Jump to content
Sign in to follow this  
ugs7

[Résolu] Le lancement de l'application s'est soldé par un échec + pb maj

Recommended Posts

1. si je desinstalle le kaspersky, ensuite je le réinstalle à nouveau il marche au début ensuit le lendemain (ou bien apres la la prochaine maj) les pbs commencent....

 

2. mon parc réseau contient 10 poste de travail, j'ai acheté la licence ca fait 03 mois d'ici.... maintenant sauf deux postes qui n'ont pas de pb de mise à jour !!!!!, les autres ont le meme problème

 

3. j'ai désinstallé le kav workstation d'un poste et j'ai installé le kav 2009.........>le meme pb !!!!

 

 

Share this post


Link to post

On s'est occupé là d'un poste uniquement !

Hors réseau , ce poste permet la mise à jour ?

Share this post


Link to post

je me suis déconnecté du réseau, ensuite connecté à internet via un modem....tjrs le meme problème !!!!!!

Share this post


Link to post

Bonjour,

 

Pour le moment vous ne pourrez toujours pas mettre à jour car le module de màj prupdate.ppl est toujours endommagé sur votre installation de KAV.

 

Suivez ces indications : http://kb.kaspersky.fr/index.php?ShowID=1358

Réinstallez ensuite Kaspersky Anti-Virus 6.0

Pendant l'installation via l'assistant, procédez à une mise à jour des bases puis redémarrez le poste et vérifiez à nouveau que la mise à jour fonctionne.

Share this post


Link to post

j ai suive les indications : http://kb.kaspersky.fr/index.php?ShowID=1358, j'ai réinstalle ensuite Kaspersky Anti-Virus 6.0

j'ai procéde à une mise à jour des bases pendant l'installation via l'assistant, puis j'ai redémarre le poste

et vérifie à nouveau que la mise à jour fonctionne.

 

-----> la mise a jour fonctionne pour le moment, mais je ne sais pas si le pb va se repete prochainement ???????

 

vous avez dit que "vous ne pourrez toujours pas mettre à jour car le module de màj prupdate.ppl est toujours endommagé sur votre installation de KAV."

 

----->comment faire pour verifie si le module prupdate n'est pas endomagé?

 

-----> que dois je faire pour les autres poste ?

 

----->voici le lien de rapport gsi :

 

http://gsi.kaspersky.fr/read.php?file=e76d...2dfabed94ca104c

Share this post


Link to post

En fait, ce poste de travail a été infecté par une variante d'un virus appelé "mangania" qui modifie le fichier prupdate.ppl de l'application KAV qui permet d'effectuer la mise à jour des bases.

Une mise à jour de module a été effectuée afin de renforcer l'autodéfense de l'application contre ce type de menace, le phénomène ne doit donc pas se reproduire.

 

Pour les autres postes, postez un rapport AVZ de ces derniers.

 

 

Share this post


Link to post

 

 

Télécharge AVZ.com sur ton Bureau > http://data2.kaspersky-labs.com:8080/utils/avz4.com

 

1.Lance AVZ4.com

2.Va à File > Custom scripts

3.Colle ceci :

begin

ExecuteStdScr(3);

RebootWindows(true);

end.

4.Clique sur RUN

 

>>> le pc redémarre tout seul ...

Un dossier LOG est alors créé sur le Bureau.

 

Joint le dossier zippé virusinfo_syscure.zip qui se trouve dans le dossier LOG dans ta réponse .

Share this post


Link to post

vous avez dit que "une mise à jour de module a été effectuée afin de renforcer l'autodéfense de l'application contre ce type de menace, le phénomène ne doit donc pas se reproduire."

 

----> esq la derniere procedure " http://kb.kaspersky.fr/index.php?ShowID=1358 " qui a pu mettre à jour les module?????????, autrement dit comment faire pour mettre a jour les module afin de renforcer l'autodéfense de l'application contre ce type de menace?????

 

 

 

merciii

 

 

Share this post


Link to post

La mise à jour des modules s'effectuent automatiquement avec la mise à jour des bases. Lorsqu'une mise à jour des modules est effectuée, vous avez un message qui vous invite à redémarrer le poste de travail de la part de Kaspersky Anti-Virus.

