DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 28 Nov 2024 à 4:11 FAQ | Rechercher | Membres | Groupes

Scan Kaspersky online alarmant ?


 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
AlexMagnus
Modérateur


Inscrit le: 23 Mai 2006
Messages: 2843
Localisation: Pool à glande

MessagePosté le: 02 Avr 2008 à 22:00    Sujet du message: Scan Kaspersky online alarmant ? Répondre en citant

Bonsoir à tous,

Suite au conseil de LeNouv' (ouais, c'est ta faute m'sieur concombre), j'ai fait un scan complet de mon PC sur Kaspersky online.

Résultat : un scan relativement alarmant. En voici le contenu :

Scan Settings
Scan using the following antivirus database
=> extended
Scan Archives
=>true
Scan Mail Bases
=>true

Object is locked :
C:\Documents and Settings\AlexMagnus\Application Data\Mozilla\Firefox\Profiles\yx91gvza.default\cert8.db
C:\Documents and Settings\AlexMagnus\Application Data\Mozilla\Firefox\Profiles\yx91gvza.default\flashgot.log
C:\Documents and Settings\AlexMagnus\Application Data\Mozilla\Firefox\Profiles\yx91gvza.default\history.dat
C:\Documents and Settings\AlexMagnus\Application Data\Mozilla\Firefox\Profiles\yx91gvza.default\key3.db
C:\Documents and Settings\AlexMagnus\Application Data\Mozilla\Firefox\Profiles\yx91gvza.default\parent.lock
C:\Documents and Settings\AlexMagnus\Application Data\Mozilla\Firefox\Profiles\yx91gvza.default\search.sqlite
C:\Documents and Settings\AlexMagnus\Application Data\Mozilla\Firefox\Profiles\yx91gvza.default\urlclassifier2.sqlite
C:\Documents and Settings\AlexMagnus\Cookies\index.dat
C:\Documents and Settings\AlexMagnus\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
C:\Documents and Settings\AlexMagnus\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
C:\Documents and Settings\AlexMagnus\Local Settings\Application Data\Mozilla\Firefox\Profiles\yx91gvza.default\Cache\_CACHE_001_
C:\Documents and Settings\AlexMagnus\Local Settings\Application Data\Mozilla\Firefox\Profiles\yx91gvza.default\Cache\_CACHE_002_
C:\Documents and Settings\AlexMagnus\Local Settings\Application Data\Mozilla\Firefox\Profiles\yx91gvza.default\Cache\_CACHE_003_
C:\Documents and Settings\AlexMagnus\Local Settings\Application Data\Mozilla\Firefox\Profiles\yx91gvza.default\Cache\_CACHE_MAP_
C:\Documents and Settings\AlexMagnus\Local Settings\Historique\History.IE5\index.dat
C:\Documents and Settings\AlexMagnus\Local Settings\Historique\History.IE5\MSHist012008040220080403\index.dat
C:\Documents and Settings\AlexMagnus\Local Settings\Temp\Perflib_Perfdata_1b8.dat
C:\Documents and Settings\AlexMagnus\Local Settings\Temp\~DF21EA.tmp
C:\Documents and Settings\AlexMagnus\Local Settings\Temporary Internet Files\Content.IE5\index.dat
C:\Documents and Settings\AlexMagnus\NTUSER.DAT
C:\Documents and Settings\AlexMagnus\ntuser.dat.LOG
C:\Documents and Settings\AlexMagnus\UserData\index.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\LocalService\Cookies\index.dat
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat
C:\Documents and Settings\LocalService\NTUSER.DAT
C:\Documents and Settings\LocalService\ntuser.dat.LOG
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
C:\Documents and Settings\NetworkService\NTUSER.DAT
C:\Documents and Settings\NetworkService\ntuser.dat.LOG
C:\System Volume Information\MountPointManagerRemoteDatabase
C:\System Volume Information\_restore{EDB15C35-8A13-4A14-A9D4-1754B291140D}\RP77\change.log
C:\WINDOWS\Debug\PASSWD.LOG
C:\WINDOWS\SchedLgU.Txt
C:\WINDOWS\SoftwareDistribution\EventCache\{70C33439-A8DF-40BA-AF10-AE891CD6C1CE}.bin
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log
C:\WINDOWS\Sti_Trace.log
C:\WINDOWS\system32\CatRoot2\edb.log
C:\WINDOWS\system32\CatRoot2\tmp.edb
C:\WINDOWS\system32\config\AppEvent.Evt
C:\WINDOWS\system32\config\default
C:\WINDOWS\system32\config\default.LOG
C:\WINDOWS\system32\config\Internet.evt
C:\WINDOWS\system32\config\SAM
C:\WINDOWS\system32\config\SAM.LOG
C:\WINDOWS\system32\config\SecEvent.Evt
C:\WINDOWS\system32\config\SECURITY
C:\WINDOWS\system32\config\SECURITY.LOG
C:\WINDOWS\system32\config\software
C:\WINDOWS\system32\config\software.LOG
C:\WINDOWS\system32\config\SysEvent.Evt
C:\WINDOWS\system32\config\system
C:\WINDOWS\system32\config\system.LOG
C:\WINDOWS\system32\drivers\sptd.sys
C:\WINDOWS\system32\h323log.txt
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
C:\WINDOWS\wiadebug.log
C:\WINDOWS\wiaservc.log
C:\WINDOWS\WindowsUpdate.log
D:\Mes programmes\daemon4121-lite.exe/stream/data0050
D:\Mes programmes\daemon4121-lite.exe/stream
D:\Mes programmes\daemon4121-lite.exe
D:\Mes programmes\FTP\tightvnc-1.2.9-setup.exe/data0002
D:\Mes programmes\FTP\tightvnc-1.2.9-setup.exe/data0003
D:\Mes programmes\FTP\tightvnc-1.2.9-setup.exe
D:\RECYCLER\S-1-5-21-1606980848-1364589140-725345543-1005\Dd4\%temp%dd_msxml_retMSI.txt
D:\System Volume Information\MountPointManagerRemoteDatabase
D:\System Volume Information\_restore{AD099821-0DEC-4C95-A789-2988C2D1A3DA}\RP140\A0094986.exe
D:\System Volume Information\_restore{AD099821-0DEC-4C95-A789-2988C2D1A3DA}\RP140\A0094987.exe
D:\System Volume Information\_restore{EDB15C35-8A13-4A14-A9D4-1754B291140D}\RP77\change.log
E:\System Volume Information\MountPointManagerRemoteDatabase


