Malekal's forum

[Hauwee]

Bonjour,

Je viens de faire un scan de Antivir et plusieurs menaces ont été trouvés dans des fichiers temporaires (*.tmp) dont Vundo.
Les menaces ont bien été détectées à la demande mais pourquoi le "temps réel" n'a rien détecté ?

Merci

[Gilles Gropaquet]

Salut,

Le Guard n'a rien détecté parce qu'au moment de l'infection, il n'y avait pas encore cette variante de Vundo dans leur base de données virales.

Le scan a été effectué après mise à jour des signatures virales et l'a donc détecté.

Télécharge HijackThis de Merijn sur ton bureau.

- Double-clique sur HijackThis
- Exécute-le et clique sur "Do a system scan and save a log file".
- Le rapport s'ouvre sur le Bloc-notes
- Colle le rapport ici, pour cela :
-- Menu "Edition" / "Sélectionner tout"
-- Menu "Edition" / "Copier"
-- Ici dans un nouveau message : clic droit / "Coller"

Note: Tu peux t'aider de ce tutorial si tu rencontres un problème: Guide sur HiJackThis

Un helper qualifié va te répondre dès que possible.

@+

[Hauwee]

Ah oui suis-je bête, je n'avais même pas pensé aux variantes récentes ;)

Je viens de passer un coup de ComboFix :
ComboFix 09-04-16.04 - Hauwee 16/04/2009 18:03.1 - NTFSx86
Microsoft® Windows Vista™ Professionnel 6.0.6001.1.1252.33.1036.18.2046.910 [GMT 2:00]
Lancé depuis: d:\logiciels & jeux\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Hauwee\AppData\Local\Temp\install_flash_player.exe
c:\windows\TEMP\logishrd\LVPrcInj01.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-16 au 2009-04-16 ))))))))))))))))))))))))))))))))))))
.