 

Lors de votre dernière réinstallation vous avez récupérez les derniers modules lorsque vous avez mis à jour les bases pendant l'assistant d'installation de KAV.

Les mises à jour de modules sont visibles dans l'interface principale de KAV > "Services" > A droite dans la section "Mises à jour urgentes" vous devez visualiser au moins les lettres f.g

Share this post


Link to post

si j'ai bien compré:

 

1. j'ai pu récupéré les derniers modules lorsque j'ai mis à jour les bases pendant l'assistant d'installation de KAV.

2. pour vérifié si la maj du module est présente je doit voit visualisé au moins les lettres f.g dans la section "mise aà jour urgent".

 

----> donc pour les autres postes, je procédé comme suivant :

a. verifié si le module est à jour on visulisant au moins les lettres f.g dans la section "mise à jour urgent".

 

b. si ces lettres n'existent pas, cela veut dire que le module n'est pas a jour, donc je doit procede a la

solution 1....désinstallé /réinstaller kaspersky ensuite la mise à jour les bases pendant l'assistant d'installation de KAV

 

vous trouvez ci-joints dossier zippé virusinfo_syscure.zip

virusinfo_syscure.zip

Edited by ugs7

Share this post


Link to post

Le problème est règlé sur ce poste ... c'est d'ailleurs le rapport AVZ de ce même poste que tu as posté précédemment.

 

Il faut créer un rapport AVZ pour chaque autre poste du réseau , afin de vérifier si infection il y a.

Edited by snooky

Share this post


Link to post
Le problème est règlé sur ce poste ... c'est d'ailleurs le rapport AVZ de ce même poste que tu as posté précédemment.

 

Il faut créer un rapport AVZ pour chaque autre poste du réseau , afin de vérifier si infection il y a.

 

 

Je cherche une solution standard pour tous les postes de travails, par ce que tous les poste ont le meme phénomene

 

on a conclut que mon poste été infecté par une variante d'un virus appelé "mangania" qui modifie le fichier prupdate.ppl de l'application KAV qui permet d'effectuer la mise à jour des bases.

 

donc comment faire pour détruire ce viruse ensuite procédre a la solution de Tybilly

 

 

Share this post


Link to post

Il faut désinfecter chaque pc via AVZ , puis réinstaller Kaspersky ...

Edited by snooky

Share this post


Link to post
Il faut désinfecter chaque pc via AVZ , puis réinstaller Kaspersky ...

 

-donc, il suffitle d'utilisez AVZ pour désinfecter chaque pc et supprimer la variante magnaia..

 

-pour désinfecté chaque pc via AVZ, que dois je inserer dans custom script :

 

1.

 

begin

ExecuteStdScr(3);

RebootWindows(true);

end.

 

ou bien

 

2.

 

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

DeleteService('BDRsDrv');

DeleteService('BDFsDrv');

DeleteFile('C:\Program Files\Softwin\BitDefender10\bdfsdrv.sys');

DeleteFile('C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys');

DeleteFile('C:\WINDOWS7\system32\olhrwef.exe');

DeleteFile('C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe');

DeleteFile('C:\WINDOWS7\DOWNLO~1\xscan53.ocx');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

 

 

 

 

 

Share this post


Link to post

Le script 1 est pour créer le rapport .

C'est ce rapport que tu dois joindres dans ta réponse .

 

Le script 2 était valable pour ton poste , pas pour un autre.

Share this post


Link to post
Le script 1 est pour créer le rapport .

C'est ce rapport que tu dois joindres dans ta réponse .

 

Le script 2 était valable pour ton poste , pas pour un autre.

 

j'ai procede avec la meme démarche pour le deuxiemme poste

effectivement , les lettres f.g ne figure pas dans la section "mise à jour urgent" de ce poste.

et vous trouvez ci-joint le rapport gsi de ce poste....ensuite..

 

-j'ai lancé le AVZ

-puis, j'ai désinstallé l'antivirus à l'aide de WKS6cleaner

-j'ai réinstallé l'antivirus, et pendant l'installation j'ai met à jour la base...

ca marche, meme les lettres f.g existe, ce qui veut dire que le module est à jour....

virusinfo_syscure.zip

Edited by ugs7

Share this post


Link to post

Second poste également infecté ...

