DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 25 Nov 2024 à 12:31 FAQ | Rechercher | Membres | Groupes

Cheval de troie détecté en 3 endroits de C:\


 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
bigor62



Inscrit le: 07 Déc 2006
Messages: 4
Localisation: Villeneuve-sur-Lot

MessagePosté le: 11 Déc 2006 à 22:24    Sujet du message: Cheval de troie détecté en 3 endroits de C:\ Répondre en citant

Bonsoir,
Hier j'avais analysé disque dur avec avast! familial et mis en quarantaine puis détruit (du moins le croyais-je)WKA-kill et Inservice présents dans 12 dossiers/fichiers.
Aujourd'hui j'ai éliminé les spywares avec spybot et par sécurité j'ai analysé à nouveau mon répertoire C:\ avec le software eacceleration.
Résultat c:\recycler\s-1-5-21-2052111302-436374069-1957994488-1003\dc112\wpa_kill1.exe is infected with: Trojan.DownLoader.2568
c:\recycler\s-1-5-21-2052111302-436374069-1957994488-1003\dc113\wpa_kill1.exe is infected with: Trojan.DownLoader.2568
c:\documents and settings\michel\local settings\temp\répertoire temporaire
is infected with: Trojan.DownLoader.2568
Que puis-je faire?
Remerciements anticipés
bigor62
_________________
bigor62 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 12 Déc 2006 à 0:04    Sujet du message: Répondre en citant

Bonjour bigor62,

Citation:
j'ai analysé à nouveau mon répertoire C:\ avec le software eacceleration.


eacceleration c'est lui l'infection!
Ce programme est un Rogue en d'autre terme un faux programme de sécurité qui fait exactement l'inverse de c qu'il prétend.

Je te conseille vivement de désinstaller cette cochonnerie et faire un scan en ligne qui sera beaucoup plus fiable

=> Fais un scan en ligne avec Internet explorer
* Rend toi sur ce site http://webscanner.kaspersky.fr/
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant
* Clique sur le bouton paramètres d'analyse
-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

Note :
- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

a+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
bigor62



Inscrit le: 07 Déc 2006
Messages: 4
Localisation: Villeneuve-sur-Lot

MessagePosté le: 12 Déc 2006 à 12:27    Sujet du message: rapport d'analyse Kaspersky Répondre en citant

Bonjour !aur3n7

et surtout merci pour tes conseils éclairés. La procédure indiquée a été respectée entièrement. (J'avais déjà viré eacceleration. Je fais généralement confiance à avast! home)

Paramètres d'analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
Statistiques de l'analyse
Total d'objets analysés 68224
Nombre de virus trouvés 2
Nombre d'objets infectés 6 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:39:04

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Application Data\Mozilla\Firefox\Profiles\hgx0vfx3.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Application Data\Mozilla\Firefox\Profiles\hgx0vfx3.default\googlesafebrowsing.db L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Application Data\Mozilla\Firefox\Profiles\hgx0vfx3.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Application Data\Mozilla\Firefox\Profiles\hgx0vfx3.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Application Data\Mozilla\Firefox\Profiles\hgx0vfx3.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Local Settings\Application Data\Mozilla\Firefox\Profiles\hgx0vfx3.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Local Settings\Application Data\Mozilla\Firefox\Profiles\hgx0vfx3.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Local Settings\Application Data\Mozilla\Firefox\Profiles\hgx0vfx3.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Local Settings\Application Data\Mozilla\Firefox\Profiles\hgx0vfx3.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Local Settings\Historique\History.IE5\MSHist012006121220061213\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Local Settings\Temp\~DFA36E.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Local Settings\Temp\~DFA96C.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\Mes documents\Mes infections informatiques.doc L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\ntuser.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Michel\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
C:\RECYCLER\S-1-5-21-2052111302-436374069-1957994488-1003\Dc1024.exe Infecté : not-a-virus:Downloader.Win32.WinFixer.m ignoré
C:\RECYCLER\S-1-5-21-2052111302-436374069-1957994488-1003\Dc112\WPA_Kill1.exe Infecté : Trojan-Downloader.Win32.INService.gen ignoré
C:\RECYCLER\S-1-5-21-2052111302-436374069-1957994488-1003\Dc113\WPA_Kill1.exe Infecté : Trojan-Downloader.Win32.INService.gen ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{D1C124CF-B32C-49C3-BF7F-F63D0553FAA8}\RP126\A0012448.exe Infecté : Trojan-Downloader.Win32.INService.gen ignoré
C:\System Volume Information\_restore{D1C124CF-B32C-49C3-BF7F-F63D0553FAA8}\RP150\A0018005.exe Infecté : Trojan-Downloader.Win32.INService.gen ignoré
C:\System Volume Information\_restore{D1C124CF-B32C-49C3-BF7F-F63D0553FAA8}\RP150\A0018007.exe Infecté : Trojan-Downloader.Win32.INService.gen ignoré
C:\System Volume Information\_restore{D1C124CF-B32C-49C3-BF7F-F63D0553FAA8}\RP152\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{5E1BC9B5-A537-4995-B0E7-2BBDF623FAEE}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_574.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
Analyse terminée.

