Savoir
lire les rapports de scan
Ce tutorial va vous
guider dans la lecture des rapports de scan des antivirus.
Vous
trouverez des exemples de malwares qui peuvent être détectés par les
antivirus.
Les actions possibles
Les
actions possibles sur les fichiers détectés lors d'un scan sont :
- Ignoré
: Le fichier n'est pas modifié, l'antivirus ne fait rien
- Nettoyé
: Le fichier est nettoyé du code viral - Le fichier est alors revenu
propre
- Mise en quarantaine / déplacé : le fichier
est placé dans la quarantaine de l'antivirus, aucune action sur le
fichier est possibile. Le virus devient alors inactif.
Temporary
Internet Files\Content.IE5\
Les fichiers contenu dans
Temporary Internet Files\Content.IE5\ sont des fichiers du cache
internet.
Lorsque vous surfez, votre navigateur enregistre
certains fichiers du site. Ainsi si vous retournez sur ce site, le
navigateur n'a pas besoin de demander au serveur certains élément, ce
dernier les prend sur le disque dur accélérant l'affichage des pages
WEB.
Selon où vous surfez, vous pouvez ramasser de
mauvaises choses : exploit.html / cache:Trojan.JS /
Trojan-Clicker.JS.Agent. etc.
Si votre antivirus détecte dans
ces éléments dans le cache, cela ne signifie pas que votre ordinateur
est infecté. Ces derniers sont général inactifs.
Pour
supprimer les malwares dans le cache, il suffit de vider le cache
internet, pour cela :
- Ouvrez Internet
Explorer
- Cliquez sur le menu Outils puis Options
internet
- Clic sur Supprimer les fichiers
- Cochez
la case "Supprimer les fichiers hors connexion"
- Cliquez
sur OK
C:\Documents and
Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet
Files\Content.IE5\BY108ESS\loader[1] ->
Downloader.Small.ebm : Nettoyé.
C:\Documents and
Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet
Files\Content.IE5\BY108ESS\loader[2]
-> Downloader.Small.ebm : Nettoyé.
C:\Documents and
Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet
Files\Content.IE5\HLP4PGQ3\loader[1]
-> Downloader.Small.ebm : Nettoyé.
C:\Documents and
Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet
Files\Content.IE5\HLP4PGQ3\loader[2]
-> Downloader.Small.ebm : Nettoyé.
C:\Documents and
Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet
Files\Content.IE5\HLP4PGQ3\loader[3]
-> Downloader.Small.ebm : Nettoyé.
C:\Documents and
Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet
Files\Content.IE5\HLP4PGQ3\loader[4]
-> Downloader.Small.ebm : Nettoyé.
C:\Documents and
Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet
Files\Content.IE5\MR1IL9HX\loader[1]
-> Downloader.Small.ebm : Nettoyé.
C:\Documents and
Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet
Files\Content.IE5\MR1IL9HX\loader[2]
-> Downloader.Small.ebm : Nettoyé.
C:\Documents and
Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet
Files\Content.IE5\MR1IL9HX\loader[6]
-> Downloader.Small.ebm : Nettoyé.
C:\Documents and
Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet
Files\Content.IE5\XRZZTUW3\loader[1]
-> Downloader.Small.ebm : Nettoyé.
C:\Documents and
Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet
Files\Content.IE5\XRZZTUW3\loader[2]
-> Downloader.Small.ebm : Nettoyé.
C:\Documents and
Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet
Files\Content.IE5\MR1IL9HX\install[1]
-> Hijacker.Costrat.e : Nettoyé.
C:\Documents
and Settings\xxxxxxxx\Cookies\ -> TrackingCookie
Les
éléments détectés dans C:\Documents and Settings\xxxxx\Cookies\ sont
des Trackings Cookies.
Les Trackings sont créés par les
publités, les sites xxx et autres afin de tracker les sites
que vous consulter et les enregistrer.
