| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
blackduty
Rank Pr 9
Inscrit le: 23 Nov 2005
Messages: 96
|
 Posté le: Sam Fév 17, 2007 5:34 pm Sujet du message: Attaque virale qui vient de me faire bobo *snif* |
 |
|
Hello,
Bon, je vous explique mon problème.
Depuis quelques temps, mon navigateur FF avait souvent des fermetures inopportunes. J'ai donc décidé de faire un petit coup d'antivirus, histoire de vérifier qu'il n'y a rien de grave... bon, perdu, Kasperky m'a flingué 3 fichiers infectés (un cheval de troie visiblement qui se trouvait sur les trucs de java. Notons que je venais de faire une maj....).
Vu que j'aime pas ces ptites bêtes, j'ai décidé de leur déclarer la guerre.
J'ai donc balancer un coup d'avast par dessus (il n'a pas réussi a analyser un fichier.), un CCleaner, un Regcleaner, un petit coup de spybot et d'ad-aware. (notons que j'ai supprimé des spyware provenant d'un truc de yahoo avec spybot mais sinon rien d'autre.)
Bref, entre temps, je suis allé me coucher et j'ai éteins mon ordi correctement.
Quand je le rallume le lendemain, j'ai une vérification des disques et une suppression d'un même fichier en plusieurs fois. Puis l'arrêt de s'analyse pour une erreur (il ne m'a pas dit ce que c'était: Erreur non connu [un truc dans le genre])
Bon XP se charge etc... bing deuxième problème, avast ne peut pas se mettre a jour (fichier corrompu).
En patrouillant sur mon PC, je constate que quelques fichiers d'images et de video sont illisibles ou endommagés (mon pc qui me le dit quand je veux les déplacer hein ^^)
Bref... c'est le résumé de la situation.
Donc j'ai deux questions:
Peut on réparer les photos et videos illisible et/ou endommagé  Si oui, comment
Si non, peut on les supprimer (j'y arrive pas...) Si oui (pour le non, vous suivez hein :p) comment faire
Pour le moment, a part, Avast et ces fichiers, je n'ai rien vu d'infecter donc je préfère réinstaller avast etc...
Deuxième chose, ne sachant toujours pas me servir de Hijackthis, je vous met mon log pour que vous puissiez me conseiller sur la destruction d'éventuel fichier ^^ (au passage, si vous pouviez m'expliquer comment reconnaitre les intrus, ce serait génial :))
| Citation: | Logfile of HijackThis v1.99.1
Scan saved at 16:21:40, on 17/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\arservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\ALCXMNTR.EXE
c:\windows\system\hpsysdrv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\HP_Administrateur\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://fr.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://fr.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://fr.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://fr.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubi Soft\Register\schedule.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: PokerFROnline - {40B2063F-DB01-4962-BE63-59435C01283C} - C:\PROGRA~1\POKERF~1\client.exe
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: msldr32 - msldr32.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
|
Merci ! :) |
|
| Revenir en haut |
|
 |
blackduty
Rank Pr 9
Inscrit le: 23 Nov 2005
Messages: 96
|
| Posté le: Sam Fév 17, 2007 6:37 pm Sujet du message: |
|
|
Info complémentaire:
J'ai éteins normalement mon pc et je l'ai allumer de nouveau. Le controle des disques s'est effectué.
Voici un bref résumé de ce qu'il a fait:
Suppression segment d'enregistrement (128, '') d'un paquet de fichier.
Correction de l'index $I30 d'un paquet de fichier
Suppression d'entrée d'index d'un paquet de chose.
Récupération des fichiers orphelins (ça se compte en dizaine de milliers de fichier...)