 

 

Désactive Windows Defender sur ce 2ème poste > http://infomars.fr/forum/index.php?showtopic=1244

 

Désinstalle SweetIM.

 

1.Lance AVZ4.com

2.Va à File > Custom scripts

3.Colle ceci :

 

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');

DelBHO('{EEE6C35B-6118-11DC-9C72-001320C79847}');

DelBHO('{EEE6C35C-6118-11DC-9C72-001320C79847}');

DeleteFile('C:\WINDOWS3\system32\nmdfgds0.dll');

DeleteFile('C:\WINDOWS3\system32\olhrwef.exe');

DeleteFile('C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

 

4.Clique sur RUN

 

>>> le pc redémarre tout seul ...

 

 

 

Créer ensuite un rapport ComboFix que tu posteras dans ta réponse :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

 

 

PS :

* Tous les autres postes tournent avec quelle version de Kaspersky ?

* Il manque le rapport GSI de ce 2 ème poste .

Edited by snooky

Share this post


Link to post

mauvaise nouvelle,

j'ai demarré mon pc (poste 1) ce matin, le pb est revenu à nouveau !!!!

 

ni spybot, ni asquare sont présente sur mon pc...

 

que dois je faire ???

 

 

 

Share this post


Link to post

Créer un nouveau rapport AVZ du poste 1 .

Edited by snooky

Share this post


Link to post

le lien de rapport gsi :

http://gsi.kaspersky.fr/read.php?file=2c1e...146a190baf4748c

 

 

rapport combofix :

ComboFix 09-02-24.02 - sehissah 2009-02-25 8:23:43.5 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.503.177 [GMT 1:00]

Lancé depuis: c:\documents and settings\sehissah.ANABIB.003\Bureau\aa\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\sehissah.ANABIB.003\Bureau\aa\CFScript.txt

AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated)

FW: Kaspersky Anti-Virus *disabled*

* Un nouveau point de restauration a été créé

* Resident AV is active

 

 

FILE ::

c:\documents and settings\All Users.WINDOWS7\Application Data\Lavasoft

c:\documents and settings\All Users.WINDOWS7\Application Data\Spybot - Search & Destroy

C:\ur0.com

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\2fiy.bat

C:\autorun.inf

c:\windows7\system32\nmdfgds0.dll

c:\windows7\system32\olhrwef.exe

D:\2fiy.bat

D:\Autorun.inf

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-25 au 2009-02-25 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-24 09:41 . 2009-02-24 09:56 101,287 --a------ c:\windows7\system32\drivers\klin.dat

2009-02-24 09:41 . 2009-02-24 09:56 89,601 --a------ c:\windows7\system32\drivers\klick.dat

2009-02-24 09:40 . 2009-02-25 08:43 14,368 --ahs---- c:\windows7\system32\drivers\fidbox2.dat

2009-02-24 09:40 . 2009-02-25 08:40 3,368 --ahs---- c:\windows7\system32\drivers\fidbox2.idx

2009-02-24 09:37 . 2009-02-25 08:44 12,011,808 --ahs---- c:\windows7\system32\drivers\fidbox.dat

2009-02-24 09:37 . 2009-02-25 08:40 162,200 --ahs---- c:\windows7\system32\drivers\fidbox.idx

2009-02-23 14:10 . 2009-02-23 14:10 <REP> d--h----- c:\windows7\PIF

2009-02-23 12:07 . 2008-07-08 13:54 148,496 --a------ c:\windows7\system32\drivers\37966315.sys

2009-02-22 13:57 . 2009-02-22 13:57 <REP> d-------- c:\program files\CCleaner

2009-02-22 10:06 . 2009-02-22 10:06 <REP> d-------- c:\windows7\Sun

2009-02-22 10:06 . 2009-02-22 10:05 410,984 --a------ c:\windows7\system32\deploytk.dll

2009-02-22 10:06 . 2009-02-22 10:05 73,728 --a------ c:\windows7\system32\javacpl.cpl

2009-02-22 08:32 . 2009-02-22 08:32 <REP> d-------- c:\documents and settings\Administrateur.SEHISSAHALI\Application Data\Avant Profiles

2009-02-21 12:32 . 2009-02-21 12:32 <REP> d-------- c:\documents and settings\NetworkService.AUTORITE NT.001\Bureau

2009-02-21 11:58 . 2009-02-22 10:03 <REP> d-------- c:\program files\a-squared Anti-Malware

2009-02-21 11:56 . 2009-02-21 11:56 <REP> d-------- c:\documents and settings\sehissah.ANABIB.003\Application Data\Yahoo!

