> Tous les forums > Forum Sécurité
 2 fichiers malveillants : Cheval de Troie ! Ou ?Sujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
komanfer
  Posté le 31/10/2009 @ 15:31 
Aller en bas de la page 
Petite astucienne

Bonjour chers amis de Groupe Sécurité,

Je viens à nouveau solliciter votre aide : ce serait un Cheval de Troie !

Voici le rapport que me fait Avira Antivir Premium : Pas de chance !....

Avira AntiVir Premium
Date de création du fichier de rapport : samedi 31 octobre 2009 12:00

La recherche porte sur 1851309 souches de virus.

Détenteur de la licence : Soizik REGNOT
Numéro de série : 2200568764-PEPWE-0001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PC286112454829

Informations de version :
BUILD.DAT : 9.0.0.49 21377 Bytes 08/09/2009 14:26:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 18/08/2009 13:02:31
AVSCAN.DLL : 9.0.3.0 49409 Bytes 10/07/2009 12:48:30
LUKE.DLL : 9.0.3.2 209665 Bytes 10/07/2009 12:49:02
LUKERES.DLL : 9.0.2.0 13569 Bytes 10/07/2009 12:49:02
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 13:22:46
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 13:22:46
ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28/10/2009 15:39:48
ANTIVIR3.VDF : 7.1.6.173 71680 Bytes 30/10/2009 23:50:24
Version du moteur : 8.2.1.53
AEVDF.DLL : 8.1.1.2 106867 Bytes 15/09/2009 16:56:05
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 30/10/2009 15:29:45
AESCN.DLL : 8.1.2.5 127346 Bytes 06/09/2009 16:12:36
AERDL.DLL : 8.1.3.2 479604 Bytes 03/10/2009 08:52:32
AEPACK.DLL : 8.2.0.2 422263 Bytes 22/10/2009 21:59:36
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 09/07/2009 13:22:47
AEHEUR.DLL : 8.1.0.173 2064760 Bytes 28/10/2009 19:31:57
AEHELP.DLL : 8.1.7.0 237940 Bytes 06/09/2009 16:12:35
AEGEN.DLL : 8.1.1.70 364917 Bytes 28/10/2009 19:31:26
AEEMU.DLL : 8.1.1.0 393587 Bytes 03/10/2009 08:52:22
AECORE.DLL : 8.1.8.1 184693 Bytes 15/09/2009 16:56:03
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 09:05:56
AVWINLL.DLL : 9.0.0.3 18177 Bytes 10/07/2009 12:48:35
AVPREF.DLL : 9.0.3.0 44289 Bytes 28/09/2009 14:39:43
AVREP.DLL : 8.0.0.3 155905 Bytes 10/07/2009 12:48:12
AVREG.DLL : 9.0.0.0 36609 Bytes 10/07/2009 12:48:29
AVARKT.DLL : 9.0.0.3 292609 Bytes 10/07/2009 12:48:15
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 10/07/2009 12:48:22
SQLITE3.DLL : 3.6.1.0 326401 Bytes 10/07/2009 12:49:12
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 10/07/2009 12:49:10
NETNT.DLL : 9.0.0.0 11521 Bytes 10/07/2009 12:49:03
RCIMAGE.DLL : 9.0.0.28 2623745 Bytes 15/07/2009 21:12:02
RCTEXT.DLL : 9.0.37.0 92417 Bytes 10/07/2009 12:47:59

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Disques durs locaux
Fichier de configuration......................: c:\program files\avira\antivir desktop\alldiscs.avp
Documentation.................................: bas
Action principale.............................: réparer
Action secondaire.............................: renommer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : samedi 31 octobre 2009 12:00