Decryptage de sécurité: pas de probleme
Insertion d'attribut de donné
Vérification du journal USN
Et après tout ça, il s'est relancé tout seul. |
|
| Revenir en haut |
|
|
@YvesJean01@
Rank Pr 2
Inscrit le: 09 Sep 2005
Messages: 1939
Localisation Pays-Ville: Guéreins 01090
|
| Posté le: Dim Fév 18, 2007 2:25 pm Sujet du message: |
|
|
Tu a déjà bien épuré, mais la guerre n’est pas finis, voici les lignes a fixer avec informations sur le log,
ont voit après les autres problèmes, a mon avis pour les vidéos… c’est une .dll qui a du ce faire la malle ou bien une clef de registre effacer, rien de bien grave mais sûrement intervenu soit après un scan mais dans se cas tu devrait avoir une sauvegarde de restauration comme le fait Ccleaner ou un prog qui a été désinstaller en embarquant un fichier système avec lui.
Pour analyser un log voici ce dont je me sert en partie car il faut faire attention aux log en ligne de HijackThis qui peuvent bloquer des programmes légitime mais c’est une bonne synthèse de toutes façon mais mérite d’etre analyser au surplus sur toutes ces lignes avec
http://www.processlibrary.com/
et
http://www.castlecops.com/
et pour compléter tout ca sur les ligne difficile comme ton log par exemple en faisant une recherche sur divers type de moteurs de recherche
Voici tes lignes a fixer :
| Citation: | | C:\WINDOWS\ALCXMNTR.EXE |
Eventuellement a fixer, c’est un Spyware non méchant installer avec les drivers Realtek
S’il veut pas ce fixer ouvre le poste de travail, dans le disque "C:\" tu ouvre le dossier "windows" et tu supprime le fichier en question (ALCXMNTR.EXE) garde le dans ta corbeille 1 semaine pour voir si en le supprimant tu n’est pas d’instabilitée
| Citation: | | O20 - Winlogon Notify: msldr32 - msldr32.dll |
J’ai comme l’impression que c’est une porte ouverte au espions, essais avant de fixer de renommer cette .dll en .txt ou bien de la mettre dans ta corbeille 1 semaine
| Citation: | | R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) |
A fixer car aucune correspondence
| Citation: | | O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot |
c’est un déchargeur a fixer
| Citation: | O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm |
A fixer ci tu ne connait pas “free download manager”
| Citation: | | O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe |
Ce bouton n’est plus actif, tu peut fixer
| Citation: | | O9 - Extra button: PokerFROnline - {40B2063F-DB01-4962-BE63-59435C01283C} - C:\PROGRA~1\POKERF~1\client.exe |
a fixer sit u ne connait pas PokerFRonline |
|
| Revenir en haut |
|
|
Jackwade
Rank Pr 3
Inscrit le: 03 Sep 2005
Messages: 1485
|
| Posté le: Lun Fév 19, 2007 7:55 pm Sujet du message: |
|
|
Tes problèmes de fichiers videos..., c'est un de tes virus qui a commencé à bouffer tes fichiers.
Pour le reste, fais comme yvesjean t' a dit.
Bon courage 
_________________
Y en a qui n'aime pas ma signature, ca va saigner!! |
|
| Revenir en haut |
|
|
blackduty
Rank Pr 9
Inscrit le: 23 Nov 2005
Messages: 96
|
| Posté le: Jeu Fév 22, 2007 7:36 pm Sujet du message: |
|
|
Hello,
Merci pour le coup de main et les liens :)
Bon, je vais pas pouvoir le faire avant Lundi voire Mardi mais j'ai déjà eu une surprise récement.
Mes fichiers qui refusaient de partir dans la poubelle ont enfin accepté d'y aller et Avast c'est visiblement réparé tout seul (brave bête !).
Et tout ça en relançant seulement mon ordi. Les voies de Windows sont impénétrables mais pas son prix qui fait bien mal aux fesses  |
|
| Revenir en haut |
|
|
Jackwade
Rank Pr 3
Inscrit le: 03 Sep 2005
Messages: 1485
|
| Posté le: Ven Fév 23, 2007 4:07 pm Sujet du message: |
|
|
Tu fais ce que tu veux avec Windows, ca nous regarde pas 
_________________
Y en a qui n'aime pas ma signature, ca va saigner!! |
|
| Revenir en haut |
|
|
|
Le Site
+ de 500 Tutos d’aide
TV ce soir
Météo
Cartes virtuelles gratuites
Sudoku
Contact Admin
Faire un lien
Calendrier 2008