2009-02-21 11:56 . 2009-02-21 11:56 <REP> d-------- c:\documents and settings\All Users.WINDOWS7\Application Data\Yahoo! Companion

2009-02-21 11:54 . 2009-02-22 10:01 <REP> d-------- c:\documents and settings\All Users.WINDOWS7\Application Data\Spybot - Search & Destroy

2009-02-21 11:54 . 2009-02-22 10:02 <REP> d-------- c:\documents and settings\All Users.WINDOWS7\Application Data\Lavasoft

2009-02-21 10:28 . 2009-02-21 10:28 507,904 --a------ c:\windows7\TMUPDATE.DLL

2009-02-21 10:28 . 2009-02-21 10:28 69,689 --a------ c:\windows7\UNZIP.DLL

2009-02-21 10:28 . 2009-02-21 10:28 40 --a------ c:\windows7\TSC.INI

2009-02-16 14:18 . 2009-02-16 14:18 <REP> d-------- c:\documents and settings\sehissah.ANABIB.003\Application Data\Vale Software

2009-02-16 14:18 . 2009-02-16 14:18 <REP> d-------- c:\documents and settings\All Users.WINDOWS7\Application Data\Vale Software

2009-02-16 14:17 . 1998-11-13 19:25 28,944 --a------ c:\windows7\system32\DBMSSOCN.DLL

2009-02-16 13:58 . 2009-02-16 13:58 <REP> d-------- c:\documents and settings\administrateur.ANABIB.001\Application Data\Avant Profiles

2009-02-16 13:57 . 2009-02-16 13:57 <REP> d-------- c:\documents and settings\ADMINI~1~001\LOCALS~1

2009-02-16 13:57 . 2009-02-16 13:57 <REP> d-------- c:\documents and settings\ADMINI~1~001

2009-02-16 13:49 . 2009-01-27 12:31 <REP> d--h----- c:\documents and settings\administrateur.ANABIB.001\Voisinage réseau

2009-02-16 13:49 . 2009-01-27 12:31 <REP> d--h----- c:\documents and settings\administrateur.ANABIB.001\Voisinage d'impression

2009-02-16 13:49 . 2009-01-27 11:43 <REP> d--h----- c:\documents and settings\administrateur.ANABIB.001\Modèles

2009-02-16 13:49 . 2009-02-16 13:52 <REP> dr------- c:\documents and settings\administrateur.ANABIB.001\Mes documents

2009-02-16 13:49 . 2009-01-27 12:31 <REP> dr------- c:\documents and settings\administrateur.ANABIB.001\Menu Démarrer

2009-02-16 13:49 . 2009-02-16 13:52 <REP> dr------- c:\documents and settings\administrateur.ANABIB.001\Favoris

2009-02-16 13:49 . 2009-01-27 12:31 <REP> d-------- c:\documents and settings\administrateur.ANABIB.001\Bureau

2009-02-16 13:49 . 2009-02-16 14:09 <REP> d-------- c:\documents and settings\administrateur.ANABIB.001

2009-02-15 15:27 . 2009-02-15 15:27 <REP> d-------- c:\documents and settings\Administrateur.SEHISSAH3\Application Data\Yahoo!

2009-02-15 15:17 . 2009-02-15 15:17 <REP> d-------- c:\documents and settings\Administrateur.SEHISSAH3\Contacts

2009-02-15 15:09 . 2009-02-15 15:09 <REP> d-------- c:\documents and settings\Administrateur.SEHISSAH3\Application Data\Nero

2009-02-15 15:07 . 2008-10-19 13:50 <REP> d--h----- c:\documents and settings\Administrateur.SEHISSAH3\Voisinage réseau

2009-02-15 15:07 . 2008-10-19 13:50 <REP> d--h----- c:\documents and settings\Administrateur.SEHISSAH3\Voisinage d'impression

2009-02-15 15:07 . 2008-11-24 13:57 <REP> d--h----- c:\documents and settings\Administrateur.SEHISSAH3\Modèles

