54, on 28/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll (file missing)
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll (file missing)
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=64&bd=pavilion&pf=laptop
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D1984E5-8DC2-4CB6-A05F-FE4B9854F988}: NameServer = 81.253.149.9 80.10.246.132
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Planificateur Avira AntiVir Premium (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Service d'assistance Avira AntiVir Premium MailGuard (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8399 bytes

C'est sans doute un début de savoir que mon analyse de Malwarebyte's Anti Malware était "clean", que le rapport de Kaspersky Online Scanner était "clean" aussi.

Que dois-je faire d'autre, j'accepte votre aide bien volontiers. Merci d'avance au Groupe Sécurité et à ses headers, pour le "coup de main" que vous voudrez bien m'apporter pour assainir mon PC !
J'attends vos conseils et vos instructions que je suis décidée (comme toujours) à suivre à la lettre . Parfois je ne comprends pas tout, mais je n'ai pas honte de poser des questions, même naîves....

Les astuciens de ce forum ne sont pas "avares" de leur connaissances et toujours prêts à faire partager ce qu'ils connaissent pour permettre aux novices de progresser !

Merci de votre compréhension. Cordalement.

Komanfer.







Publicité
nardino
 Posté le 28/01/2009 à 23:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

Dans le dossier C:\Program Files\LaCie, tu vas trouver le fichier LaCieSync_v7_1_028.vir

Tu le fais analyser sur ce site et tu enregistres et psotes le rapport obtenu:

VirusTotal

Il y a beaucoup à parier qu'il s'agit d'un faux positif, cette analyse nous éclairera là-dessus.

@+



Modifié par nardino le 28/01/2009 23:28
komanfer
 Posté le 29/01/2009 à 00:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir Nardino,

Merci d'avoir si répondu à mon appel au secours.

Comme tu me l'a conseillé j'ai récupéré le fichier LaCieSync_v7_1_028.vir.
Je viens de le faire analiser par Virus Total.

Seulement je ne sais pas si j'ai bien su enregistrer le rapport....

Je te poste ce que j'ai enregistré :

Fichier LACIESYNC_V7_0_108.EXE reçu le 2009.01.21 08:48:14 (CET)
Situation actuelle: terminé
Résultat: 5/39 (12.82%)
AntivirusVersionDernière mise à jourRésultat
a-squared 4.0.0.73 2009.01.21 -
AhnLab-V3 5.0.0.2 2009.01.21 -
AntiVir 7.9.0.57 2009.01.21 -
Authentium 5.1.0.4 2009.01.20 -
Avast 4.8.1281.0 2009.01.20 -
AVG 8.0.0.229 2009.01.20 -
BitDefender 7.2 2009.01.21 -
CAT-QuickHeal 10.00 2009.01.21 -
ClamAV 0.94.1 2009.01.20 -
Comodo 939 2009.01.20 -
DrWeb 4.44.0.09170 2009.01.21 -
eSafe 7.0.17.0 2009.01.20 Suspicious File
eTrust-Vet 31.6.6315 2009.01.19 -
F-Prot 4.4.4.56 2009.01.20 W32/Damaged_File.gen!Eldorado
F-Secure 8.0.14470.0 2009.01.21 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.21 -
Ikarus T3.1.1.45.0 2009.01.21 -
K7AntiVirus 7.10.597 2009.01.21 -
Kaspersky 7.0.0.125 2009.01.21 -
McAfee 5501 2009.01.20 Generic.dx
McAfee+Artemis 5501 2009.01.20 Generic.dx
Microsoft 1.4205 2009.01.21 -
NOD32 3784 2009.01.21 -
Norman 5.93.01 2009.01.20 -
nProtect 2009.1.8.0 2009.01.21 -
Panda 9.5.1.2 2009.01.21 -
PCTools 4.4.2.0 2009.01.20 -
Prevx1 V2 2009.01.21 -
Rising 21.13.21.00 2009.01.21 -
SecureWeb-Gateway 6.7.6 2009.01.21 Win32.Malware.gen#PEBundle (suspicious)
Sophos 4.37.0 2009.01.21 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.21 -
TheHacker 6.3.1.5.224 2009.01.20 -
TrendMicro 8.700.0.1004 2009.01.21 -
VBA32 3.12.8.10 2009.01.19 -
ViRobot 2009.1.21.1571 2009.01.21 -
VirusBuster 4.5.11.0 2009.01.20 -
Information additionnelle
File size: 4937216 bytes
MD5...: 74ec7f009dafd864bf822b056233ef5d
SHA1..: f9ec281194781c952462e3df5397a632333fad99
SHA256: 582fe61c026725cf05a258a0e049009c13e819a2c2622890adc7f9c16d10c2dd
SHA512: 0351cd7a86b32b470374bad3079be867b17d57b51dc34bd646f6121645f5613c
ea34e25fb17b8117aa2b134ac202af1a897df9aaf93ce27026c6493180649902
ssdeep: 98304:yvJpjKgTRJq/mgJC44tofgS8MS8RAqR9n3GALu:7glTWBIS8MSC33nn
PEiD..: PEBundle v2.0b5 - v2.3
TrID..: File type identification
Win32 EXE PECompact compressed (v2.x) (48.9%)
Win32 EXE PECompact compressed (generic) (34.4%)
Win32 Executable Generic (7.0%)
Win32 Dynamic Link Library (generic) (6.2%)
Generic Win/DOS Executable (1.6%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1289000
timedatestamp.....: 0x469e3d9b (Wed Jul 18 16:19:39 2007)
machinetype.......: 0x14c (I386)