Pour plus
d'informations, vous pouvez consulter l'article :
Le Danger
des cookiesC:\Documents and
Settings\deborah\Cookies\deborah@bs.serving-sys[1].txt ->
TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and
Settings\deborah\Cookies\deborah@serving-sys[2].txt ->
TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and
Settings\papa\Cookies\papa@bs.serving-sys[1].txt ->
TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and
Settings\papa\Cookies\papa@serving-sys[2].txt ->
TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and
Settings\papa\Cookies\papa@cs.sexcounter[2].txt ->
TrackingCookie.Sexcounter : Nettoyé.
C:\Documents and
Settings\papa\Cookies\papa@sexlist[1].txt ->
TrackingCookie.Sexlist : Nettoyé.
C:\Documents and
Settings\papa\Cookies\papa@counter1.sextracker[1].txt ->
TrackingCookie.Sextracker : Nettoyé.
C:\Documents and
Settings\papa\Cookies\papa@counter13.sextracker[1].txt ->
TrackingCookie.Sextracker : Nettoyé.
C:\Documents and
Settings\papa\Cookies\papa@counter9.sextracker[1].txt ->
TrackingCookie.Sextracker : Nettoyé.
C:\Documents and
Settings\papa\Cookies\papa@sextracker[1].txt ->
TrackingCookie.Sextracker : Nettoyé.
C:\Documents and
Settings\deborah\Cookies\deborah@www.smartadserver[2].txt ->
TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and
Settings\papa\Cookies\papa@www.smartadserver[2].txt ->
TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and
Settings\deborah\Cookies\deborah@spylog[2].txt ->
TrackingCookie.Spylog : Nettoyé.
C:\Documents and
Settings\papa\Cookies\papa@statcounter[2].txt ->
TrackingCookie.Statcounter : Nettoyé.
C:\Documents and
Settings\papa\Cookies\papa@tradedoubler[2].txt ->
TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and
Settings\deborah\Cookies\deborah@tribalfusion[1].txt ->
TrackingCookie.Tribalfusion : Nettoyé.
C:\Documents and
Settings\deborah\Cookies\deborah@weborama[2].txt ->
TrackingCookie.Weborama : Nettoyé.
C:\Documents and
Settings\papa\Cookies\papa@weborama[1].txt ->
TrackingCookie.Weborama : Nettoyé. System
Volume Information\_restore
Le dossier \System Volume
Information\ contient les points de restauration.
Si des
éléments infectieux y sont détectés, cela signifie que des malwares
sont dans les points de restauration de Windows.
Vous
ne pouvez pas supprimer les fichiers directement dans les points de
restauration.
Attention, votre antivirus peut avoir des
difficultés pour nettoyer ou supprimer les éléments infections contenus
dans ces répertoires. Ce qui fait qu'à chaque scan il redétectera les
éléments infectieux.
Pour supprimer les malwares,
vous devez supprimer tous les points de restauration, cela se fait en
désactivant la restauration (que vous pouvez ensuite réactiver).
C:\System
Volume
Information\_restore{4D508614-E7FC-49B1-B31A-0F4D3EEB32E6}\RP99\A0080030.exe
-> Hijacker.Costrat.e : Nettoyé.
C:\System Volume
Information\_restore{F8DE3828-1C63-490C-9AE5-F33F8B193ED3}\RP358\A0366341.dll
Infecté : Trojan-Downloader.Win32.Zlob.bjo ignoré
C:\System Volume
Information\_restore{F8DE3828-1C63-490C-9AE5-F33F8B193ED3}\RP359\A0368346.dll
Infecté : Trojan-Downloader.Win32.Zlob.bjo ignoré
C:\System Volume
Information\_restore{F8DE3828-1C63-490C-9AE5-F33F8B193ED3}\RP359\A0369347.dll
Infecté : Trojan-Downloader.Win32.Zlob.bjo ignoré
C:\System Volume
Information\_restore{F8DE3828-1C63-490C-9AE5-F33F8B193ED3}\RP359\A0369361.dll
Infecté : Trojan-Downloader.Win32.Zlob.bjo ignoré
C:\System Volume
Information\_restore{F8DE3828-1C63-490C-9AE5-F33F8B193ED3}\RP359\A0369369.dll
Infecté : Trojan-Downloader.Win32.Zlob.bjo ignoré
C:\System Volume
Information\_restore{F8DE3828-1C63-490C-9AE5-F33F8B193ED3}\RP359\A0370368.dll
Infecté : Trojan-Downloader.Win32.Zlob.bjo ignoré
C:\System Volume
Information\_restore{F8DE3828-1C63-490C-9AE5-F33F8B193ED3}\RP359\A0370387.dll
Infecté : Trojan-Downloader.Win32.Zlob.bjo ignoré
La quarantaine
Le scan en ligne scanne le contenu de vos disques à la recherche de virus.