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wpgldfsh.scr' - '1' module(s) sont contrôlés
Processus de recherche 'hpqgpc01.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqbam08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Watch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'skypePM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mqtgsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avwebgrd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avmailc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeamViewer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mqsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeamViewer_Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehSched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehrecvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALERTM~1.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'PollingModule.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Inactivity.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Toaster.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ComComp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msdtc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WZQKPICK.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'NkbMonitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dslmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MailNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GestionnaireInternet.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TaskBarIcon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QLBCTRL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QPService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HP Wireless Assistant.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'71' processus ont été contrôlés avec '71' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '79' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Program Files\HPQ\HP Wireless Assistant\HPQWACom.dll.VIR
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Une copie de sécurité a été créée sous le nom 4b3d1ede.qua ( QUARANTAINE )
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP139\A0044027.dll.VIR
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Une copie de sécurité a été créée sous le nom 4b1c2352.qua ( QUARANTAINE )
Recherche débutant dans 'D:\' <HP_RECOVERY>

Fin de la recherche : samedi 31 octobre 2009 13:09
Temps nécessaire: 1:09:04 Heure(s)

La recherche a été effectuée intégralement

8543 Les répertoires ont été contrôlés
544613 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
544610 Fichiers non infectés
9914 Les archives ont été contrôlées
1 Avertissements
3 Consignes

Apparrement, il y a bien 2 fichiers malveillants et Avira les a mis en Quarantaine

Mais je ne me considère pas tanquile ni débarrassée pour autant ! ! ! ....

J'ai fait une analuse complète avec Malwarebyte's Antimalware, qui s'avère "clean".
Mes chevaux de Troie sont en quarantaine ! C'est sans doute normal !!!

Voici le rapport de Malwarebyte's :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3065
Windows 5.1.2600 Service Pack 3

31/10/2009 14:59:43
mbam-log-2009-10-31 (14-59-43).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 229193
Temps écoulé: 1 hour(s), 24 minute(s), 58 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Je n'ai pourtant pas envie de les voir revenir à chaque scan de Avira !

Pour finir, je vous adresse un raoport Hijackthis, pour la suite utile :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:06:58, on 31/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\TeamViewer\Version4\TeamViewer.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Microsoft\Office Live\OfficeLiveSignIn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://redirect.hp.com/svs/rdr?TYPE=4&tp=dticon&s=ebay&pf=laptop&locale=fr_fr&bd=all&c=64
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MailNotifier] C:\Program Files\Orange\MailNotifier\MailNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=64&bd=pavilion&pf=laptop
O15 - Trusted Zone: http://logicielsgratuits.orange.fr
O16 - DPF: {5A779DC0-837B-4590-AC42-C7C0847478C5} (OrangeInstaller_ModuleIE Control) - http://logicielsgratuits.orange.fr/download_service/Install/OrangeInstaller.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B04B44C8-573E-4615-9575-DC0020DDE4B9}: NameServer = 80.10.246.1 81.253.149.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe

--
End of file - 12176 bytes

Je me suis rapprochée d'autres provblèmes dépannés par votreéquipe : Nardino, Morgane, Chrisfleur et d"autres.
J'ai remonté l'arborescebce du 1er fichier (par le chemin) : C:\Program File HPQ\HPWireless Assistant\HPWACom.dll. VIR

Il apparaît ainsi : je ne peux ni ne sais l'ouvrir !
Mais je ne sais pas ce que c'est !
Ce serait un fichier pour utilsier mon imprimante HP en mode "sans fil" ?
Je n'utilise jamais cette procédure !!!!
de quelle manière puis-je SUPPRIMER Ce Fichier Malveillant ? Est-ce ce qu'on appelle unn "faux positif" ?

Quand ai 2ème,
C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP139\A0044027.dll.VIR

Il doit être lié au 1er et je n'ai pas su le trouver !
Dans tous les cas, je sais pas quelle procédure adopter pour me débarresser de ces 2 fichiers malveillants détéctés par Avira et mis en quarantaine!
Je ne peux, ni ne souhaite les conserver....

Pouvez-vous me dépanner en m'indiquant la procédure à suivre ? {#}{#}

Merci d'avance à ceux ou celle qui auront la gentillesse de me venir en aide.

Komanfer.

Publicité
pear
 Posté le 31/10/2009 à 15:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Le premier est un faux positif.

http://forum.malekal.com/trojan-dropper-gen-t21624.html

Quant au second, il vous suffit de désactiver momentannémént la restauration Système et vous ne le verrez plus.