( 22 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xa0a000 0x318200 8.00 415ae209115e1645ebd965fc69553968
.rsrc 0xa0b000 0x12000 0x11800 3.70 c73de5a4ea05841b842c20af0ef1f61b
.pe 0xa1d000 0x1000 0x400 2.17 2197cda70e5222324325399256686bf8
.text 0xa1e000 0x26000 0xd400 8.00 484b59347ccfd168915be8b22bd9dee9
.rsrc 0xa44000 0x3000 0x2800 6.48 4073946fd927739c165685699621e466
.reloc 0xa47000 0x1000 0x200 0.23 486ee0c57396c234a5e2d3e00c3cd8fb
pebundle 0xa48000 0x2000 0x2000 4.83 3db1b6b24943a6ce58a96e15244475ed
.pe 0xa4a000 0x1000 0x400 2.35 8b1a3342fb617698411fa368250ceec1
.text 0xa4b000 0xd0000 0x3f400 8.00 de9cfb529ba7c68e2059bc3d15e4e147
.rsrc 0xb1b000 0x14000 0x13400 6.25 f930e0d0cd468b95e0c9c2469122a31f
.reloc 0xb2f000 0x1000 0x200 0.23 826c758156dfd40702f3963c34b5cc4a
pebundle 0xb30000 0x2000 0x2000 4.83 2d44b793a2b3c680b50fe973b82a4077
.pe 0xb32000 0x1000 0x400 2.63 d840ab6e58b66872e27a341e3649a37e
.text 0xb33000 0x64000 0x10400 7.90 db12252f17d379d9404ef9ae8c2cc728
.rsrc 0xb97000 0x2b000 0x2ae00 5.49 92ab7da3ba7c14700a5082206ded79a5
.reloc 0xbc2000 0x1000 0x200 0.22 6b794d77e49304218e556dab3bbec911
pebundle 0xbc3000 0x2000 0x2000 4.83 616368d16d81b7e38d417b2c856f4f6e
.pe 0xbc5000 0x1000 0x400 2.36 8fe3cfee2bd373496c3aec1510788534
.text 0xbc6000 0x241000 0x64400 8.00 f75448347b0165d45b4f6b1e230436d4
.rsrc 0xe07000 0x81000 0x80400 5.86 a4f044c931401e7d0dc6245f471674b1
.reloc 0xe88000 0x1000 0x200 0.23 92c4211a734228494bc1a1a4ce384971
pebundle 0xe89000 0x2000 0x2000 4.83 a1252f9a67a8b930b76039b619cd922f

( 1 imports )
> KERNEL32.DLL: CloseHandle, CreateFileA, CreateThread, DeleteFileA, ExitProcess, ExitThread, FreeLibrary, GetCurrentProcess, GetCurrentProcessId, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, GetTempFileNameA, GetTempPathA, GetVersionExA, LoadLibraryA, LoadLibraryExA, OpenProcess, WriteProcessMemory, VirtualAlloc, VirtualFree, WriteFile

( 0 exports )
packers (Kaspersky): PEBundle, PEBundle, PEBundle, PEBundle, PE_Patch.PECompact, PecBundle, PECompact
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=74ec7f009dafd864bf822b056233ef5d
packers (F-Prot): embedded

J'espère que tu pourras exploiter ce rapport. J'en conserve une copie sur mon PC, au cas où tu en aurais encore besoin....