2009-04-16 15:58 . 2009-04-16 16:10 -------- d-----w c:\users\Hauwee\AppData\Roaming\Free Download Manager
2009-04-16 15:29 . 2009-04-16 15:29 0 ----a-w c:\windows\nsreg.dat
2009-04-15 18:58 . 2008-12-06 04:42 376832 ----a-w c:\windows\system32\winhttp.dll
2009-04-15 18:58 . 2008-06-06 03:27 38912 ----a-w c:\windows\system32\xolehlp.dll
2009-04-15 18:58 . 2008-06-06 03:27 562176 ----a-w c:\windows\system32\msdtcprx.dll
2009-04-13 18:53 . 2009-04-13 18:53 -------- d-----w c:\users\Hauwee\AppData\Local\Adobe
2009-04-09 17:06 . 2009-04-09 17:06 -------- d-----w c:\users\Clara\AppData\Roaming\vlc
2009-04-08 16:58 . 2009-04-16 16:11 -------- d-----w c:\users\Nagoya\AppData\Roaming\Free Download Manager
2009-04-08 16:58 . 2009-04-08 16:58 -------- d-----w c:\users\All Users\FreeDownloadManager.ORG
2009-04-08 16:58 . 2009-04-08 16:58 -------- d-----w c:\programdata\FreeDownloadManager.ORG
2009-04-04 11:27 . 2009-04-04 11:27 -------- d-----w c:\users\Nagoya\AppData\Roaming\vlc
2009-03-28 12:09 . 2009-03-30 14:07 -------- d-----w c:\users\All Users\LogiShrd
2009-03-28 12:09 . 2009-03-30 14:07 -------- d-----w c:\programdata\LogiShrd
2009-03-28 11:59 . 2009-03-28 11:59 -------- d-----w c:\users\Nagoya\AppData\Local\Logitech-LS
2009-03-28 11:58 . 2003-03-18 21:20 1060864 ----a-w c:\windows\system32\MFC71.dll
2009-03-28 11:58 . 2003-03-18 21:12 1047552 ----a-w c:\windows\system32\MFC71u.dll
2009-03-28 11:58 . 2003-03-18 20:44 57344 ----a-w c:\windows\system32\MFC71ENU.DLL
2009-03-28 11:58 . 2003-03-18 20:44 49152 ----a-w c:\windows\system32\MFC71KOR.DLL
2009-03-28 11:58 . 2003-03-18 20:44 61440 ----a-w c:\windows\system32\MFC71ITA.DLL
2009-03-28 11:58 . 2003-03-18 20:44 61440 ----a-w c:\windows\system32\MFC71ESP.DLL
2009-03-28 11:58 . 2003-03-18 20:44 45056 ----a-w c:\windows\system32\MFC71CHT.DLL
2009-03-28 11:58 . 2003-03-18 20:44 40960 ----a-w c:\windows\system32\MFC71CHS.DLL
2009-03-28 11:58 . 2003-03-18 20:44 65536 ----a-w c:\windows\system32\MFC71DEU.DLL
2009-03-28 11:58 . 2003-03-18 20:44 49152 ----a-w c:\windows\system32\MFC71JPN.DLL
2009-03-28 11:58 . 2003-03-18 19:05 89088 ----a-w c:\windows\system32\atl71.dll
2009-03-28 11:58 . 2001-08-23 04:00 924432 ----a-w c:\windows\system32\mfc42e73.rra
2009-03-26 09:11 . 2009-03-26 09:11 -------- d-----w c:\users\Hauwee\temp
2009-03-24 11:03 . 2009-03-24 11:03 7808 ----a-w c:\windows\system32\drivers\psi_mf.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-16 16:13 . 2009-01-25 20:43 -------- d-----w c:\users\Hauwee\AppData\Roaming\OnlineArmor
2009-04-16 16:12 . 2009-04-16 16:12 2048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
2009-04-16 16:12 . 2009-04-16 16:12 2048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
2009-04-16 15:24 . 2009-01-06 01:52 32768 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2009-04-16 15:24 . 2009-01-06 01:52 16384 --sha-w c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
2009-04-16 15:24 . 2009-01-06 01:52 16384 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2009-04-16 15:24 . 2009-04-16 15:24 -------- d-----w c:\program files\CCleaner
2009-04-16 06:09 . 2009-01-28 12:45 -------- d-----w c:\program files\EsetOnlineScanner
2009-04-16 02:29 . 2006-11-02 15:47 724276 ----a-w c:\windows\System32\perfh00C.dat
2009-04-16 02:29 . 2006-11-02 15:47 146484 ----a-w c:\windows\System32\perfc00C.dat
2009-04-16 02:25 . 2009-01-25 14:31 -------- d-----w c:\users\Nagoya\AppData\Roaming\OnlineArmor
2009-04-15 19:00 . 2009-01-15 22:45 -------- d-----w c:\programdata\Microsoft Help
2009-04-15 18:48 . 2009-01-06 23:19 -------- d-----w c:\program files\Java
2009-04-15 14:44 . 2009-01-28 19:13 -------- d-----w c:\users\Clara\AppData\Roaming\OnlineArmor
2009-04-15 09:32 . 2009-01-30 10:54 -------- d-----w c:\users\Nagoya\AppData\Roaming\dvdcss
2009-04-14 11:30 . 2009-01-06 02:18 319456 ----a-w c:\windows\DIFxAPI.dll
2009-04-13 21:54 . 2009-04-05 21:24 -------- d-----w c:\program files\ALC
2009-04-13 18:47 . 2009-01-06 12:28 -------- d-----w c:\users\Nagoya\AppData\Roaming\uTorrent
2009-04-09 20:03 . 2009-04-09 20:03 -------- d-----w c:\program files\Secunia
2009-04-08 16:58 . 2009-04-08 16:58 -------- d-----w c:\program files\Free Download Manager
2009-04-01 11:43 . 2009-01-06 12:32 -------- d-----w c:\program files\uTorrent
2009-03-29 15:42 . 2009-03-28 11:57 -------- d-----w c:\program files\Logitech
2009-03-28 14:36 . 2006-11-02 10:25 51200 ----a-w c:\windows\Inf\infpub.dat
2009-03-28 14:36 . 2006-11-02 10:25 143360 ----a-w c:\windows\Inf\infstrng.dat
2009-03-28 14:36 . 2006-11-02 10:25 86016 ----a-w c:\windows\Inf\infstor.dat
2009-03-28 12:10 . 2009-03-28 12:09 -------- d-----w c:\program files\Common Files\LogiShrd
2009-03-28 11:58 . 2009-01-06 02:18 -------- d--h--w c:\program files\InstallShield Installation Information
2009-03-17 03:38 . 2009-04-15 18:57 40960 ----a-w c:\windows\AppPatch\apihex86.dll
2009-03-17 03:38 . 2009-04-15 18:57 13824 ----a-w c:\windows\System32\apilogen.dll
2009-03-17 03:38 . 2009-04-15 18:57 24064 ----a-w c:\windows\System32\amxread.dll
2009-03-09 03:19 . 2009-01-07 12:42 410984 ----a-w c:\windows\System32\deploytk.dll
2009-03-07 10:58 . 2009-03-07 10:57 -------- d-----w c:\program files\CryptLoad
2009-03-07 10:37 . 2009-03-05 17:53 -------- d-----w c:\program files\jDownloader
2009-03-03 04:46 . 2009-04-15 18:57 3599328 ----a-w c:\windows\System32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-15 18:57 3547632 ----a-w c:\windows\System32\ntoskrnl.exe
2009-03-03 04:40 . 2009-04-15 18:57 827392 ----a-w c:\windows\System32\wininet.dll
2009-03-03 04:39 . 2009-04-15 18:57 183296 ----a-w c:\windows\System32\sdohlp.dll
2009-03-03 04:39 . 2009-04-15 18:57 551424 ----a-w c:\windows\System32\rpcss.dll
2009-03-03 04:39 . 2009-04-15 18:57 26112 ----a-w c:\windows\System32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-15 18:57 78336 ----a-w c:\windows\System32\ieencode.dll
2009-03-03 04:37 . 2009-04-15 18:57 98304 ----a-w c:\windows\System32\iasrecst.dll
2009-03-03 04:37 . 2009-04-15 18:57 54784 ----a-w c:\windows\System32\iasads.dll
2009-03-03 04:37 . 2009-04-15 18:57 44032 ----a-w c:\windows\System32\iasdatastore.dll
2009-03-03 03:04 . 2009-04-15 18:57 666624 ----a-w c:\windows\System32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-15 18:57 17408 ----a-w c:\windows\System32\iashost.exe
2009-03-03 02:28 . 2009-04-15 18:57 26624 ----a-w c:\windows\System32\ieUnatt.exe
2009-02-26 23:16 . 2009-01-15 22:52 -------- d-----w c:\program files\Microsoft Silverlight
2009-02-22 21:51 . 2009-02-17 20:29 -------- d-----w c:\users\Hauwee\AppData\Roaming\dvdcss
2009-02-13 08:49 . 2009-04-15 18:57 72704 ----a-w c:\windows\System32\secur32.dll
2009-02-13 08:49 . 2009-04-15 18:57 1255936 ----a-w c:\windows\System32\lsasrv.dll
2009-02-09 03:10 . 2009-03-11 20:02 2033152 ----a-w c:\windows\System32\win32k.sys
2009-01-28 19:13 . 2009-01-28 19:13 80216 ----a-w c:\users\Clara\AppData\Local\GDIPFONTCACHEV1.DAT
2009-01-25 07:34 . 2009-01-05 23:22 80216 ----a-w c:\users\Nagoya\AppData\Local\GDIPFONTCACHEV1.DAT
2009-01-24 20:29 . 2009-01-06 01:54 80216 ----a-w c:\users\Hauwee\AppData\Local\GDIPFONTCACHEV1.DAT
2009-01-06 02:07 . 2009-01-06 01:53 680 ----a-w c:\users\Hauwee\AppData\Local\d3d9caps.dat
2009-01-05 23:16 . 2006-11-02 12:50 174 --sha-w c:\program files\desktop.ini
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-18 1233920]
"Google Update"="c:\users\Hauwee\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-03-25 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"@OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\oaui.exe" [2008-10-06 6216192]
"Cobian Backup 9 interface"="c:\program files\Cobian Backup 9\cbInterface.exe" [2009-01-22 2749952]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2007-09-03 4702208]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\progra~1\TALLEM~1\ONLINE~1\oaevent.dll" [2008-10-06 886984]