Le
scan en ligne risque donc de signaler des fichiers infectieux contenu
dans la quarantaine de votre antivirus, en effet, le scan en ligne va
obligatoirement à un moment donné scanner le répertoire de votre
antivirus et donc le répertoire de la quarantaine.
Certains
antivirus crypte le contenu de la quarantaine (par exemple via un zip
contenant un mot de passe), le scan en ligne ne pourra alors scanner
les fichiers pour déterminer s'ils sont infectieux ou non. Certains
antivirus ne crypte pas le contenu de la quarantaine, le scan en ligne
signalera alors que les fichiers sont infectieux :
ceci est normalVous pouvez alors vider ou non le contenu de la quarantaine toujours en passant par l'interface graphique de votre antivirus.
Voici
un exemple de scan en ligne, où l'on peut voir que le scan en ligne
Kaspersky détecte des fichiers infectieux dans la quarantaine de
housecall (Trend-Micro) et en second lieu dans la quarantaine de
l'antivirus Norton. (Plus d'informations sur la quarantaine, sur cette
page :
FAQ : la quarantaine de antivirus)
KASPERSKY ON-LINE SCANNER REPORTSaturday, September 15, 2007 7:47:02 AMSystème d'exploitation : Microsoft Windows XP Professional, (Build 2600)Kaspersky On-line Scanner version : 5.0.83.0Dernière mise à jour de la base antivirus Kaspersky : 15/09/2007Enregistrements dans la base antivirus Kaspersky : 418721Paramètres d'analyseAnalyser avec la base antivirus suivante étendueAnalyser les archives vraiAnalyser les bases de messagerie vraiCible de l'analyse Poste de travailA:\C:\D:\E:\F:\G:\H:\I:\ Statistiques de l'analyse:Total d'objets analysés: 44800Nombre de virus trouvés: 8Nombre d'objets infectés: 6 / 0Nombre d'objets suspects: 0Durée de l'analyse: 00:45:39 Nom de l'objet infecté / Nom du virus / Dernière actionC:\Documents and Settings\Administrateur\.housecall6.6\Quarantine\ip6fw.sys.bac_a03816 Infecté : Rootkit.Win32.Agent.dp ignoréC:\Documents and Settings\Administrateur\.housecall6.6\Quarantine\KB92774612.exe.bac_a03816 Infecté : Trojan.Win32.Qhost.it ignoréC:\Documents and Settings\Administrateur\.housecall6.6\Quarantine\KB_963493.exe.bac_a03816 Infecté : Trojan-Downloader.Win32.Murlo.fi ignoréC:\Documents and Settings\Administrateur\.housecall6.6\Quarantine\sysrlb32.exe.bac_a03816 Infecté : Trojan.Win32.VB.azo ignoré C:\Program Files\Norton AntiVirus\Quarantine\3BEB57C3.bat Infecté : Email-Worm.Win32.Klez.e ignoréC:\Program Files\Norton AntiVirus\Quarantine\3C2F4978.rar/kitty.scr Infecté : Email-Worm.Win32.Klez.e ignoréC:\Program Files\Norton AntiVirus\Quarantine\3C2F4978.rar RAR: infecté - 1 ignoréC:\Program Files\Norton AntiVirus\Quarantine\3C2F4978.rar Crypt.Quarantine: infecté - 1 ignoré[/quote]HKLM\SYSTEM
/ HKLM\SOFTWARE
Les lignes contenants HKLM\SYSTEM
correspondant à des clefs du registre.