Tu me tiendras au courant de la suite à donner à mon problème : quelle action entreprendre ? Pourrais-je faire disparaître ce fichier s'il est bien inutile et même nuisible, etc...

Vue l'heure tardive, je comprendrais très bien que tu ne me répondes que demain pour la suite....
Moi-même, je vais aller me coucher.
Merci de ton aide, j'attends tes instructions et tes conseils.

Bonne Nuit et à demain !

@ + Komanfer.

nardino
 Posté le 29/01/2009 à 09:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour.

Cinq détections , c'est quand même pas mal.

Ce dossier est-il absolument nécessaire pour l'utilisation de ton disque dur ?

Je n'en suis pas persuadé.

Désinstalles-le.

Si vraiment il manquait, tu le réinstalleras.

@+

komanfer
 Posté le 29/01/2009 à 14:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour Nardino,

Le dossier que tu me demandes de désinstaller : est-ce seulement LaCieSync_v7_1_028 ?

Je n'ai pas encore énormémént "pratiqué" mon disque dur externe, tu sais ! Pour moi c'est surtout pour pouvoir sauvegarder des documents tels que des photos, des fihiers comptables, et autres documents que je ne souhaite pas perdre. En effet la fiabilité des supports CD.RW et DVD.RW n'étant plus garantie.
Il est notoire que ces supports informatiques s'effacent à la longue.....
J'ai opté pour un disque externe pour conserver mes documents les plus précieux, notamment les photos...Je ne suis q'un amateur, pas une professionnelle. Tu l'auras bien compris ! Pour le moment je me contente d'utiliser mon disque dur externe comme "disque de sauvegarde". Pour ne rien perdre des dossiers qui me snt chers. OK ? Comme sur les CD et DVD au paravant !....

Le fichier infecté LaCieSync_v7_1_028, je suis allée voir à quoi il sert : " C'est un logiciel de synchronisation et de cryptage qui est fourni avec tout l'ensemble de LACIE Mobil disk. Il est précisé qu'il sert à synchroniser mes fichiers, mes données depuis mon PC personnel. "
"Détails : - Emporter partout votre PC grâce à
LaCieSync.
- Transférer vos fichiers, emails,contacts, tâches, musique et vidéo sur votre disque dur externe laCie.
- Travailler sur n'importe quel PC partout dans partout dans le monde, comme si vous étiez chez vous.
- Envoyer des emails, naviguer sur Internet et travailler en toute sécurité sur vos fichiers sans laisser aucune trace.
- Quand vous retrouvez votre Pc, synchroniser en un seeul clic tout votre ravail.
Ce logiciel LaCieSync est associé à un contrat de licence. Cette licence accorde le droit d'utiliser le Produit Logiciel sur "un seul et unique" disque externe LaCie.

J'avoue que je ne me sens pas vraiment concernée.....par tout çà !
Je n'ai pas encore installé ce Logiciel....
Je ne crois pas en avoir besoin.

Si j'ai bien compris c'est uniquement ce document : LaCieSync_v7_1_028, qu'il faut que je désinstalle ? Comment dois-je procèder pour le faire disparaître de C:/Program Files ?
Dans le "dossier général LaCie" que j'ai créé, il y les autres fichiers qui sont en fait le mode d'emploi de l'installation du disque dur lui-même et les modalités de formatage.
Voici la liste :
* Mobile Disk manuals. pdf
* LaCie Backup software Manual. pdf
* UM mobile Disk _FR. pdf
* UM backup Software_FR_. pdf
* Readme_FRA. htm
* Setup.exe launcher LaCie SA
* LaCieSync_v7_0_108.exe >>>>> qu'il faut absolument désintaller !
* LaCieSync Data >>>>> qui disparaîtra sans doute avec celui que je vais désinstaller ?
* System Volume Information (qui est en "ombre") donc impossible à utiliser et peut-être inutile ? >>>>>> je ne sais pas !

1° Ma question : Comment dois-je procèder ? Il faut qu'il disparaisse de la racine de C:/
J'ai dû commettre une erreur, je n'ai pas utilisé "Ajout/ Supression de Programme" pour créer mon dossier général LACIE !

Morgane m'avait fait suivre une procédure de supression de logiciel, il y a quelques temps, mais j'ai oublié comment nous avons procédé...... (avec OOD.exe et ...., je ne sais plus).
Peux-tu me donner des indications pour éviter des erreurs ?
Ensuite : Comment pourrais-je vérifier qu'il est bien parti ?
Il doit y avoir des analyses ou des scann à éxécuter ?