[HKLM\~\startupfolder\C:^Users^Hauwee^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.0.lnk]
path=c:\users\Hauwee\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2008-12-29 10:40 687560 ----a-w c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2008-12-20 06:50 2656528 ----a-w c:\program files\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2008-12-02 21:41 3882312 ----a-w c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2008-09-17 22:55 13580832 ----a-w c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2008-09-17 22:55 92704 ----a-w c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-03-09 03:19 148888 ----a-w c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2646723348-3893551271-4287505410-1000]
"EnableNotificationsRef"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2646723348-3893551271-4287505410-1001]
"EnableNotificationsRef"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2646723348-3893551271-4287505410-1007]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{B7FD8CB0-8378-429F-9984-303D90DB7116}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{2EB8E5BF-8C2E-4DE7-BFED-651396B8BC4F}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"TCP Query User{7C100116-5F63-49BD-ADAE-6E45A3DD8AF3}c:\\users\\nagoya\\temp\\teamviewer\\version4\\teamviewer.exe"= UDP:c:\users\nagoya\temp\teamviewer\version4\teamviewer.exe:teamviewer.exe
"UDP Query User{0F81E2A2-673D-4650-8394-2E9286EA4231}c:\\users\\nagoya\\temp\\teamviewer\\version4\\teamviewer.exe"= TCP:c:\users\nagoya\temp\teamviewer\version4\teamviewer.exe:teamviewer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R2 gupdate1c986fd6b090283;Google Update Service (gupdate1c986fd6b090283);c:\program files\Google\Update\GoogleUpdate.exe [2009-02-04 133104]
R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]
S1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [2008-10-06 178376]
S1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [2008-10-06 30920]
S2 CobianBackupAmanita;Cobian Backup 9 service;c:\program files\Cobian Backup 9\cbService.exe [2009-01-22 583168]
S2 OAcat;Online Armor Helper Service;c:\program files\Tall Emu\Online Armor\oacat.exe [2008-10-06 1402568]
S2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [2008-10-06 3314688]
S3 OAnet;OnlineArmor Service;c:\windows\system32\DRIVERS\oanet.sys [2008-10-06 29384]
S3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2009-03-24 7808]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - sptd

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e11722a-fb30-11dd-9a80-001fd06a71af}]
\shell\AutoRun\command - g:\portableapps\StartPortableApps.exe
.
Contenu du dossier 'Tâches planifiées'

2009-04-16 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-04 19:18]

2009-04-16 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2646723348-3893551271-4287505410-1000.job
- c:\users\Hauwee\AppData\Local\Google\Update\GoogleUpdate.exe [2009-03-25 20:06]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
LSP: %SYSTEMROOT%\system32\nvLsp.dll
FF - ProfilePath - c:\users\Hauwee\AppData\Roaming\Mozilla\Firefox\Profiles\tnnqbml1.default\
FF - plugin: c:\program files\Google\Update\1.2.141.5\npGoogleOneClick7.dll
FF - plugin: c:\program files\Microsoft Silverlight\2.0.40115.0\npctrl.1.0.20926.0.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\users\Hauwee\AppData\Local\Google\Update\1.2.141.5\npGoogleOneClick7.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-16 18:13
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(8088)
c:\program files\Tall Emu\Online Armor\oawatch.dll
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\program files\WinSCP\DragExt.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\nvvsvc.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\rundll32.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\program files\MySQL\MySQL Server 5.1\bin\mysqld.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
c:\program files\Tall Emu\Online Armor\oahlp.exe
c:\program files\Secunia\PSI\psi.exe
c:\windows\System32\conime.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\System32\wbem\WMIADAP.exe
.
**************************************************************************
.
Heure de fin: 2009-04-16 18:19 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-04-16 16:19