Merci de m'indiquer la suite de la marche à suivre.
_________________
bigor62 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 12 Déc 2006 à 20:45    Sujet du message: Répondre en citant

Bonsoir,

Les seuls infections détectées sont dans la restaration systeme qu'il conviendra donc de vider en la désactivant puis réactiver après redémarrage. (la réactivation créera automatiquement un point de restauration)

=> Désactive la restauration système

* Menu démarrer >> panneau de configuration
-- Double clique sur l'icône système.
* dans l'onglet restauration système
- [X] coche la case : Désactiver la restauration du système sur tous les lecteurs
* clique sur ok pour valider les changements

Réactive la après redémarrage.

A+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
bigor62



Inscrit le: 07 Déc 2006
Messages: 4
Localisation: Villeneuve-sur-Lot

MessagePosté le: 13 Déc 2006 à 18:26    Sujet du message: Il reste une infection Répondre en citant

Bonjour !aur3n7,
Processus observé à la lettre. Scan de contrôle avec Kaspersky donne tout bon sauf
C:\RECYCLER\S-1-5-21-2052111302-436374069-1957994488-1003\Dc1024.exe Infecté :not-a-virus:Downloader.Win32.WinFixer.m ignoré[/size]
J'ai mis en quarantaine mais que faire pour s'en débarrasser définitivement? En désespoir de cause,
j'ai visité d'autres sites susceptibles de me renseigner sur ce "not-a-virus:Downloader.Win32.WinFixer.m "
J'ai pu ainsi voir que certains(www.commentçamarche.net) sont semble-t-il parvenus à un résultat positif en intervenant sur le BIOS.
1-Est-ce possible dans mon cas? Si oui, je suis preneur de la solution mais...n'est-ce pas dangereux pour un Béotien comme moi?
2-Que faire de la quarantaine d'avast! home maintenant bien garnie???
merci et A+
_________________
bigor62 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 13 Déc 2006 à 19:32    Sujet du message: Répondre en citant

Bonsoir,

Tu devrais pouvoir vider la quarantaine d'Avast sans trop de souci (je ne le connais pas car j'utilise NOD32).

Sinon le fichier détecté par Kaspersky était dans la corbeille et ne représentait donc Aucun danger. Les fichiers en zone de quarantaine d'Avast ne représentent pas de danger non plus car l'antivirus en bloque l'accès.

Concernant le BIOS pour éliminer Winfixer je dirais que c'est à mon avis un tout autre problème qui a été traité car cet intrus ne nécessite en aucun cas une intervention très poussée. Ce n'est ni un virus de boot ni un virus "bios" par conséquent j'ai du mal à croire qu'il y ai eu besoin d'intervenir dans le Bios pour s'en débarrasser.

As tu un lien ?

Sinon pour ma part rien d'alarmant et en tout cas plus d'infection à déplorer. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
bigor62



Inscrit le: 07 Déc 2006
Messages: 4
Localisation: Villeneuve-sur-Lot

MessagePosté le: 14 Déc 2006 à 9:39    Sujet du message: Répondre en citant

Bonjour
Je suis soulagé par ces bonnes nouvelles.
Je ne sais pas ce que veut dire "avoir un lien".
J'ai plus de 62 ans et je me suis pour l'instant toujours débrouillé tout seul avec l'informatique.Avec l'internet, l'arrivée des intrus de toutes sortes complique les choses pour l'utilisateur de base autodidacte que je suis.
Je ne peux pourtant pas m'en passer. S'il n'y avait pas les fauteurs de trouble sur la toile,l'outil informatique serait merveilleux.
A+
_________________
bigor62 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 14 Déc 2006 à 19:56    Sujet du message: Répondre en citant

Bonsoir bigor62,

Je ne peux qu'être en total accord avec ces quelques mots. L'internet sans ces Bestioles et pour en arriver à la source toutes ces personnes bien mal intentionnées serait un véritable espace de liberté. Aujourd'hui ce n'est malheureusement pas le cas et la seule parade efficace restant d'apprendre à s'en protéger car les pirates eux n'arrêteront jamais car pour beaucoup c'est l'appât du gain qui les motive et en absence de réelle législation dans ce domaine nous ne pouvons qu'essayer de limiter les effets néfastes tout en essayant de pousser nos chèrs élus à considérer le problème.

Mais comme rien n'est jamais simple dans la vie il faudra attendre encore de nombreuses années avant de pouvoir espérer avoir des moyens de lutte efficaces ne se contentant pas de seulement désinfecter la machine.

Cordialement,

Laurent 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
 
Page 1 sur 1 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum