avast a trouvé un cheval de troie sur le PC

03/11-2008 à 12:50Bonjour,

J'ai besoin d'aide svp,
antivirus avast "gratuit" a trouvé ce cheval de troie.

je l'ai mis en quarantaine, et je souhaite savoir comment je dois faire par la suite.
merci à qui pourra me donner un conseil.

03/11-2008 à 12:58Bonjour,
pas de panique
il est en quarantaine donc inactif
pour le reste,tu connais la manip,non?
MBAM,HJT.... tout ça...

A+

----------

- - - - - - - - - - - - - - - - - - - - - - - - - expérience est le nom dont les hommes baptisent souvent leurs erreurs

03/11-2008 à 15:05Bonjour,
J'ajouterais A squared, AVG antispywares...
au besoin en mode sans échec

03/11-2008 à 16:54Bonjour,
MB < rien trouvé en mode sans échec scan complet
suivi du log Hijackthis.

Version de la base de données: 1012
Windows 5.1.2600 Service Pack 3

16:38:39 03/11/2008
mbam-log-11-3-2008 (16-38-39).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 102182
Temps écoulé: 2 hour(s), 49 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:41:20, on 03/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.memoclic.com/forum/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: barre d'outils Orange - {D3028143-6145-4318-99D3-3EDCE54A95A9} - C:\Program Files\Orange Toolbar FR\ToolbarContainer234.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ALCMTR] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{787AB5C0-16E8-405F-B5FA-1684BD300122}: NameServer = 80.10.246.2,80.10.246.129
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Unknown owner - c:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

--
End of file - 4946 bytes

03/11-2008 à 17:18Bonjour,

ce log n'est pas inquiétant

mais si je ne me trompe pas,le disque D: chez toi, c'est ta partition de recovery spéciale HP qui contient l'image de ton HDD
elle est normalement protégée et si tu n'y a fait aucune action volontaire
j'ai bien peur qu'Avast nous ait encore dégoté un faux positif...

essaie de faire un scan en ligne avec Kaspersky
http://webscanner.kaspersky.fr/

Modifie par jllg le 03/11/2008 à  17:19:08

----------

- - - - - - - - - - - - - - - - - - - - - - - - - expérience est le nom dont les hommes baptisent souvent leurs erreurs

03/11-2008 à 18:15Bonjour,

essaie de faire un scan en ligne avec Kaspersky

Avast (6 lignes < 4 bouclierS, 1 messagerie,1 courrier), est-ce indispensable de les désactiver durant le scan ?,

03/11-2008 à 18:35Bonjour,

Je pense aussi à un faux positif de la part d'Avast...
A moins que je ne me trompe, I386 est verrouillé et il n'y a aucune raison que ce répertoire soit infecté. D'accord avec jllg

03/11-2008 à 19:22Bonjour,

Je crois savoir pourquoi Avast tique sur MyDVD.msi\Disk1
En faisant une recherche Google, 9 résultats sur 10 concernent ce fichier (visiblement Roxio) dispo en téléchargement gratuit sur des sites de cracks, warez et autres keygens, il a même l'air très populaire

En d'autres termes, maïttia, Avast prend ton fichier (légal) pour son équivalent illégal dispo un peu partout sur le net pas net...
Il y a fort à parier que d'ici une semaine/10jours, Avast aura corrigé le faux positif et ne le détectera plus comme malfaisant sur ton ordi.

03/11-2008 à 19:27Bonjour,

alors là...chapeau bas

----------

- - - - - - - - - - - - - - - - - - - - - - - - - expérience est le nom dont les hommes baptisent souvent leurs erreurs

03/11-2008 à 19:40Bonjour,

Je peux me gourer aussi

Un bon truc pour en être sûre : http://www.virustotal.com/fr/
Tu fais Parcourir et tu lui indiques le chemin indiqué sur ta capture (D:\I386\APPS\ etc.)
Le fichier va être scanné par une trentaine d'AV et anti-malwares. Si seul Avast trouve à lui reprocher, tu peux être sûre que c'est un faux positif...

Ça me rappelle un certain Rain.gif qui avait fait beaucoup de bruit sur memo en son temps

03/11-2008 à 19:45Bonjour,

maïtia ,je te rappelles que tu manipules là ce qui te servira à restaurer ton XP en cas de crash sévère si tes CD gravés sont déffectueux
donc fais bien gaffe à ce que tu fais avec cette partition D:

pas de précipitations,mais j'dis ça ,j'dis rien je veux pas non plus t'affoler

bon appétit ,je vais me restaurer C:\jllg\restore

----------

- - - - - - - - - - - - - - - - - - - - - - - - - expérience est le nom dont les hommes baptisent souvent leurs erreurs

03/11-2008 à 19:53Bonjour,

Exact, c'est pour cela qu'il vaut mieux restaurer ce fichier dans son dossier initial (le sortir de la quarantaine pour le remettre en place, quoi).
Sinon, le scan sur Virustotal ne risque pas de marcher, non plus, s'il est toujours en quarantaine !