2° : Tu me dis que si j'en avais besoin par la suite, je pourrais sans doute le réinstaller ?
Comment ? Il auar définitivement disparu de mon PC. Ce document est infecté, je ne pourrais donc pas je "réinjecter" sur mon PC !
Il faudra sans doute que je m'adresse au site du fournisseur des disques durs externes LaCie qui comport une section DmailerSync ?
Pas évident ! D'ailleurs, je crois ne pas avoir besoin de réinstaller ce logicielde Sybchronisation etc....
Qu'en penses-tu ?

3°: Il me semble me souvenir qu'une fois que toit est nettoyé, il faut créer un nouveau point de restauration. Ainsi on remet le système à jour. Le PC est clean ! . Je ne me rappelle plus les étapes ...

Merci de ta compréhension et la gentillesse avec laquelle tu me guides.

@ très bientôt ! Cordialement.

Komanfer.

Question subsidiaire : un incident me fait souvant me poser d'autre questions.... Si tu as le temps !

L'intallation initiale de mon PC a été sauvegardée sur un DVD "double couche" (double layer) lors de sa mise en service.
Si cette sauvegarde d'installation risque de s'effacer un jour....il faudrait sans doute que je la copie sur mon disque dur externe ?
Et je pense me servir de ce disque dur externe comme '"super disque de sauvegarde".
Je te parle de çà parce qu'une fois le disque dur de mon PC a claqué et j'ai dû le changer....
je sais combien il est utile de pouvoir réinstaller le système du PC grâce, et uniquement gràce à cette sauvegarde !

Dis-moi si je fais erreur ! J'accepte tous les conseils en matière de Sécurité.
Merci d'avance.


@ + Komanfer.



Modifié par komanfer le 29/01/2009 15:40
nardino
 Posté le 29/01/2009 à 20:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir.

Une question = un sujet à la fois sinon on tape dans tous les sens et on ne s'y retrouve plus.

Pour ce dossier installé dans C:\ProgramFiles\LaCie, comment l'as-tu créé ?

Si tu as créé toi-même le dossier pour y mettre son contenu, tu le supprimes purement et simplement.

Si tu l'as installé à partir d'un fichier setup, il faut le désinstaller par Ajout/Suppression des programmes.

@+

komanfer
 Posté le 29/01/2009 à 21:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir Nardino,

D'accord ! Je vais essayer d'être plus claire....

Ce dossier général, que j'ai appelé "LACIE", se trouve sur mon PC en suivant le chemin suivant : C:/Program Files/LACIE
Je l'ai créé moi-même pour y mettre "en copie" tous les fichiers suivants (qui se trouvaient sur mon disque dur externe avant que je l'installe et que je le formate. Ces fichiers ont disparu du disque dur externe lors de son installation, comme c'était expliqué.
Chacun de ces fichiers correspond à des actions bien précises, comme dans un mode d'emploi. De plus il y a le "Setup" d'installation.
(voici la liste des fichiers) :
* Mobile Disk manuals. pdf

* LaCie Backup software Manual. pdf
* UM mobile Disk _FR. pdf
* UM backup Software_FR_. pdf
* Readme_FRA. htm
* Setup.exe launcher LaCie SA
* LaCieSync_v7_0_108.exe>>>>>>>>>> qu'il faut absolument désintaller !
* LaCieSync Data >>>>>>>>>>>>> qui disparaîtra sans doute avec celui que je vais désinstaller ?
* System Volume Information (qui est en "ombre") donc impossible à utiliser et peut-être inutile ? >>>>>>>>>> je ne sais pas !

Les fichiers écrits en bleu sont des fichiers essentiels à l'utilisation et la réinstallation éventuelle du disque dur.
Les fichiers écrits en rouge représente le fichier infecté (et le data).
J'ai surligné en jaune les fichiers que je pensais devoir "supprimer" ou "désinstaller"....

Si je comprends bien : puisqu'il ne s'agit que d'une copie (oh ! combien utilitaire ! du mode d'emploi général), on doit pouvoir y faire un choix !
Et suprimer ce qu'on veut ?

Je ne me sens pas tellement concernée par les caractéristiques et possibilités offertes par le fichier de synchronisation : LaCieSync_v7_0_108.exe.
C'est un logiciel de synchronisation et de cryptage qui est fourni avec l'ensemble de LACIE Mobil disk. Il est précisé qu'il sert à synchroniser mes fichiers, mes données depuis mon PC personnel. "
Je peux donc le faire disparaître purement et simplement en le suprimant ?