Avant-CF: 26 602 123 264 octets libres
Après-CF: 27 253 526 528 octets libres

230 --- E O F --- 2009-04-15 19:02


Voici également le log Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:49, on 16/04/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Tall Emu\Online Armor\oasrv.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Cobian Backup 9\cbService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld.exe
C:\Program Files\Tall Emu\Online Armor\oacat.exe
C:\Windows\system32\svchost.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Tall Emu\Online Armor\oaui.exe
C:\Program Files\Cobian Backup 9\cbInterface.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\Hauwee\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Program Files\Tall Emu\Online Armor\oahlp.exe
C:\Program Files\Secunia\PSI\psi.exe
C:\Windows\system32\conime.exe
C:\Windows\Explorer.exe
C:\Users\Hauwee\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Hauwee\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Hauwee\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Hauwee\AppData\Local\Google\Chrome\Application\chrome.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Windows\explorer.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
D:\Logiciels & Jeux\HiJackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Program Files\Tall Emu\Online Armor\oaui.exe"
O4 - HKLM\..\Run: [Cobian Backup 9 interface] "C:\Program Files\Cobian Backup 9\cbInterface.exe" -service
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Google Update] "C:\Users\Hauwee\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O13 - Gopher Prefix:
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cobian Backup 9 service (CobianBackupAmanita) - Luis Cobian - C:\Program Files\Cobian Backup 9\cbService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Update Service (gupdate1c986fd6b090283) (gupdate1c986fd6b090283) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Online Armor Helper Service (OAcat) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\oacat.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\oasrv.exe

--
End of file - 7449 bytes

[Malekal_morte]

Les rapports sont OK.

[Hauwee]

Sauf que maintenant j'ai Antivir qui n'arrête de beeper en me disant que le fichier c:\windows\TEMP\logishrd\LVPrcInj01.dll est infecté. Et quelque soit l'action que je choisis l'alerte revient 1 minute après.
Il va falloir que je vois ça...

[Malekal_morte]

C'est marrant sur Google d'un côté c'est du vundo de l'autre c'est du logitech.

Désactive le guard Antivir et scanne le fichier sur VirusTotal : viewtopic.php?f=59&t=9828
et envoie le sur http://upload.malekal.com

[Hauwee]

Voici le résultat --> http://www.virustotal.com/fr/analisis/4 ... e22026e7cf
Par contre, impossible d'accéder à l'adresse http://upload.malekal.com/ car c'est bloqué par la blacklist de mon IPCop

[Malekal_morte]

arf ok TR/Trash.Gen... bha le PE a été pété...
Antivir devrait facilement pouvoir le remettre en quarantaine...

[Hauwee]

Qu'entends-tu par "le PE a été pété" ?
Malheureusement Antivir ne fait rien : impossible de mettre en quarantaine, supprimer, refuser l'accès ...
Je vais peut être essayer en mode sans échec

[Malekal_morte]

il se trouve où le fichier maintenant ?
oui essaye de le supprimer en mode sans échec...

[Hauwee]

En fait il ne bouge pas, il reste sous c:\windows\temp\...

[Malekal_morte]

Mets le fichier en exception sur Antivir : viewtopic.php?f=79&t=5770
Tu le supprimes reboots
et tu le zip et le joints dans un message ici en pièce jointe.

[Hauwee]

Merci pour l'exception, j'étais justement en train de chercher ;)
J'ai antivir depuis peu (avant j'avais NOD32 mais ma licence a expiré)
En parcourant les options d'Antivir, dans Scanner, j'ai vu qu'il est possible de scanner les "archives" de type Squid cache. Comme j'ai un serveur IPCop avec Squid, faut-il que j'active cette fonctionnalité ? Est-ce que "cela fonctionne comme ça" ?

Peux-tu me dire quelle est la différence entre Antivir gratuit et payant ?

Merci encore pour ton aide.

[Malekal_morte]

bof pour le squid.

WebGuard pour la version payante en plus et qq autres fonctions.

Il faudrait surtout récupérer le fichier pour voir si c'est un FP (y a des chances) et auquel cas, le faire corriger par Avira, donc faudrait me le faire parvenir en pièce jointe ici en zip stp.

[Hauwee]

OK d'accord.
Je viens d'ajouter upload.malekal.com dans la whitelist de mon IPCop On va supposer que c'est un site convenable
Je viens de t'envoyer le fichier.
Tiens moi informé si c'est un FP.

PS : Je l'ai également soumis directement à Antivir