|
|
Auteur
|
Message
|
1
|
vulnerant omnes, ultima necat
|
|
|
Bonjour
J’utile très régulièrement Malewrebytes
A chaque analyse en mode sans échec, il me signale un fichier nommé lvuvc.hs .
(Pas de détection en mode normal)
Rapport de Malewarebytes :
(Désolé, je poste un rapport sans y avoir été invité mais c'est très court et ça résume le problème)
0=Rootkit.Agent
1=11/06/2008
2=File
3=C:\WINDOWS\system32\drivers\lvuvc.hs
4=99144
Ce fichier affiche une taille de 0 Ko. Il se supprime sans problème mais revient à chaque ouverture du PC
Pour info, il y a quelque temps, Antivir avait détecté et supprimé un Trojan nommé : TR/CryptXPACK.Gen
En plus, lorsque je redémarre après cette analyse en mode sans échec, TeaTimer me demande si j’accepte deux modifications du registre sur les lignes :REG extension handler et SCR extension handler
Questions : Quel est le programme qui recrée ce fichier ?
Est-il potentiellement dangereux ?
Comment le supprimer définitivement ?
Y-a t’il un rapport entre ce Trojan et ce fichier ?
Merci par avance à qui pourra m’aider.
-->Message édité par kotka le 22/06/2008 13:23:07<--
|
|
|
|
|
On va voir cela.
Télécharge Hijackthis v2.0.2
* Sauvegarde-le sur ton bureau.
* Double-clique sur l'icône HJTsetup.exe sur ton bureau.
* Par défaut, il sera installé dans C: \Program Files\Trend Micro\HijackThis.
* Clique sur J'accepte
* Clique ensuite sur le bouton Do a system scan only and save a logfile. Hijackthis va scanner, un rapport généré va s'ouvrir avec le Bloc-Note
* Dans le bloc-note, clique sur "Edition >> Sélectionner tout"
* Clique sur "Edition> Copier" pour copier tout le contenu du rapport.
* Reviens ici et colle-le contenu que tu as copié dans ta prochaine réponse.
Aide : http://sasi.xooit.fr/t66-Comment-generer-un-rapport-Hijackthis.htm
|
|
vulnerant omnes, ultima necat
|
|
|
Bonjour Diablo
Merci de ta réponse.
Ci-joint le rapport HJ
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:51, on 2008-06-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
-->Message édité par kotka le 23/06/2008 12:47:44<--
|
|
|
|
|
Télécharge sur ton bureau Deckard's System Scanner
Il est disponible en téléchargement ici : http://deckard.geekstogo.com/dss.exe
Et là
http://www.techsupportforum.com/sectools/Deckard/dss.exe
[list]Après le téléchargement, exécute dss.exe puis laisse l'outil scanner.Poste le rapport dans ta prochaine réponse .
[/list]
|
|
|
|
|
Etape 1
- Télécharge sur ton bureau R-Hosts (de S!Ri)
http://siri.urz.free.fr/Softs/RHosts.exe
- Lance-le puis cliques dur Restaurer
Etape 2
- Purge ta restauration du système
Aide toi avec ce tutorial : http://bibou0007.com/tutos-et-lexique-f45/purger-la-restauration-du-systeme-t(...)
Etape 3
Mets à jour Antivir si ce n'est déja fait.
Etape 4
Redémarre en mode sans échec
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
Etape 5
-> Fais une analyse avec Antivir de ton Lecteur C:\ en mode sans échec
=> Clique sur l'onglet Local Protection.
=> Sélectionne Manual Sélection sur le disque local C:.
=> Lance le scan et mettre en quarantaine tous les éléments détectés
=> Une fois le scan terminé, enregistre le rapport sur le bureau.
Etape 6
- Redémarre en mode normal
- Poste le rapport du scan
|
|
vulnerant omnes, ultima necat
|
|
|
Merci pour ta réponse rapide
Ça va prendre du temps mais je me mets au boulot.
Antivir et tous les logiciels de nettoyage sont mis à jour quotidiennement.
A tout à l'heure.
Mais je te remercie de me dire s'il y a du bobo ! !
-->Message édité par kotka le 22/06/2008 11:33:28<--
|
|
|
|
|
Pour R-Hosts c'est bon !
Suite au rapport du scan, tu n'est pas infecté, les éléments détectés sont de faux positifs appartenant a ComboFix.
Télécharge Tools Cleaner
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
|
|
vulnerant omnes, ultima necat
|
|
|
Ci-dessous le rapport TCleaner
===========================================================
-->- Recherche:
C:\HijackThis: trouvé !
C:\Vundofix backups: trouvé !
C:\Documents and Settings\Administrateur.OLIDATA\Bureau\MsnFix: trouvé !
C:\Documents and Settings\Administrateur.OLIDATA\Bureau\MSNFix\MsnFix: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Michel\Bureau\Dss.exe: trouvé !
C:\Documents and Settings\Michel\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Michel\Favoris\AIDES TECHNIQUES\HijackThis: trouvé !
C:\Documents and Settings\Michel\Mes documents\NETTOYAGE\OtMoveIt2.exe: trouvé !
C:\Documents and Settings\Michel\Mes documents\NETTOYAGE\MsnFix: trouvé !
C:\Documents and Settings\Michel\Mes documents\NETTOYAGE\MSNFix\MsnFix: trouvé !
C:\HijackThis\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
Point de restauration crée !
Fichiers temporaires nettoyés !
Corbeille vidée!
---------------------------------
-->- Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Michel\Bureau\Dss.exe: supprimé !
C:\Documents and Settings\Michel\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Michel\Mes documents\NETTOYAGE\OtMoveIt2.exe: supprimé !
C:\HijackThis\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\HijackThis: supprimé !
C:\Vundofix backups: supprimé !
C:\Documents and Settings\Administrateur.OLIDATA\Bureau\MsnFix: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Michel\Favoris\AIDES TECHNIQUES\HijackThis: supprimé !
C:\Documents and Settings\Michel\Mes documents\NETTOYAGE\MsnFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
=============================================================================
Merci pour l'aide.
Sais-tu maintenant à quoi correspondent les dysfonctionnements relevés au début de mes posts ?
Le fichier lvuvc.hs est toujours là !
Quel est le programme qui le relance ?
Je laisse courir ou penses-tu qu'il y a autre chose à faire ?
Dirais-tu que ma machine est propre ?
A bientôt et encore merci pour l'aide
|
|
|
|
|
Vis à vis des rapport je dirais que c'est Nickel tu peux t'en rassurer.
Le fichier n'est plus présent.
|
|
vulnerant omnes, ultima necat
|
|
|
Alors, je vais déjeuner tranquille
Merci d'avoir apaisé ma parano.
On se retrouvera en cas de besoin !
Bye
K.
|
|
|
1
|
|
|
|