Il disparaîtra complètement de mon PC ! OK ?

Tu me dis que si j'en avais besoin par la suite, je pourrais sans doute le réinstaller ?
Ce document est infecté, je ne pourrais donc pas je "réinjecter" sur mon PC !
Il faudra sans doute que je m'adresse au site du fournisseur des disques durs externes LaCie qui comport une section DmailerSync ?
Pas évident ! D'ailleurs, je crois ne pas avoir besoin de réinstaller ce logicielde Sybchronisation etc....
Qu'en penses-tu ?

Avant de supprimer
LaCieSync_v7_0_108.exe
et LaCieSync Data
et même System Volume Information

Pour être précise : le fichier Setup.exe launcher LaCie SA, est le "Setuo qui sert à installer le dique dur externe !

Voilà pourquoi je ne veux pas me séparer des 6 fichiers (écrits en bleu) car ils sont essentiels...pour la suite de l'utilisation du disque dur externe.


J'attends que tu me confirmes que je ne fais pas d'erreur. Je suis un peu la "mère pétocharde"....
Excuse-moi si je t'ai embrouillé avec plusieurs questions....

Pour le reste des questions tu me répondras par la suite, si tu veux bien....

Merci de ton aide, à très bientôt.

Komanfer. Trop prudente peut-être ?




nardino
 Posté le 29/01/2009 à 22:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

J'ai imprimé cette fois

Le plus simple est que tu remettes tout cela sur le disque dur externe et basta.

@+

komanfer
 Posté le 30/01/2009 à 00:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir Nardino,

Alors je ne suprime plus rien ?

Je transfère tout de nouveau sur le disque dur externe ? Je suis un peu étonnée que ce soit si simple !
Le fichier va rester infecté et passer "infecté" sur le disque dur externe ? Cà n'a donc aucune importance ?
C'est une question idiote sans doute !
Je ne serais donc jamais débarrassée de cette vermine ?
Je ne cherche pas les complications, mais !....
Ne pourrais-je pas aussi recopier tout çà sur un CD.RW ou un DVD.RW ? C'estpas mieux, car ces supports ne sont pas éternels !....Ils peuvent s'effacer !

Vue l'heure tardive ou je te réponds, je n'ai pas vraiment le temps de faire grand'chose ce soir....
Je verrai çà demain dans le courant de l'après-midi. Le matin, je suis absente.

Ensuite, que dois-je faire pour être sure que tout rentre dans l'ordre ?

Je pense faire un nouveau Scann de Avira Antivir Premium. Et si ce dernier scann est "clean", çà suffira pour dire que mon PC est "clean" ?
Ne faut-il pas créer un nouveau point de Restauration", après tout ce remue ménage ?

Au fait, c'était quoi ? Un vrai Cheval de Troie ou bien un faux positif d'Antivir ? Tu peux m'expliquer, s'il te plait ?
Je suis curieuse, mais figure-toi que je crois me souvenir que cette bestiole s'est introduite (sous la forme de "nouvelle version de LacieSync_v7_0_108, sans que j'ai ouvert ni ma messagerie, ni Internet Explorer. En effet, je faisais l'entretien de mon PC. Et ni Malwarebyte's Anti Malware, ni Kaspersky Online Scanner ne l'ont détecté ! Curieux, non ?

Au fait, je suis plutôt curieuse et je vais te reposer ma question subsidiare. Si tu veux bien me renseigner !

Question subsidiaire : un incident me fait souvant me poser d'autre questions....

L'intallation initiale de mon PC a été sauvegardée sur un DVD "double couche" (double layer) lors de sa mise en service.
Si cette sauvegarde d'installation risque de s'effacer un jour....il faudrait sans doute que je la copie sur mon disque dur externe ?
Car je pense me servir de ce disque dur externe un peu comme d'un "super disque de sauvegarde".
[Je te parle de çà parce qu'une fois le disque dur de mon PC a claqué et j'ai dû le changer....
Je sais combien il est utile de pouvoir réinstaller le système du PC grâce, et uniquement gràce à cette sauvegarde ! ]

Ne serait-il pas bon d'avoir aussi une sauvegarde du système de mon PC sur le disque dur externe, support plus durable que le DVD "double couche" cité plus haut ?

Dis-moi si je fais erreur ! J'accepte tous les conseils en matière de Sécurité.
Merci d'avance.

Je te dis tout de même à demain, en espérant que la manoeuvre de transfert de tous ces fichiers n'aura pas créé d'autres problèmes !

Bonne Nuit. Merci de tes conseils...

@ très bientôt.
Cordialement.

Komanfer.

nardino
 Posté le 30/01/2009 à 01:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

Puisque que tu affirmes que c'est toi qui a installé ce dossier et tout son contenu à partir de ton disque externe, cela m'étonnerait que LaCie s'amuse à mettre des virus dans ses logiciels.

Pour la non détection par Malwarebytes' Antimalware, ce n'est pas vraiment son job, s'il faisait tout il ne serait pas utile d'avoir un antivirus et cela se saurait.

Pour Kaspersky en ligne il ne l'a pas plus détecté que sur Virus Total, de même qu''Antivir, qui sont tous deux d'excellents outils en la matière.

J'aurai tendance à penser qu'il s'agit d'un faux-positif.

Maintenant c'est à toi d'en décider tu as toutes les armes en main.

Je répète une règle essentielle pour dépanner efficacement :

Un sujet = une question et un demandeur.

Si on commence à répondre à deux questions ou à deux interlocuteurs, on va vite ne plus s'y retrouver.

Pour résumer, quand tu jugeras que ton problème de "virus" résolu, tu ouvriras un sujet sur la restauration, ce que tu peux faire dès maintenant plus exactement.

Je rest à ta disposition.

@+

komanfer
 Posté le 30/01/2009 à 18:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir Nardino,

Encore moi !
Merci de ta réponse.
Bien compris pour la question sur la Restauration, je verrai à reposer ma question dans un autre sujet !

Pour ce qui est de mon problème de virus,n voilà où j'en suis.
J'ai suivi tes conseils et j'ai tout rebasculé mon dossier général LACIE ~~~~ .
Tout est bien passé sur le disque dur externe , et çà m'a l'air conforme, pour ce qui est du disque dur externe!
Les documents paraissent parfaitement sains....
Sur le PC, dans C:/Program Files >>>>>il n'y aplus de trace de tout cela !

Pour m'assurer que tout est "clean", je viens de relancer un scann de Avira Antivir Premium. Etait-ce judicieux ? Je ne sais pas !....
Toujours est-il qu'il me signale encore 1 logiciel malveillant.
Je te poste la copie de l'événement relevé dans Avira Antivir Premium :

Le fichier 'C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP95\A0017472.exe.VIR'
contenait un virus ou un programme indésirable 'TR/Agent.4648960.A' [trojan].
Action(s) exécutée(s) :
Une copie de sécurité a été créée sous le nom 49b32dea.qua ( QUARANTAINE ).

Sur le rapport de Scan, je repère encore et toujours le même Cheval de Troie !
Je te poste le rapport de scann de Avira Antivir Premium :

Avira AntiVir Premium
Date de création du fichier de rapport : vendredi 30 janvier 2009 17:13

La recherche porte sur 1302306 souches de virus.

Détenteur de la licence :XXXXXXXXXXXXXXXXXXX
Numéro de série : 2200568764-PEPWE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :PC286112454829

Informations de version :
BUILD.DAT : 8.2.0.33 20009 Bytes 02/12/2008 14:57:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 10/12/2008 21:58:40
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 17:52:25
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 09:51:26
ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30/01/2009 15:31:58
ANTIVIR3.VDF : 7.1.1.208 2048 Bytes 30/01/2009 15:31:59
Version du moteur: 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 23/01/2009 13:41:54
AESCN.DLL : 8.1.1.5 123251 Bytes 07/12/2008 17:52:53
AERDL.DLL : 8.1.1.3 438645 Bytes 07/12/2008 17:52:52
AEPACK.DLL : 8.1.3.5 393588 Bytes 09/01/2009 11:46:51
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12/12/2008 10:25:01
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 23/01/2009 13:41:50
AEHELP.DLL : 8.1.2.0 119159 Bytes 07/12/2008 17:52:41
AEGEN.DLL : 8.1.1.10 323957 Bytes 19/01/2009 16:51:10
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 07/12/2008 17:52:38
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 07/12/2008 17:52:37
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 21/07/2008 13:46:29
RCTEXT.DLL : 8.0.51.1 90369 Bytes 14/07/2008 10:41:24