2009-02-15 15:07 . 2009-02-15 15:19 <REP> dr------- c:\documents and settings\Administrateur.SEHISSAH3\Mes documents

2009-02-15 15:07 . 2008-10-19 13:50 <REP> dr------- c:\documents and settings\Administrateur.SEHISSAH3\Menu Démarrer

2009-02-15 15:07 . 2009-02-15 15:09 <REP> dr------- c:\documents and settings\Administrateur.SEHISSAH3\Favoris

2009-02-15 15:07 . 2008-10-19 13:50 <REP> d-------- c:\documents and settings\Administrateur.SEHISSAH3\Bureau

2009-02-15 15:07 . 2009-02-15 15:17 <REP> d-------- c:\documents and settings\Administrateur.SEHISSAH3

2009-02-15 14:18 . 2009-02-15 14:21 <REP> d-------- c:\documents and settings\sehissah.ANABIB.003\Application Data\MSNInstaller

2009-02-11 08:36 . 2009-02-11 08:36 <REP> d-------- c:\program files\Skyler Lyon

2009-02-08 14:42 . 2009-02-23 16:00 69 --a------ c:\windows7\NeroDigital.ini

2009-02-08 11:24 . 2009-02-08 11:24 <REP> d-------- c:\documents and settings\All Users.WINDOWS7\Application Data\LightScribe

2009-02-08 11:17 . 2009-02-08 11:24 <REP> d-------- c:\documents and settings\sehissah.ANABIB.003\Application Data\Ahead

2009-02-08 11:07 . 2009-02-08 11:07 <REP> d-------- c:\documents and settings\All Users.WINDOWS7\Application Data\Nero

2009-02-07 10:06 . 2009-01-27 12:31 <REP> d--h----- c:\documents and settings\Administrateur.SEHISSAHALI\Voisinage réseau

2009-02-07 10:06 . 2009-01-27 12:31 <REP> d--h----- c:\documents and settings\Administrateur.SEHISSAHALI\Voisinage d'impression

2009-02-07 10:06 . 2009-01-27 11:43 <REP> d--h----- c:\documents and settings\Administrateur.SEHISSAHALI\Modèles

2009-02-07 10:06 . 2009-02-21 12:42 <REP> dr------- c:\documents and settings\Administrateur.SEHISSAHALI\Mes documents

2009-02-07 10:06 . 2009-01-27 12:31 <REP> dr------- c:\documents and settings\Administrateur.SEHISSAHALI\Menu Démarrer

2009-02-07 10:06 . 2009-02-14 12:01 <REP> dr------- c:\documents and settings\Administrateur.SEHISSAHALI\Favoris

2009-02-07 10:06 . 2009-02-07 12:34 <REP> d-------- c:\documents and settings\Administrateur.SEHISSAHALI\Bureau

2009-02-07 10:06 . 2009-02-21 14:35 <REP> d-------- c:\documents and settings\Administrateur.SEHISSAHALI

2009-02-04 13:44 . 2009-02-04 13:44 <REP> d-------- c:\windows7\system32\Adobe

2009-02-04 13:44 . 2009-02-04 13:44 <REP> d-------- c:\windows7\Profiles

2009-02-04 13:44 . 2009-02-04 13:44 <REP> d-------- c:\documents and settings\sehissah.ANABIB.003\Application Data\InterTrust

2009-02-04 13:44 . 2009-02-04 13:44 <REP> d-------- c:\documents and settings\SEHISS~1~003\LOCALS~1

2009-02-04 13:44 . 2009-02-04 13:44 <REP> d-------- c:\documents and settings\SEHISS~1~003

2009-02-04 13:44 . 1998-10-29 14:45 306,688 --a------ c:\windows7\IsUninst.exe

2009-02-04 10:11 . 2009-02-04 11:22 <REP> d-------- c:\windows7\system32\CatRoot_bak

2009-02-04 09:07 . 2008-06-14 18:59 272,768 --------- c:\windows7\system32\drivers\bthport.sys

2009-02-04 09:07 . 2008-06-14 18:59 272,768 -----c--- c:\windows7\system32\dllcache\bthport.sys

2009-02-04 08:55 . 2008-08-14 14:44 2,182,400 -----c--- c:\windows7\system32\dllcache\ntoskrnl.exe

2009-02-04 08:55 . 2008-08-14 14:44 2,138,112 -----c--- c:\windows7\system32\dllcache\ntkrnlmp.exe

2009-02-04 08:55 . 2008-08-14 14:44 2,059,776 -----c--- c:\windows7\system32\dllcache\ntkrnlpa.exe

2009-02-04 08:55 . 2008-08-14 14:44 2,017,792 -----c--- c:\windows7\system32\dllcache\ntkrpamp.exe

2009-02-04 08:49 . 2008-10-24 12:10 453,632 -----c--- c:\windows7\system32\dllcache\mrxsmb.sys

2009-02-04 08:17 . 2005-02-25 04:35 22,752 --a------ c:\windows7\system32\spupdsvc.exe

2009-02-04 08:16 . 2009-02-25 08:07 <REP> d--h----- c:\windows7\$hf_mig$

2009-02-03 15:13 . 2009-02-08 11:02 <REP> d-------- C:\Temp

2009-02-03 12:35 . 2008-10-16 14:09 43,544 --a------ c:\windows7\system32\wups2.dll

2009-02-03 12:35 . 2008-10-16 14:09 35,864 --a------ c:\windows7\system32\wucltui.dll.mui

2009-02-03 12:35 . 2008-10-16 14:08 27,672 --a------ c:\windows7\system32\wuaucpl.cpl.mui

2009-02-03 12:35 . 2008-10-16 14:08 27,672 --a------ c:\windows7\system32\wuapi.dll.mui

2009-02-03 12:35 . 2008-10-16 14:07 19,992 --a------ c:\windows7\system32\wuaueng.dll.mui

2009-02-03 10:09 . 2009-02-03 10:08 56,832 --a------ C:\wspack.dll.vcd

2009-02-03 09:51 . 2009-02-03 10:09 81,984 --a------ c:\windows7\system32\bdod.bin

2009-02-03 09:44 . 2009-02-03 09:45 <REP> d-------- c:\program files\Fichiers communs\Softwin

2009-02-01 15:11 . 2004-08-03 23:10 10,880 --a------ c:\windows7\system32\drivers\NdisIP.sys

2009-02-01 15:11 . 2004-08-03 23:10 10,880 --a--c--- c:\windows7\system32\dllcache\ndisip.sys

2009-02-01 15:11 . 2004-08-03 22:58 5,504 --a------ c:\windows7\system32\drivers\MSTEE.sys

2009-02-01 15:11 . 2004-08-03 22:58 5,504 --a--c--- c:\windows7\system32\dllcache\mstee.sys

2009-02-01 15:09 . 2004-08-19 16:09 54,784 --a------ c:\windows7\system32\vfwwdm32.dll

2009-02-01 15:09 . 2004-08-19 16:09 54,784 --a--c--- c:\windows7\system32\dllcache\vfwwdm32.dll

2009-02-01 15:09 . 2004-08-19 16:10 43,008 --a------ c:\windows7\system32\ksxbar.ax

2009-02-01 15:09 . 2004-08-19 16:10 43,008 --a--c--- c:\windows7\system32\dllcache\ksxbar.ax

2009-02-01 15:09 . 2004-02-13 20:32 27,148 --a------ c:\windows7\system32\drivers\Capt905c.sys

2009-02-01 15:09 . 2003-09-01 15:53 24,363 --a------ c:\windows7\system32\drivers\Camd905c.sys

2009-02-01 15:06 . 2009-02-01 15:06 <REP> d-------- c:\documents and settings\sehissah.ANABIB.003\Application Data\vlc

2009-02-01 08:38 . 2002-09-07 01:00 66,594 --a--c--- c:\windows7\system32\dllcache\c_864.nls

2009-01-31 14:46 . 2009-01-31 14:46 32,768 --a------ C:\?????? ??????? ?????? ??????.doc

2009-01-31 11:53 . 2009-01-31 12:13 <REP> d-------- c:\program files\Navilog1

2009-01-31 08:34 . 2004-08-19 15:10 70,656 --a------ c:\windows7\AhnRpta.exe

2009-01-31 08:28 . 2009-01-31 08:28 <REP> d-------- c:\documents and settings\sehissah.ANABIB.003\Application Data\Avant Profiles