J'ai du mal à voir s'il y a réellement quelque chose, ou si ce sont des fichiers que Kaspersky n'est pas arrivé à lire, tout simplement ?

Merci d'avance Smile
_________________
Ceci est un bloc de texte qui peut être ajouté aux messages que vous postez. Il y a une limite de 500 caractères mon cul 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 03 Avr 2008 à 6:30    Sujet du message: Répondre en citant

Bonjour AlexMagnus, tu as le rapport complet avec l'entête?
POste le dans ce cas
Ce rapport ne montre pas d'anomalies 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
AlexMagnus
Modérateur


Inscrit le: 23 Mai 2006
Messages: 2843
Localisation: Pool à glande

MessagePosté le: 04 Avr 2008 à 1:06    Sujet du message: Répondre en citant

Ok, voici les parties manquantes :

En-tête :
Wednesday, April 02, 2008 7:40:57 AM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 1/04/2008
Kaspersky Anti-Virus database records: 676500

Résultat global :
Total number of scanned objects 151561
Number of viruses found 4
Number of infected objects 8
Number of suspicious objects 0
Duration of the scan process 02:41:17

Infected: not-a-virus:AdWare.Win32.Shopper.r
D:\Mes programmes\daemon4121-lite.exe/stream/data0050
D:\Mes programmes\daemon4121-lite.exe/stream

NSIS: infected - 2
D:\Mes programmes\daemon4121-lite.exe

Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.h
D:\Mes programmes\FTP\tightvnc-1.2.9-setup.exe/data0002

Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.b
D:\Mes programmes\FTP\tightvnc-1.2.9-setup.exe/data0003

Inno: infected - 2
D:\Mes programmes\FTP\tightvnc-1.2.9-setup.exe

Infected: Backdoor.Win32.Rbot.ctf
D:\System Volume Information\_restore{AD099821-0DEC-4C95-A789-2988C2D1A3DA}\RP140\A0094986.exe
D:\System Volume Information\_restore{AD099821-0DEC-4C95-A789-2988C2D1A3DA}\RP140\A0094987.exe

Je doute qu'il me soit simplement possible de supprimer les quelques fichiers incriminés Sad
_________________
Ceci est un bloc de texte qui peut être ajouté aux messages que vous postez. Il y a une limite de 500 caractères mon cul 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 04 Avr 2008 à 19:58    Sujet du message: Répondre en citant

Bonjour AlexMagnus,



1/ Télécharge et installe

- ATF-Cleaner (Atribune) : http://www.atribune.org/ccount/click.php?id=1



- OTMoveIt (de Old_Timer) http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe enregistre ce fichier sur le bureau

- Double-clique sur OTMoveIt.exe

- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et colle-le dans le cadre bleu de OTMoveIt

nommé Paste Standart List of Files/Folders to moved

Citation:

D:\Mes programmes\daemon4121-lite.exe
D:\Mes programmes\FTP\tightvnc-1.2.9-setup.exe
D:\System Volume Information\_restore{AD099821-0DEC-4C95-A789-2988C2D1A3DA}\RP140\A0094986.exe
D:\System Volume Information\_restore{AD099821-0DEC-4C95-A789-2988C2D1A3DA}\RP140\A0094987.exe



- Clique sur MoveIt! pour lancer la suppression.

- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit

- Poste le rapport qui se trouve dans C:\_OTMoveIt\MovedFiles

2/


- Démarre ATF-Cleaner et Coche:


Windows Temp
Current User Temp
All Users Temp
Cookies
Temporary Internet Files
Prefetch
Java Cache
Recycle Bin


* Clique sur Empty Selected et au message Done Cleaning sur Ok


Si tu utilises Firefox

* Clique sur Firefox au haut et choisis Select All
* Clique sur le bouton Empty Selected
* NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique sur No à l'invite.
* Clique sur Main pour revenir à menu principal


Si tu utilises le navigateur Opera

* Clique sur Opera au haut et choisis Select All
* Clique sur le bouton Empty Selected
* NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique sur No à l'invite.
* Clique sur Main pour revenir à menu principal

* Clique sur Exit, du menu principal, pour quitter ATFcleaner


Poste le rapport de C:\_OTMoveIt


On va vérifier s'il ne reste rien d'autre sur ce PC:




- Télécharge Hijackthis V 2.02 http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Double clique sur HJTInstall.exe pour lancer l'installation

- Clique sur Install puis sur I Accept

- Clique sur Do a scan system and save log file

- Notepad s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse.

- Aide à l'installation: http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm (merci à brucelee) 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
AlexMagnus
Modérateur


Inscrit le: 23 Mai 2006
Messages: 2843
Localisation: Pool à glande

MessagePosté le: 04 Avr 2008 à 22:37    Sujet du message: Répondre en citant

Bonsoir, voici les différents éléments demandés :

Résultat de MoveIt! a écrit:
D:\Mes programmes\daemon4121-lite.exe moved successfully.
D:\Mes programmes\FTP\tightvnc-1.2.9-setup.exe moved successfully.
D:\System Volume Information\_restore{AD099821-0DEC-4C95-A789-2988C2D1A3DA}\RP140\A0094986.exe moved successfully.
D:\System Volume Information\_restore{AD099821-0DEC-4C95-A789-2988C2D1A3DA}\RP140\A0094987.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.0 log created on 04042008_222643


ATF-Cleaner a écrit:
pas de soucis


HijackThis a écrit:
Log supprimé

_________________
Ceci est un bloc de texte qui peut être ajouté aux messages que vous postez. Il y a une limite de 500 caractères mon cul 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 05 Avr 2008 à 1:16    Sujet du message: Répondre en citant

Re, on va vérifier plus avant pour être sur:



Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

Choisis "enregistrer" et "Bureau" comme emplacement.