Pour plus
d'informations sur le registre Windows, reportez-vous au
Tutorial
sur la base de registre WindowsHKLM\SYSTEM\CurrentControlSet\Services\vspf
-> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en
quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf\Enum
-> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en
quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf\Security
-> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en
quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf_hk
-> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en
quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf_hk\Enum
-> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en
quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf_hk\Security
-> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en
quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf
-> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en
quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf\Enum
-> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en
quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf\Security
-> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en
quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf_hk
-> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en
quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf_hk\Enum
-> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en
quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf_hk\Security
-> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en
quarantaine).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Instant
Access -> Dialer.Generic : Nettoyé et sauvegardé (mise en
quarantaine).
Les
HackTools/RiskTools
Les
HackTools/RiskTools sont des outils utilisés
par les hackeurs pour effectuer des tâches
précises et peuvent être
intégrés à des scripts afin
d'automatiser la tâche.
Les HackTools sont des outils souvent destinés à
arrêter d'autres programmes (généralement les
programmes de protection : antivirus, firewall etc..), scanner d'autres
machines du réseau etc..
ATTENTION : les hacktools ne sont pas forcemment nuisibles
puisqu'ils
peuvent aussi être intégrés
à des applications, afin aussi d'effectuer certains
tâches necessaires : c'est le cas par exemple :
KillApp
qui est utilisé par le programme de restauration d'HP :
Application/KillApp.B
No Désinfecté C:\hp\bin\KillIt.exe
process.exe est
détecté par certains antivirus (AntiVir, Dr.Web,
Kaspersky Anti-Virus) comme étant un
RiskTool.
C:\WINDOWS\Slave.exe ->
Not-A-Virus.RemoteAdmin.Win32.RA.52126 : Nettoyé.
Not-A-Virus.RemoteAdmin.Win32 : programmes permettant d'administrer une
machine à distance !
Ce sont
plutot des avertissements faits par votre antivirus, donc ne paniquez
pas.Adwares
Les
Adwares sont des programmes ouvrants des popups de publicités.
Cela
peut être très pénible pour l'utilisateur
C:\Program Files\Common
Files\Companion Wizard\WapCHK.dll -> Adware.Companion : Nettoyé
et sauvegardé (mise en quarantaine).
C:\Program
Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe
-> Adware.Whenu : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Fichiers
communs\WinAntiVirus Pro 2006\WapCHK.dll -> Adware.WinAntiVirus
: Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\WinAntiVirus
Pro 2006 -> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en
quarantaine).
C:\Program Files\WinAntiVirus
Pro 2006\msvcp71.dll -> Adware.WinAntiVirus : Nettoyé et
sauvegardé (mise en quarantaine).
C:\Program Files\WinAntiVirus
Pro 2006\msvcr71.dll -> Adware.WinAntiVirus : Nettoyé et
sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\advert.dll
-> Adware.Aureate : Nettoyé et sauvegardé (mise en quarantaine).
Les faux
positifs
Les
faux positifs sont des infections détectés par
l'antivirus sur un fichier alors qu'aucun virus n'est
présent :
C'est par exemple le cas du fichier pskavs.DLL, fichier de l'active
Scan de Panda, détecté par Avast comme
infecté par le virus : Win32:CTX alors
qu'il n'en est rien.Généralement,
le faux positif est corrigé dans la mise à jour virale suivante.
Les
Dialers
Les Dialers sont des programmes qui tentent de
numéroter vers des numéros surtaxés..
Cela ne peut fonctionner
que si vous avez un modem analogique (ça ne fonctionne pas avec les
modem/routeurs ADSL)
C:\WINDOWS\system32\cool.exe
Infecté : Trojan.Win32.Dialer.qs ignoré
C:\WINDOWS\system32\mwsrvacc.exe
-> Dialer.InstantAccess.af : Aucune action entreprise.