2009-01-28 09:58 . 2009-01-31 08:44 <REP> d---s---- c:\documents and settings\sehissah.ANABIB.003\UserData

2009-01-27 14:23 . 2003-09-25 12:12 76,045 --a------ c:\windows7\system32\EBPMON24.DLL

2009-01-27 14:23 . 2003-05-20 13:27 64,000 --a------ c:\windows7\system32\ECBTEG.DLL

2009-01-27 14:23 . 2000-06-06 12:01 34,304 --a------ c:\windows7\system32\EBPCHP.DLL

2009-01-27 14:23 . 2003-07-16 00:14 31,744 --a------ c:\windows7\system32\E_DCINST.DLL

2009-01-27 14:23 . 2001-09-03 13:04 182 --a------ c:\windows7\system32\EBPPORT4.DAT

2009-01-27 14:20 . 2009-01-27 14:20 25 --a------ c:\windows7\CDEC66SeriesEuro.ini

2009-01-27 14:19 . 2004-08-03 23:01 25,856 --a------ c:\windows7\system32\drivers\usbprint.sys

2009-01-27 14:19 . 2004-08-03 23:01 25,856 --a--c--- c:\windows7\system32\dllcache\usbprint.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-25 07:07 --------- d-----w c:\documents and settings\All Users.WINDOWS7\Application Data\Kaspersky Lab

2009-02-24 08:56 112,144 ----a-w c:\windows7\system32\drivers\kl1.sys

2009-02-24 08:40 --------- d-----w c:\program files\Kaspersky Lab

2009-02-22 09:05 --------- d-----w c:\program files\Java

2009-02-22 07:09 --------- d-----w c:\program files\CallIT

2009-02-21 13:29 --------- d-----w c:\program files\Microsoft Visual Basic

2009-02-21 13:27 --------- d-----w c:\program files\EasyPHP1-8 2

2009-02-21 13:27 --------- d-----w c:\program files\EasyPHP1-8

2009-02-16 08:14 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-08 14:06 --------- d-----w c:\program files\Shareaza

2009-02-08 10:22 --------- d-----w c:\program files\Fichiers communs\LightScribe

2009-02-08 10:14 --------- d-----w c:\program files\Fichiers communs\Ahead

2009-02-01 12:38 187,392 ----a-w c:\windows7\system32\drivers\b57xp32.sys

2009-01-31 07:44 --------- d-----w c:\program files\Avant Browser

2009-01-27 11:19 --------- d-----w c:\program files\Windows Messaging

2009-01-27 11:05 --------- d-----w c:\program files\Broadcom

2009-01-24 11:36 --------- d-----w c:\program files\Yahoo!

2009-01-24 11:36 --------- d-----w c:\documents and settings\sehissah.ANABIB.002\Application Data\Yahoo!

2009-01-24 11:22 --------- d-----w c:\program files\Unlocker

2009-01-24 10:59 --------- d-----w c:\documents and settings\sehissah.ANABIB.002\Application Data\nCleaner

2009-01-24 10:58 --------- d-----w c:\program files\NKProds

2009-01-24 09:18 --------- d-----w c:\program files\PC Inspector File Recovery

2009-01-21 13:52 --------- d-----w c:\program files\Google

2009-01-19 14:01 --------- d-----w c:\program files\IncrediMail

2009-01-18 11:13 --------- d-----w c:\program files\RegCleaner

2009-01-14 13:19 --------- d-----w c:\program files\hp deskjet 3420 series

2008-02-05 10:30 5,844,992 ----a-w c:\program files\Fichiers communs\cosom11.exe

2006-11-08 09:05 46,664 ----a-w c:\documents and settings\sehissah.ANABIB.000\Application Data\GDIPFONTCACHEV1.DAT

2006-06-26 08:26 774,144 -c--a-w c:\program files\RngInterstitial.dll

2006-05-10 14:42 38,360 ----a-w c:\documents and settings\sehissah.ANABIB\Application Data\GDIPFONTCACHEV1.DAT

2006-04-17 09:48 38,360 ----a-w c:\documents and settings\administrateur.ANABIB\Application Data\GDIPFONTCACHEV1.DAT