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition premium\sysscan.avp
Documentation....................: bas
Action principale................: réparer
Action secondaire................: renommer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:, F:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : vendredi 30 janvier 2009 17:13

La recherche d'objets cachés commence.
'64229' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Watch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NkbMonitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALERTM~1.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'PollingModule.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Inactivity.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Toaster.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ComComp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dslmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GestionnaireInternet.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TaskBarIcon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mqtgsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mqsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avwebgrd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avmailc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'inetinfo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehSched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehrecvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DKService.exe' - '1' module(s) sont
contrôlés
Processus de recherche 'avesvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msdtc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'51' processus ont été contrôlés avec '51' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '60' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP95\A0017472.exe.VIR
[RESULTAT] Contient le cheval de Troie TR/Agent.4648960.A
[REMARQUE] Une copie de sécurité a été créée sous le nom 49b32dea.qua ( QUARANTAINE )
Recherche débutant dans 'D:\'
Recherche débutant dans 'F:\'
Impossible d'ouvrir le chemin à contrôler F:\ !
Erreur système [3]: Le chemin d'accès spécifié est introuvable.

Fin de la recherche : vendredi 30 janvier 2009 17:56
Temps nécessaire: 42:32 Minute(s)

La recherche a été effectuée intégralement

6867 Les répertoires ont été contrôlés
340492 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
340489 Fichiers non infectés
9320 Les archives ont été contrôlées
2 Avertissements
1 Consignes
64229 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

C'est toujours la même référence de Cheval de Troie que précédemment : cheval de Troie TR/Agent.4648960.A

Est-ce toujours le même faux positif ? Est-ce autre chose qu'il nous faut analyse maintenant ?

J'ai refait un rapport Hijackthis que je te poste également :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:48, on 30/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\PROGRA~1\MICROS~3\OFFICE11\OUTLOOK.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll (file missing)
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll (file missing)
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=64&bd=pavilion&pf=laptop
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D1984E5-8DC2-4CB6-A05F-FE4B9854F988}: NameServer = 80.10.246.1 81.253.149.2
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Planificateur Avira AntiVir Premium (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Service d'assistance Avira AntiVir Premium MailGuard (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8440 bytes

Je ne sais plus que croire ! Que dois-je faire ? Je ne serais donc jamais débarrassée de cette vermine ?

Veux-tu bien continuer à m'aider, s'il te plaît ?

Merci d'avance de tes conseils. Promis, je tâcherai de ne plus "mélanger" toutes les questions qui me viennent à la tête !
Sans problème, il semble bien que le "faux-positif" LACIE~~~~~~ a disparu du scan d' Avira Antivir Premium.
Mais qu'est-ce que ce cheval de Troie TR/Agent.4648960.A ?

Il serait situé dans C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP95\A0017472.exe.VIR

Il existait aussi dans mon premier rapport de scann Avira Antivir Premium .... (cf. mon post du 28/01 à 20h03)

Je n'ai pas purgé la quarantaine d'Avira Antivir Premium. Aurais-je dû le faire ?
C'est peut-être çà qui le fait réapparaître ?


Je recommence à "patauger" ....

Merci d'avance pour ton aide.
A bientôt.
Cordialement.

Komanfer.



Modifié par komanfer le 30/01/2009 19:01
nardino
 Posté le 30/01/2009 à 22:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir.

Pour la quarantaine de Antivir, elle est étanche, sinon il faut s'inquiéter et cesser de proposer cet excellent antivirus.

Pour la détection, il s'agit d'un point de restauration système, donc sans danger tant qu'on ne le réactive pas .

Pour nettoyer ces points, ton pc étant ptopre tu va appliquer ce qui suit:

Désactiver la Restauration Système

Puis tu la réactives pour recréer un point sain.

Et l'affaire est classée.

@+

komanfer
 Posté le 30/01/2009 à 23:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir Nardino,

Je comprends vite mais il faut parfois m'expliquer longtemps ! Et aussi : je suis "trop curieuse ".... Cà pourrait mon défaut !

Je n'ai toujours pas bien saisi comment mon PC était "clean", puisqu'il traînait encore des traces de ce faux positif dans le scan d'Antivir. J'avais bien préssenti qu'il s'agissait sans doute du même "problème". Mais pourquoi restait-il alors que le dossier gênant avait été expédié sur mon disque dur externe ?
Sans doute de la curiosité mal placée, et surtout encore beaucoup de "crainte". Cà bloque parfois !

Cà y est tout est clair et net sur mon PC, mais pas dans mon esprit....pas encore !