Désinstallez la Restauration Système.

Poste de Travail->Propriétés->Restauration Système.
Cocher la case "Désactiver la Restauration sur tous les lecteurs".
Vous la décocherez par la suite
Un nouveau point de restauration sera créé au redémarrage.

komanfer
 Posté le 31/10/2009 à 18:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

{#} bonjour Pear,

Merci de votre réponse.

Je cherche à rester logique et procéder par ordre : Un faux positif, vous me communiquez le lien suivant :

http://forum.malekal.com/trojan-dropper-gen-t21624.html

Je suis allée consulter ce tutoreil (Malekal) et si je comprends bien , il faut que je communique mon "faux positif" à Avira pour une nouvelle annalyse ?

Le fichier qu'il me faut charger chez Avira pour une nouvelle anlayse est-il bien :

C:\Program Files\HPQ\HP Wireless Assistant\HPQWACom.dll.VIR ? ? ?

Je suis un peu nunuche !....
Si je pose cette question, c'est parce que je ne parviens pas à charger le fichier nommé ci-dessus !....

Quand j'arrive dans la case de "my file" (là où on doit mettre le "chemin complet" du fichier j'ai une réponse qui m'indique que

"Le(s) champ(s) en rouge a/ont été laissé(s) vide(s) ou n’est/ne sont pas valide(s)
Veuillez rectifier cet/ces erreur(s) et envoyer à nouveau les données !"
Après plusieurs tentatives infructueuses, je me permets de revenir vers vous !
Il y a sans doiute quelque chose que j'ai "loupé" ! ! !
(Une fois, j'ai eu le même problème : je n'affichais pas les extensions de fichiers que le nom est différent ou plus exactement incomplet.)
Mais cette fois, j'ai vérifié plusieurs fois, je ne comprends pas ....
(Il ne s'agit pas non plus d'une coche restée malencontreusement dans "Option de Dossiers" :
La case "masquer les extensions des dossiers dont le type est connu" ....) J'au vérifié.
Pas trop "finaude" la gamine ? n'est-ce pas ?
Pour le 2ème fichier, quitte à faire une désactivation du système, autant la faire après ? Ou bien çà n'a pas d'importance ?
Je peux commencer à me débarrasser du 2ème fichier malveillant ? (d'après la procédure que vous m'avez conseillée).
Il n'y a pas de chronologie dans les faits ?

Soyons bien d'accord le 2ème c'est bien :

C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP139\A0044027.dll.VIR ?

Merci des précisions que vous pourrez m'apporter : il y a des jours où il vaut mieux m'expliquer 2 fois ! !....

Excusez-moi encore d'insister....

Je suis méfiante, vue mon ignorance, n'agirai que sur vos conseils et vos instructions.

A bientôt vous lire...

Merci d'avance de votre compréhension !

Komanfer.



Modifié par komanfer le 31/10/2009 18:50
pear
 Posté le 31/10/2009 à 21:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir,

vous n'êtes pas obligée de communiquer à avira.

Mon message , c'était une référence à un sujet semblable pour vous éclairer.

Vous vous en tenez à ce que je vous ai préconisé:

désinstaller /réinstaller la restauration système

indiquer le fichier en cause dans les exeptions de votre antivirus.

C'est tout simple.

komanfer
 Posté le 01/11/2009 à 00:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir Pear,

Merci de votre aide.

Tout était beaucoup plus simple que je ne croyais !...
Quand un problème de ce genre, aussi minime soit-il, se produit, l'inquiétude s'empare de moi et je ne sais plus ou je "mets les pieds"...

Ce fut un excellent exercice pour me rappeller des incidents qui me sont arrivés au paravant, les raisonnments sont souvent les mêmes,
les démarches reviennent de la même manière ... Finalement je m'y suis retrouvée !