Ferme toutes les applications en cours (très important, sinon le PC peut planter).

Double-clique sur dss.exe pour lancer l'outil.

S'il ne trouve pas HijackThis, clique sur Oui.

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.

Le rapport se trouve ici: C:\Deckard\System Scanner\main.txt. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
AlexMagnus
Modérateur


Inscrit le: 23 Mai 2006
Messages: 2843
Localisation: Pool à glande

MessagePosté le: 05 Avr 2008 à 1:41    Sujet du message: Répondre en citant

Sacrément long les deux logs !

main a écrit:
Log supprimé


_________________
Ceci est un bloc de texte qui peut être ajouté aux messages que vous postez. Il y a une limite de 500 caractères mon cul 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Kane 13



Inscrit le: 04 Déc 2005
Messages: 1490
Localisation: J'habite dans le sud de ma chambre

MessagePosté le: 05 Avr 2008 à 8:32    Sujet du message: Répondre en citant

Mais tightvnc-1.2.9-setup.exe C'est pour le contrôle de pc à distance, c'est bizarre qu'il le détecte comme un virus, je l'avais quand j'étais sous window$
_________________

 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail MSN Messenger
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 05 Avr 2008 à 22:07    Sujet du message: Répondre en citant

Bonjour à tous, pas de traces d'infections ce PC est propre
Citation:

Mais tightvnc-1.2.9-setup.exe C'est pour le contrôle de pc à distance, c'est bizarre qu'il le détecte comme un virus, je l'avais quand j'étais sous window$


Exact, il est détecté comme programme à risque d'où le principe de précaution
not-a-virus:RemoteAdmin.Win32.WinVNC-based.b

Tu peux supprimer C:\_OTMoveIt
Vider la corbeille et refaire un scan avec kaspersky pour vérification 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
AlexMagnus
Modérateur


Inscrit le: 23 Mai 2006
Messages: 2843
Localisation: Pool à glande

MessagePosté le: 05 Avr 2008 à 22:25    Sujet du message: Répondre en citant

ok, j'ai supprimé les fichiers d'install de tightVNC et de daemon tools, et j'en ai profité pour virer Daemon tool, partant du principe qu'il avait un soucis. Je refais un scan cette nuit, et dirai rapidement le résultat.

Merci à zaede, que je n'avais pas croisé jusqu'alors, passant peu par ici Smile
_________________
Ceci est un bloc de texte qui peut être ajouté aux messages que vous postez. Il y a une limite de 500 caractères mon cul 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 06 Avr 2008 à 12:19    Sujet du message: Répondre en citant

Bonjour AlexMagnus,


Citation:
Merci à zaede, que je n'avais pas croisé jusqu'alors, passant peu par ici


De rien, ici n'est pas le meilleur endroit du forum pour la paix de l'esprit
P 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
AlexMagnus
Modérateur


Inscrit le: 23 Mai 2006
Messages: 2843
Localisation: Pool à glande

MessagePosté le: 06 Avr 2008 à 12:41    Sujet du message: Répondre en citant

Scan Kaspersky de cette nuit : plus de soucis Smile

Merci encore

(et cette histoire me fait penser à : et si on donnait des étoiles aux forumeurs qui nous aident ? Very Happy)
_________________
Ceci est un bloc de texte qui peut être ajouté aux messages que vous postez. Il y a une limite de 500 caractères mon cul 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 06 Avr 2008 à 13:24    Sujet du message: Re: Scan Kaspersky online alarmant ? Répondre en citant

AlexMagnus a écrit:

Suite au conseil de LeNouv' (ouais, c'est ta faute m'sieur concombre), j'ai fait un scan complet de mon PC sur Kaspersky online.


Heureusement que j'étais là ^^

Pour la proposition d'étoile, à en débattre.
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
 
Page 1 sur 1 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum