avast a trouvé un cheval de troie sur le PC

Bonjour,

J'ai besoin d'aide svp,
antivirus avast "gratuit" a trouvé ce cheval de troie.

je l'ai mis en quarantaine, et je souhaite savoir comment je dois faire par la suite.
merci à qui pourra me donner un conseil.

Bonjour,
pas de panique
il est en quarantaine donc inactif
pour le reste,tu connais la manip,non?
MBAM,HJT.... tout ça...

A+

Bonjour,
J\'ajouterais A squared, AVG antispywares...
au besoin en mode sans échec

Bonjour,
MB < rien trouvé en mode sans échec scan complet
suivi du log Hijackthis.

Version de la base de données: 1012
Windows 5.1.2600 Service Pack 3

16:38:39 03/11/2008
mbam-log-11-3-2008 (16-38-39).txt

Type de recherche: Examen complet (C:\\|D:\\|)
Eléments examinés: 102182
Temps écoulé: 2 hour(s), 49 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:41:20, on 03/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\Explorer.EXE
C:\\Program Files\\Trend Micro\\HijackThis\\HijackThis.exe

R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://www.memoclic.com/forum/
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\\Program Files\\Canon\\Easy-WebPrint\\EWPBrowseLoader.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d\'aide de l\'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\\Program Files\\Fichiers communs\\Microsoft Shared\\Windows Live\\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\\Program Files\\Canon\\Easy-WebPrint\\Toolband.dll
O3 - Toolbar: barre d\'outils Orange - {D3028143-6145-4318-99D3-3EDCE54A95A9} - C:\\Program Files\\Orange Toolbar FR\\ToolbarContainer234.dll
O4 - HKLM\\..\\Run: [ehTray] C:\\WINDOWS\\ehome\\ehtray.exe
O4 - HKLM\\..\\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\\..\\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\\..\\Run: [KBD] C:\\HP\\KBD\\KBD.EXE
O4 - HKLM\\..\\Run: [ALCMTR] ALCMTR.EXE
O4 - HKLM\\..\\Run: [avast!] C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe
O4 - HKCU\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\ctfmon.exe
O4 - HKCU\\..\\Run: [MSMSGS] \"C:\\Program Files\\Messenger\\msmsgs.exe\" /background
O4 - HKUS\\S-1-5-20\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'SERVICE RÉSEAU\')
O4 - .DEFAULT User Startup: Pin.lnk = C:\\hp\\bin\\CLOAKER.EXE (User \'Default user\')
O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\\hp\\bin\\cloaker.exe (User \'Default user\')
O6 - HKCU\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions present
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\\Program Files\\Windows Live\\Writer\\WriterBrowserExtension.dll
O9 - Extra \'Tools\' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\\Program Files\\Windows Live\\Writer\\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\\WINDOWS\\system32\\shdocvw.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\\WINDOWS\\PCHEALTH\\HELPCTR\\Vendors\\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\\IEButton\\support.htm
O9 - Extra \'Tools\' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\\WINDOWS\\PCHEALTH\\HELPCTR\\Vendors\\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\\IEButton\\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe
O9 - Extra \'Tools\' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\\System\\CCS\\Services\\Tcpip\\..\\{787AB5C0-16E8-405F-B5FA-1684BD300122}: NameServer = 80.10.246.2,80.10.246.129
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\\Program Files\\Alwil Software\\Avast4\\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\\WINDOWS\\system32\\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\\Program Files\\Alwil Software\\Avast4\\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\\Program Files\\Alwil Software\\Avast4\\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\\Program Files\\Alwil Software\\Avast4\\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\\Program Files\\Fichiers communs\\InstallShield\\Driver\\1050\\Intel 32\\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\\Program Files\\Fichiers communs\\LightScribe\\LSSrvc.exe
O23 - Service: NMIndexingService - Unknown owner - c:\\Program Files\\Fichiers communs\\Ahead\\Lib\\NMIndexingService.exe (file missing)
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\\Program Files\\Sunbelt Software\\Personal Firewall\\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\\Program Files\\Sunbelt Software\\Personal Firewall\\SbPFSvc.exe

--
End of file - 4946 bytes

Bonjour,

ce log n\'est pas inquiétant

mais si je ne me trompe pas,le disque D: chez toi, c\'est ta partition de recovery spéciale HP qui contient l\'image de ton HDD
elle est normalement protégée et si tu n\'y a fait aucune action volontaire
j\'ai bien peur qu\'Avast nous ait encore dégoté un faux positif...

essaie de faire un scan en ligne avec Kaspersky
webscanner.kaspersky.fr/

Bonjour,

essaie de faire un scan en ligne avec Kaspersky

Avast (6 lignes < 4 bouclierS, 1 messagerie,1 courrier), est-ce indispensable de les désactiver durant le scan ?,

Bonjour,

Je pense aussi à un faux positif de la part d\'Avast...
A moins que je ne me trompe, I386 est verrouillé et il n\'y a aucune raison que ce répertoire soit infecté. D\'accord avec jllg

Bonjour,

Je crois savoir pourquoi Avast tique sur MyDVD.msi\\Disk1
En faisant une recherche Google, 9 résultats sur 10 concernent ce fichier (visiblement Roxio) dispo en téléchargement gratuit sur des sites de cracks, warez et autres keygens, il a même l\'air très populaire

En d\'autres termes, maïttia, Avast prend ton fichier (légal) pour son équivalent illégal dispo un peu partout sur le net pas net...
Il y a fort à parier que d\'ici une semaine/10jours, Avast aura corrigé le faux positif et ne le détectera plus comme malfaisant sur ton ordi.

Bonjour,

alors là...chapeau bas

Bonjour,

Je peux me gourer aussi

Un bon truc pour en être sûre : www.virustotal.com/fr/
Tu fais Parcourir et tu lui indiques le chemin indiqué sur ta capture (D:\\I386\\APPS\\ etc.)
Le fichier va être scanné par une trentaine d\'AV et anti-malwares. Si seul Avast trouve à lui reprocher, tu peux être sûre que c\'est un faux positif...

Ça me rappelle un certain Rain.gif qui avait fait beaucoup de bruit sur memo en son temps

Bonjour,

maïtia ,je te rappelles que tu manipules là ce qui te servira à restaurer ton XP en cas de crash sévère si tes CD gravés sont déffectueux
donc fais bien gaffe à ce que tu fais avec cette partition D:

pas de précipitations,mais j\'dis ça ,j\'dis rien je veux pas non plus t\'affoler

bon appétit ,je vais me restaurer C:\\jllg\\restore

Bonjour,

Exact, c\'est pour cela qu\'il vaut mieux restaurer ce fichier dans son dossier initial (le sortir de la quarantaine pour le remettre en place, quoi).
Sinon, le scan sur Virustotal ne risque pas de marcher, non plus, s\'il est toujours en quarantaine !

Bonjour,

essaie de faire un scan en ligne avec Kaspersky

Il y a fort à parier que d'ici une semaine/10jours, Avast aura corrigé le faux positif et ne le détectera plus comme malfaisant sur ton ordi.

alors, je vais attendre la suite.

Avast prend ton fichier (légal) pour son équivalent illégal dispo un peu partout sur le net pas net...

pas bien grave alors, car ces cracks, warez et autres keygens
ne m'inspirent pas beaucoup.

il vaut mieux restaurer ce fichier dans son dossier initial (le sortir de la quarantaine pour le remettre en place, quoi).

Restauration bien effectuée (bien que la ligne est encore visible en quarantaine)

http://www.virustotal.com/fr/

scan en attente jusqu'à savoir si je peux le faire malgré ce qui est écrit juste au-dessus.

je te rappelles que tu manipules là ce qui te servira à restaurer ton XP en cas de crash sévère si tes CD gravés sont déffectueux
donc fais bien gaffe à ce que tu fais avec cette partition D:

c'est pourquoi je prendrai le temps qu'il faut avant de poursuivre.

bonne soirée

Bonjour,

Restauration bien effectuée (bien que la ligne est encore visible en quarantaine)

là, je ne sais pas, faudrait l\'avis d\'un utilisateur d\'Avast.

www.virustotal.com/fr/
scan en attente jusqu\'à savoir si je peux le faire malgré ce qui est écrit juste au-dessus.

vi, tu pourras le faire (le fichier reste sur ton DD, seule une copie sera uploadée sur Virustotal), mais attendre confirmation que celui-ci a bien été restauré

Bonjour,

Le chemin vers le fichier qu\'on voit sur ta capture est-il entier ou manque-t-il la fin ?
Tu peux comparer avec le chemin listé dans ta quarantaine

Bonjour,

Restauration bien effectuée (bien que la ligne est encore visible en quarantaine)

comment as tu restauré le fichier qui était en quarantaine?

Bonjour,
cible indique la totalité > C/D/ etc... et je ne vois que le disque C analysé

comment as tu restauré le fichier qui était en quarantaine?

Avast > mis en quarantaine > clic sur la ligne du dossier infecté, clic fichier > clic restaurer.

Bonjour,


Edit :
trouvés dans la liste des "fichiers importants sauvegardés"

Bonjour,

pourquoi D:\\System volume Information\\restore...

tu peux nous montrer la suite Stp? en déplaçant le séparateur

il était question de D:\\I386......sur l\'alerte Avast

Bonjour,

Je te réponds à la place de jllg

Le fichier a bien été restauré.
Ce que tu vois sur ta capture, c\'est la version dupliquée dans la restau système du même fichier, et qu\'Avast a aussi détectée comme infectée et mise en quarantaine.
En plus, cerise sur le gâteau, on a la fin du chemin incomplet de ta 1ère capture. Le fichier supposé infecté s\'appelle A0000308.MSI.
Donc, le fichier à faire analyser par Virustotal est bien celui-ci, et il doit se trouver dans D:\\I386\\APPS\\APP19580\\src\\MyDVD.MSI\\Disk1 ... A0000308.MSI (il y a peut-être quelque chose à la place des points de suspension).

Une fois que tu auras fait analyser A0000308.MSI par Virustotal (et en supposant qu\'il n\'est effectivement pas infecté), tu pourras aussi restaurer son double qui est en quarantaine. Sans quoi le point de restau est amputé et ne fonctionnera plus.


Les 3 autres fichiers n\'ont rien à voir dans le cas présent mais servent de fichiers de secours au cas où les mêmes disparaîtraient de ton ordi suite à l\'action d\'un virus. Ce sont des fichiers très importants pour le système, garde-les bien au chaud dans la quarantaine, ils peuvent servir un jour...


Sinon, qu\'est-ce qui te fait dire que seul C a été analysé par Kaspersky ?

Oups ! oublié de rafraîchir. je ne t\'ai pas vu, jllg

Bonjour,

maïtia ,quick et moi nous sommes consultés,nous pensons que tu peux sans souci faire le scan que te propose quick avec \"virustotal\"
ton fichier est bien dans un des points de restauration du lecteur D: jusqu\'à ce que tu le supprimes(plus tard)
mais comme tu l\'as restauré il est aussi revenu à sa place d\'origine
donc si le scan est négatif ,il n\'y aura plus aucune inquiétude à avoir

si il est positif(ce qui nous étonnerais)nous aviserons

Bonjour,

qu\'est-ce qui te fait dire que seul C a été analysé par Kaspersky ?

parce que dans l\'analyse kasperscky (post d\'hier 20h20), la capture, l\'indique, et la suite également et qui ne se voit pas était : C:/documents and settings/Administr. etc..

Les 3 autres fichiers n\'ont rien à voir dans le cas présent mais servent de fichiers de secours au cas où les mêmes disparaîtraient de ton ordi suite à l\'action d\'un virus. Ce sont des fichiers très importants pour le système, garde-les bien au chaud dans la quarantaine, ils peuvent servir un jour...

ok, je note sur le \"calepin\"

nous pensons que tu peux sans souci faire le scan que te propose quick avec \"virustotal\"

ouf, celà me paraît plus facile ; oui, merci, dès que je peux, et ferai un retour après.
bonne journée

Bonjour,

Un bon truc pour en être sûre : http://www.virustotal.com/fr/
Tu fais Parcourir et tu lui indiques le chemin indiqué sur ta capture (D:\I386\APPS\ etc.)

y a t il moyen de copier ce chemin sans avoir à le taper à la main ? n'étant pas possible à partir de la capture, voici la ligne entière

Bonjour,

Inutile de le taper à la main, maïtia (de plus, tu ne peux pas scanner celui-là, c\'est celui qui est encore en quarantaine)
Prends plutôt l\'original, celui que tu as restauré :
Clique sur Parcourir, puis
D:
I386
APPS
APP19580
src
MyDVD.MSI
Disk1
... (indéterminé)
A0000308.MSI

Une fois scanné, s\'il s\'avère comme on le pense qu\'il est sain excepté pour Avast, on peut considérer qu\'avast se trompe et que c\'était une fausse alerte.
Tu pourras alors restaurer son double qui est en quarantaine et qui va alors réintégrer la restau système, son emplacement de départ.

Avast a mis en quarantaine 2 fichiers : l\'original de D:I386 et son double de D:_restau système
Le 1er, tu l\'as déjà restauré. Reste à restaurer le second, mais attends les résultats de scan du 1er

Avast a mis en quarantaine 2 fichiers : l\'original de D:I386 et son double de D:_restau système

petites explications sur la restau système.
Si tu avais scanné ton DD avec Avast aujourd\'hui et non pas hier, il aurait trouvé 3 fichiers (1 dans D:\\I386 et 2 dans D:\\_restau système)
Si tu avais planifié de le faire demain, Avast en trouvait 4
après-demain 5, et ainsi de suite...

Toutes les 24 h environ, la restau système sauvegarde les fichiers importants pour le système et les programmes. Chaque jour qui passe s\'y ajoute une nouvelle restau.
(chez moi, en réalité 4 ou 5/semaine, l\'ordi n\'étant certains jours pas allumé assez longtemps...)

Bonjour,

Clique sur Parcourir, puis
D:
I386
APPS
APP19580
src
MyDVD.MSI
Disk1
... (indéterminé)
A0000308.MSI

j\'ai du mal à y arriver... je cherche..., ce soir peut-être...
bonne journée.
EDIT : croisés, je récapitule tout ce que tu viens de poster, merci et à ce soir si tu es là

Bonjour,

C'est la même procédure que pour poster une image avec Tinypic
Ôte-moi d'un doute, tu fais bien ça avec Virustotal hein !

A ce soir

Bonjour,
oui, avec Virustotal mais c\'est le chemin pour aller à D/etc...que j\'ai du mal à retrouver

Bonjour,

Poste de travail
Disque D
I386
etc...



Tu risques juste de buter sur Disk1... et les points de suspension que j\'ai mis, mais à toi de reconstituer. Il doit pas manquer beaucoup entre disk1... et A0000308.MSI. Le chemin indiqué sur la première capture d\'Avast étant incomplet, faute de place

Il doit pas manquer beaucoup entre disk1... et A0000308.MS

au pire, dans Démarrer/Rechercher, fais une recherche de A0000308.msi sur le disque D, l\'assistant de recherche t\'indiquera le chemin complet pour y arriver
(dans la ligne D:\\I386...)

Bonne journée

Bonjour,
suis un peu ennuyée, arrivée là

Bonjour,

Je crois qu\'il faut que tu actives les dossiers cachés et/ou protégés pour voir I386 dans l\'arborescence.
Si c\'est aussi verrouillé comme le cadenas l\'indique sur la restau système, il est impossible que le fichier soit infecté (ce qui nous ramène au départ de ce que nous avons dit jllg puis moi).

Donc, inutile, le fichier est sain. Il faut un peu nous faire confiance aussi

Maintenant, tu peux essayer de forcer le passage, s\'il se laisse faire...

Laisse tomber, maïttia. le fichier n\'est pas infecté.
Restaure la copie que tu as dans la quarantaine d\'Avast et oublie cette histoire

Bonjour,

Donc, inutile, le fichier est sain. Il faut un peu nous faire confiance aussi

tant mieux !, bien sur que je fais confiance !

Maintenant, tu peux essayer de forcer le passage, s\'il se laisse faire

non, non...> qui trop embras...mal étrei...

Laisse tomber, maïttia. le fichier n\'est pas infecté.

j\'y ai déjà pensé avant...et d\'autant plus maintenant, merci

Restaure la copie que tu as dans la quarantaine d\'Avast et oublie cette histoire

oui, ce soir, je vais m\'occuper de la restauration de la copie...
quant à l\'histoire, c\'est un super cours d\'apprentissage d\'inform., encore merci

Bonjour,
au cas où...fais en suivant

Bonjour,