03/11-2008 à 20:20Bonjour,

essaie de faire un scan en ligne avec Kaspersky

Il y a fort à parier que d'ici une semaine/10jours, Avast aura corrigé le faux positif et ne le détectera plus comme malfaisant sur ton ordi.

alors, je vais attendre la suite.

Avast prend ton fichier (légal) pour son équivalent illégal dispo un peu partout sur le net pas net...

pas bien grave alors, car ces cracks, warez et autres keygens
ne m'inspirent pas beaucoup.

il vaut mieux restaurer ce fichier dans son dossier initial (le sortir de la quarantaine pour le remettre en place, quoi).

Restauration bien effectuée (bien que la ligne est encore visible en quarantaine)

http://www.virustotal.com/fr/

scan en attente jusqu'à savoir si je peux le faire malgré ce qui est écrit juste au-dessus.

je te rappelles que tu manipules là ce qui te servira à restaurer ton XP en cas de crash sévère si tes CD gravés sont déffectueux
donc fais bien gaffe à ce que tu fais avec cette partition D:

c'est pourquoi je prendrai le temps qu'il faut avant de poursuivre.

bonne soirée

03/11-2008 à 20:32Bonjour,

Restauration bien effectuée (bien que la ligne est encore visible en quarantaine)

là, je ne sais pas, faudrait l'avis d'un utilisateur d'Avast.

http://www.virustotal.com/fr/
scan en attente jusqu'à savoir si je peux le faire malgré ce qui est écrit juste au-dessus.

vi, tu pourras le faire (le fichier reste sur ton DD, seule une copie sera uploadée sur Virustotal), mais attendre confirmation que celui-ci a bien été restauré

03/11-2008 à 20:39Bonjour,

Le chemin vers le fichier qu'on voit sur ta capture est-il entier ou manque-t-il la fin ?
Tu peux comparer avec le chemin listé dans ta quarantaine

03/11-2008 à 20:56Bonjour,

Restauration bien effectuée (bien que la ligne est encore visible en quarantaine)

comment as tu restauré le fichier qui était en quarantaine?

----------

- - - - - - - - - - - - - - - - - - - - - - - - - expérience est le nom dont les hommes baptisent souvent leurs erreurs

03/11-2008 à 21:03Bonjour,
cible indique la totalité > C/D/ etc... et je ne vois que le disque C analysé

comment as tu restauré le fichier qui était en quarantaine?

Avast > mis en quarantaine > clic sur la ligne du dossier infecté, clic fichier > clic restaurer.

03/11-2008 à 21:06Bonjour,


Edit :
trouvés dans la liste des "fichiers importants sauvegardés"

Modifie par maitia le 03/11/2008 à  21:07:

03/11-2008 à 21:37Bonjour,

pourquoi D:\System volume Information\restore...

tu peux nous montrer la suite Stp? en déplaçant le séparateur

il était question de D:\I386......sur l'alerte Avast

----------

- - - - - - - - - - - - - - - - - - - - - - - - - expérience est le nom dont les hommes baptisent souvent leurs erreurs

03/11-2008 à 21:56Bonjour,

Je te réponds à la place de jllg

Le fichier a bien été restauré.
Ce que tu vois sur ta capture, c'est la version dupliquée dans la restau système du même fichier, et qu'Avast a aussi détectée comme infectée et mise en quarantaine.
En plus, cerise sur le gâteau, on a la fin du chemin incomplet de ta 1ère capture. Le fichier supposé infecté s'appelle A0000308.MSI.
Donc, le fichier à faire analyser par Virustotal est bien celui-ci, et il doit se trouver dans D:\I386\APPS\APP19580\src\MyDVD.MSI\Disk1 ... A0000308.MSI (il y a peut-être quelque chose à la place des points de suspension).

Une fois que tu auras fait analyser A0000308.MSI par Virustotal (et en supposant qu'il n'est effectivement pas infecté), tu pourras aussi restaurer son double qui est en quarantaine. Sans quoi le point de restau est amputé et ne fonctionnera plus.


Les 3 autres fichiers n'ont rien à voir dans le cas présent mais servent de fichiers de secours au cas où les mêmes disparaîtraient de ton ordi suite à l'action d'un virus. Ce sont des fichiers très importants pour le système, garde-les bien au chaud dans la quarantaine, ils peuvent servir un jour...


Sinon, qu'est-ce qui te fait dire que seul C a été analysé par Kaspersky ?