Mon inquiétude (sans doute un peu justifiée) viens surtout de mon Inexpérience Informatique, et du petit nombre (heureusement pas de graves roblèmes) de soucis que je rencontre maintenant (retraitée) que je suis seule sur mon PC, alors que dans l'entreprise où je travaillais la maintenance et les défaillances de tous ordres étaient réglées par des techniciens.
Avec PC Astuces, j'en apprends à chaque fois un peu plus !
Ce soir, c'était une EXCELLETE REVISION !

Merci encore de votre aide !

Me permettrez-vous de vous tutoyer?, c'est si fréquent au forum ....

Tu ne fais pas de baratin, tu donnes des indications nettes et précises, et surtout tu fais preuve, comme bon nombre d'ntre vous au Groupe Sécurité,
d''une ouverture d'esprit pour comprendre et excuser la "panique" et les craintes des novices et non spécialistes comme moi.

Merci Pear pour ce dépannage.
Bon Dimanche et Bonne Fête de Toussaint.

A une autre fois peut-être !...

Komanfer. {#}

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
51,99 €Barre de son bluetooth Philips TAB5105 à 51,99 €
Valable jusqu'au 21 Janvier

Cdiscount fait une promotion sur la barre de son bluetooth Philips TAB5105 qui passe à 51,99 € alors qu'on la trouve ailleurs à partir de 80 €. Cette barre de son intègre 2 haut-parleurs 2x15W et peut lire vos musiques sans fil via Bluetooth. Une entrée audio jack 3.5 mm et optique TOSLINK sont également présentes. Compatible HDMI ARC, vous pourrez contrôler la barre de son à l'aide de la télécommande de votre téléviseur. Elle est suffisamment fine pour se glisser sous la plupart des téléviseurs. Vous pouvez également la fixer au mur à l'aide des supports intégrés.


> Voir l'offre
344,99 €Smartphone 6,5 pouces Samsung Galaxy A52S (FullHD+, 8 coeurs, 6Go, 128Go, 5G) à 344,99 €
Valable jusqu'au 21 Janvier

Le vendeur sérieux Best-Digital sur Rakuten fait une belle promotion sur le smartphone 6,5 pouces Samsung Galaxy A52S 5G qui passe à 344,99 € livré gratuitement au lieu de 399 €. Avec un design homogène aux courbes confortables et élégantes, le Samsung Galaxy A52s 5G ne laisse personne indifférent. Il intègre un bel écran Super AMOLED 120 Hz de 6.5" à résolution Full HD+ de 1080 x 2400 pixels qui offre une incroyable clarté lors de toutes vos utilisations.

En outre, il peut s'appuyer sur son processeur Qualcomm Snapdragon 778G Octo-Core cadencé à 2.4 GHz, ses 6 Go de RAM et sa capacité de stockage de 128 Go. Particulièrement fin, il s'arme de toutes les dernières innovations pour vous simplifier la vie et vous permettre de laisser libre cours à toutes vos envies. De plus, grâce à son quadruple capteur photo de 64+12+5+5 MP, offrez-vous la liberté de capturer encore plus largement le monde qui vous entoure.

Le tout tourne sous Android 11 en français. Téléphone garanti 2 ans.

17,25 € vous seront également reversés en points Rakuten utilisables pour vos prochains achats.


> Voir l'offre
10 €Chargeur allume cigare Anker 30W (USB A + USB C) à 10 €
Valable jusqu'au 24 Janvier

Boulanger fait une promotion sur le chargeur allume cigare Anker 30W à 10 € au lieu de 24 €. Ce chargeur possède un port USB C 18W Power Delivery et un port 12W USB-A QuickCharge 3.0. 


> Voir l'offre

Sujets relatifs
comment supprimer Un cheval de troie ks/kryptyk.l
pc infecte par cheval de troie et autres
infection cheval de troie
Divers adwares, cheval de Troie
une variante de Win32/Agent.SZW cheval de troie
Cheval de Troie bloqué invisible dans la quarantaine
cheval de troie pour cameyo
Cheval de Troie : Generic_s.ABP
question sur cheval de troie
cheval de troie
Plus de sujets relatifs à 2 fichiers malveillants : Cheval de Troie ! Ou ?
 > Tous les forums > Forum Sécurité