Merci pour ta patience. Il en faut beaucoup avec moi !
Merci d'avoir été mon guide et de m'avoir sortie de l'embarras !

J'ai bien apprécié ta gentillesse et ton calme. Au Groupe Sécurité, on tombe sur des astuciens très compréhensifs.

On se retrouvera peut-être pour des choses plus classiques, il faut que je fasse un effort pour être plus claire et plus précise ! Non ?

Bonne Nuit. Bon courage, à la prochaine !

Komanfer reconnaissante.



nardino
 Posté le 31/01/2009 à 00:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir.

La restauration système crée des points régulièrement et à chaque nouvelle installation de logiciel par exemple.

Donc si le pc est infecté, le point de restauration créé l'est également.

Et antivir les détecte dans ces derniers, chose que ne font pas tous les antivirus.

Donc supprime le point infecté et tu supprimes l'infection contenue.

Cependant tant que tu n'utilises pas ce point , l'infection contenue est sans danger pour le reste du système.

"L'ais-je bien descendu ?" (Line Renaud , meneuse de revue au Casino de Paris dans les années 60)

Bonne nuit.

@+

komanfer
 Posté le 31/01/2009 à 15:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour Nardino,

Tu l'as "fort bien descendu" !

Cette fois j'ai tout compris du prelmier coup ! Et j'ai "imprimé" Pour reprendre une de tes expressions favorites !

Quand on arrive à mêler l'humour à nos entretiens sur des sujets informatique, c'est la preuve que le but est atteint : je ne panique plus !

Merco encore de ta bienveillance et Bonne Journée.

A une autre fois peut-être ! Merci de ton accueil.
Ce fut un réel plaisir de "travailler" avec toi !

Komanfer.

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
299,99 €PC portable 14 pouces Asus (Pentium, 4 Go RAM, 128 Go eMMC, Windows 10, Office 365) + sac à 299,99 €
Valable jusqu'au 29 Octobre

Cdiscount fait une promotion sur le PC portable 14 pouces Asus E406MA-BV1040TS qui passe à 299,99 € au lieu de 400 €. Ce portable dispose d'un écran 14 pouces HD (1368x 768 pixels), d'un processeur Intel Pentium Silver N5030, de 4 Go de RAM et d'un espace de stockage eMMC de 128 Go extensible par USB, d'une webcam, du WiFi et du bluetooth, de l'USB 3.0. Il pèse 1,3 kg et offre une autonomie de 10h environ.

Il possède un numpad (pavé numérique intégré au touchpad). Notez qu'un abonnement d'1 an à Office 365 (Word, Excel, OneNote, PowerPoint, Outlook, Access et Publisher) vous est également offert ainsi qu'une sacoche et une souris.

Une bonne affaire pour un petit portable à emmener partout avec vous.


> Voir l'offre
53,82 €Disque dur externe portable Toshiba Canvio Basics 2 To USB 3.0 à 53,82 €
Valable jusqu'au 30 Octobre

Amazon propose actuellement le disque dur externe portable Toshiba Canvio Basics 2 To USB 3.0 à 53,82 € seulement ! Avec ses 2 To et sa connectique USB 3.0 compatible USB 2.0, vous aurez de quoi stocker rapidement et emporter avec vous vos photos, vos films, etc.  La livraison est gratuite.


> Voir l'offre
92,25 €SSD interne M.2 NVMe Kingston NV1 1 To à 92,25 € livré
Valable jusqu'au 30 Octobre

Amazon Allemagne fait une promotion sur le SSD interne M.2 NVMe Kingston NV1 1 To qui passe à 87,73 € (avec la TVA ajustée). Comptez 4,52 € pour la livraison en France soit un total de 92,25 € livré au lieu de plus de 100 € ailleurs. Il offre des vitesses de lecture allant jusqu'à 2100 Mo/s et 1700Mo/s en écriture.


> Voir l'offre

Sujets relatifs
comment supprimer Un cheval de troie ks/kryptyk.l
pc infecte par cheval de troie et autres
infection cheval de troie
Divers adwares, cheval de Troie
une variante de Win32/Agent.SZW cheval de troie
Cheval de Troie bloqué invisible dans la quarantaine
cheval de troie pour cameyo
Cheval de Troie : Generic_s.ABP
question sur cheval de troie
cheval de troie
Plus de sujets relatifs à J''ai récupéré un Cheval de Troie.
 > Tous les forums > Forum Sécurité