Les Trojans
Les
trojans sont des programmes qui ont pour but de réduire la sécurité de
votre ordinateur, ils peuvent :
- Tenter de
supprimer/désactiver les antivirus de votre ordinateur ou les pare-feu
- Modifier
des options du système, navigateur WEB pour minimiser la sécurité de
votre ordinateur
- Télécharger d'autres programmes
malveillants comme par exemple des backdoor (voir plus bas).
Généralement,
ces derniers se trouve sur le disque
C:\ ou
dans les dossiers
Windows.
Si
des trojans sont présents sur votre sytème, il est conseillé
d'effectuer des scan avec des antivirus différents afin de supprimer
toutes les infections.
C:\oi.exe->(RARSfx)->kansy.reg
- Trojan:BAT/LowZones.O* -> Infected
C:\oi.exe->(RARSfx)->kany.reg
- Trojan:BAT/LowZones.N* -> Infected
C:\WINDOWS\kansy.reg -
Trojan:BAT/LowZones.O* -> Infected
C:\WINDOWS\kany.reg -
Trojan:BAT/LowZones.N* -> Infected
Si votre antivirus détecte plusieurs trojans, suivez la
Procédure
de désinfection des Trojans/Backdoor pour vous en débarrasser
Les
Backdoors
Les Backdoors (ou porte dérobée) sont des
programmes qui donnent l'accès à votre ordinateur.
Les pirates
peuvent alors prendre le contrôle de votre ordinateur et faire
exactement ce qu'ils désirent à partir de ces programmes.
Ils
peuvent aussi voler vos mots de passe ou numéro de CB. Ces programmes
sont très DANGEREUX.
Si votre antivirus détecte
plusieurs trojans, suivez la
Procédure
de désinfection des Trojans/Backdoor pour vous en débarrasser
C:\WINDOWS\system32\fff.exe -
Backdoor:Win32/Rbot.KS -> Infected
C:\WINDOWS\system32\ggg.exe -
Backdoor:Win32/Rbot.KS -> Infected
C:\WINDOWS\system32\iii.exe -
Backdoor:Win32/Rbot.KS -> Infected
C:\WINDOWS\system32\jjj.exe -
Backdoor:Win32/Rbot.KS -> Infected
C:\WINDOWS\system32\kkk.exe -
Backdoor:Win32/Rbot.KS -> Infected
C:\WINDOWS\system32\ooo.exe -
Backdoor:Win32/Rbot.KS -> Infected
C:\WINDOWS\system32\ppp.exe -
Backdoor:Win32/Rbot.KS -> Infected
C:\WINDOWS\system32\qqq.exe -
Backdoor:Win32/Rbot.KS -> Infected
C:\WINDOWS\system32\sss.exe -
Backdoor:Win32/Rbot.KS -> Infected
C:\WINDOWS\system32\ttt.exe -
Backdoor:Win32/Rbot.KS -> Infected
C:\WINDOWS\system32\vvv.exe -
Backdoor:Win32/Rbot.KS -> Infected
C:\WINDOWS\system32\www.exe -
Backdoor:Win32/Rbot.KS -> Infected
C:\WINDOWS\system32\update53370680.exe
-> Hijacker.Costrat.e : Nettoyé.
Obtenir de l'aide sur le forum
Si vous désirez obtenir de l'aide sur le forum, créé un sujet dans la partie
VIRUS : Aide Malwares (vers, trojans, spywares, hijack) à partir du bouton
pour obtenir de l'aide.
Pour plus d'informations sur la création d'un sujet, reportez-vous à ce lien :
http://forum.malekal.com/ftopic1065.phpAutres
Liens
Pour
plus d'informations, sur le fonctionnement des spywares et les conseils
à suivre :
Fonctionnement
et suppression des Vers/Spywares/Malwares sous Windows
Guide
de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike,
Winbound, etc..)