2005-11-08 11:36 34,832 ----a-w c:\documents and settings\invité 2\Application Data\GDIPFONTCACHEV1.DAT

2005-11-08 11:36 34,832 ------w c:\documents and settings\administrateur\Application Data\GDIPFONTCACHEV1.DAT

2008-11-30 09:01 66,408 ----a-w c:\program files\mozilla firefox\components\jar50.dll

2008-11-30 09:01 54,112 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll

2008-11-30 09:01 34,688 ----a-w c:\program files\mozilla firefox\components\myspell.dll

2008-11-30 09:01 46,456 ----a-w c:\program files\mozilla firefox\components\spellchk.dll

2008-11-30 09:01 171,880 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll

.

 

((((((((((((((((((((((((((((( SnapShot_2009-02-23_11.27.41.96 )))))))))))))))))))))))))))))))))))))))))

.

- 2009-02-22 09:56:21 194,832 ----a-w c:\windows7\system32\drivers\klif.sys

+ 2009-02-24 08:56:38 194,832 ----a-w c:\windows7\system32\drivers\klif.sys

- 2009-02-23 10:20:50 16,384 ----atw c:\windows7\temp\Perflib_Perfdata_150.dat

+ 2009-02-25 07:42:12 16,384 ----atw c:\windows7\temp\Perflib_Perfdata_150.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows7\system32\ctfmon.exe" [2004-08-19 15360]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-12-11 1611480]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-05-04 149040]

"cdoosoft"="c:\windows7\system32\olhrwef.exe" [bU]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-22 148888]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows7\system32\CTFMON.EXE" [2004-08-19 15360]

 

c:\documents and settings\sehissah.ANABIB.003\Menu D‚marrer\Programmes\D‚marrage\

is-608J1.lnk - c:\documents and settings\sehissah.ANABIB.003\Bureau\aa\Virus Removal Tool\is-608J1\startup.exe [2009-02-23 65536]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"="0x00000000"

"UpdatesDisableNotify"="0x00000000"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

 

R1 is-608J1drv;is-608J1drv;c:\windows7\system32\drivers\37966315.sys [2009-02-23 148496]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows7\system32\drivers\klim5.sys [2007-05-30 24344]

S3 AVPsys;AVPsys;\??\c:\windows7\system32\drivers\cdaudio.sys --> c:\windows7\system32\drivers\cdaudio.sys [?]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2078c698-ed0e-11dd-944f-004005e48d5b}]

\Shell\AutoRun\command - c:\windows7\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34f46ec8-efa3-11dd-9459-004005e48d5b}]

\Shell\AutoRun\command - H:\jeorels.cmd

\Shell\open\Command - H:\jeorels.cmd

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{518a3efa-fcc8-11dd-9485-004005e48d5b}]

\Shell\AutoRun\command - wscript.exe .\.vbs

\Shell\open\command - wscript.exe .\.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

"c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe"

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

mLocal Page = c:\windows\system32\blank.htm

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {FBF1CF39-9675-4B8F-9A74-B55F470A56FB} = 192.168.30.1

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-25 08:43:54

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(1184)

c:\windows7\system32\klogon.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\LightScribe\LSSrvc.exe

c:\program files\Analog Devices\SoundMAX\SMAgent.exe

c:\windows7\system32\wdfmgr.exe

c:\windows7\system32\wbem\wmiapsrv.exe

c:\program files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

c:\program files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

.

**************************************************************************

.

Heure de fin: 2009-02-25 8:50:36 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-02-25 07:50:27

ComboFix2.txt 2009-02-23 13:52:47

ComboFix3.txt 2009-02-23 10:29:43

ComboFix4.txt 2009-02-08 08:50:06

ComboFix5.txt 2009-02-25 07:19:23

 

Avant-CF: 10,124,886,016 octets libres

Après-CF: 10,159,362,048 octets libres

 

265 --- E O F --- 2009-02-14 07:25:39

 

Share this post


Link to post

Il faut un rapport AVZ de ce poste 1.

 

Est-ce que ce fichier est toujours présent sur ce poste : c:\windows7\system32\olhrwef.exe ?

 

Si vous le trouvez, placez le dans une archive, envoyez le sur un hébergeur de fichier et envoyez-moi le lien par PM.

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.