Sujet Précédent Sujet Suivant

Infection antispywarealert rapport hijackthis

Résolu/Fermé
1Chrys1 Messages postés 37 Date d'inscription lundi 17 novembre 2008 Statut Membre Dernière intervention 31 mars 2009 - 17 nov. 2008 à 11:47
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 3 déc. 2008 à 15:03
Bonjour,
Mon ordinateur est infecté par antispywarealert, il m'ouvre des popups de faux logiciels antivirus, et essaie de modifier le registre, spybot seacrh and destroy les détecte , je fais refuser la modification, mais cela revient à chaque redemarrage de l'ordinateur.
J'ai regardé sur ce forum, et fait une analyse hijackthis. le rapport est ci dessous.
Quelqu'un peutil m'aider à résoudre le problème?
Merci par avance
Cordialement,
Chrys

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:55, on 17/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462

\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\ProgramData\iWin Games\DesktopAlerts\DesktopAlerts.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Users\Chrystelle\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -

C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {0529BFF2-4D65-4196-881C-5E9F79FFE6EB} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {24953AF7-411D-4087-BE5F-8192F2092011} - (no file)
O2 - BHO: (no name) - {4802200E-E766-4D70-893B-48EBC2EA7D66} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program

Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {7C4A50D7-30D6-4012-9E2F-A9F81626B1D5} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {89710258-6249-4C0A-AA7C-F330EBEBB7D9} - (no file)
O2 - BHO: (no name) - {8F67E146-FB6C-418F-9FE5-37AA2206D92E} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-

4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft

Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -

c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {AB5D3DEF-04CA-4394-A07B-05B62A86ACDF} - (no file)
O2 - BHO: (no name) - {BAA7AF1C-EFD6-427A-BF72-0F51FF4E2835} - (no file)
O2 - BHO: GamesBarBHO Class - {CB0D163C-E9F4-4236-9496-0597E24B23A5} - C:\Program

Files\GamesBar\oberontb.dll
O2 - BHO: (no name) - {DE67C32A-82BB-4B28-A509-B1CEDB95167E} - (no file)
O2 - BHO: (no name) - {E94D97D5-8A72-41C8-BD23-F09B9A28DB29} - (no file)
O2 - BHO: (no name) - {EA5DD77E-699B-46DB-A644-4E3E340D5263} - (no file)
O2 - BHO: (no name) - {EBC830FF-6E75-450A-A7FD-6550CE329112} - (no file)
O2 - BHO: (no name) - {EEB4AF75-D2F9-413A-83C0-ED30F25B5E78} - (no file)
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program

Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program

Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program

files\google\googletoolbar1.dll
O3 - Toolbar: GamesBar - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - C:\Program

Files\GamesBar\oberontb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition

Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [d4913abd] rundll32.exe "C:\Users\CHRYST~1

\AppData\Local\Temp\orvmjcwb.dll",b
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0

\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [swg] C:\Program

Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\CHRYST~1

\AppData\Local\Temp\khfFXrOe.dll,#1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search &

Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\CHRYST~1

\AppData\Local\Temp\cbXroMGy.dll,c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe

/detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe

oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe

/detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: iWin Desktop Alerts.lnk = C:\ProgramData\iWin

Games\DesktopAlerts\DesktopAlerts.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1

\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {1A93C934-025B-4c3a-B38E-9654A7003239} - C:\Program

Files\GamesBar\oberontb.dll
O9 - Extra 'Tools' menuitem: GamesBar - {1A93C934-025B-4c3a-B38E-9654A7003239} -

C:\Program Files\GamesBar\oberontb.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} -

C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-

8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows

Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} -

C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-

5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-

47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O15 - Trusted Zone: https://fr.bitefight.gameforge.com/game
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) -

file:///C:/Program%20Files/Sally's%20Spa/Images/stg_drm.ocx
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) -

http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) -

http://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -

http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) -

file:///C:/Program%20Files/Delicious%202/Images/armhelper.ocx
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems -

C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler)

- Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) -

Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. -

C:\Windows\system32\Ati2evxx.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY

Shared\Service\Boonty.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA -

C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program

Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program

Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner -

C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program

Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe

49 réponses

Réponse 1 / 49
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 11:50
Salut,


plusieurs infections ....commences par ceci :


1- Important :
Désactives le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , cliques sur "tea timer" pour lancer l'animation ).

En effet , il risque de géner dans le bon déroulement des outils de désinfections ...

Tu le réactiveras une fois qu'on aura finis de désinfecter ( et pas avant ! ) .
Attention , à ce moment là, Spybot te demandera des modifs de registres :
tu les accepteras toutes ! ...



2- Télécharges ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!

* Double-cliques sur ToolBar SD.exe pour lancer l'outil et laisses toi guider ...
-->Tapes sur 2 ( option " nettoyage " ) puis tapes sur [Entrée].

Le nettoyage commence .
! ne touches à rien lors de la suppression !

Un rapport sera généré à la fin du processus : postes son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport hijackthis pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )
0
Réponse 2 / 49
1Chrys1 Messages postés 37 Date d'inscription lundi 17 novembre 2008 Statut Membre Dernière intervention 31 mars 2009 1
17 nov. 2008 à 13:31
Merci de ton aide, j'ai effectué les opérations demandées, voici le rapport de TB suivi de celui de hijackthis :

Celui de TB :

-----------\\ ToolBar S&D 1.2.4 XP/Vista

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz )
BIOS : Ver 1.00PARTTBL
USER : Chrystelle ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:69 Go (Free:7 Go)
D:\ (Local Disk) - NTFS - Total:69 Go (Free:52 Go)
E:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )
Option : [2] ( 17/11/2008|11:59 )

[ UAC => 1 ]
C:\Program Files\Mozilla Firefox\plugins\NPAskSBr.dll

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\AskSBar\bar
Supprime! - C:\ProgramData\GamesBar\7_wonders_treasures_of_seven16x16.gif
Supprime! - C:\ProgramData\GamesBar\about.gif
Supprime! - C:\ProgramData\GamesBar\action.gif
Supprime! - C:\ProgramData\GamesBar\arcade.gif
Supprime! - C:\ProgramData\GamesBar\big_city_adventure_sydney16x16.gif
Supprime! - C:\ProgramData\GamesBar\buy.gif
Supprime! - C:\ProgramData\GamesBar\cards.gif
Supprime! - C:\ProgramData\GamesBar\deals.gif
Supprime! - C:\ProgramData\GamesBar\death_nile16x16.gif
Supprime! - C:\ProgramData\GamesBar\diner_dash_flo_through_time16x16.gif
Supprime! - C:\ProgramData\GamesBar\download.gif
Supprime! - C:\ProgramData\GamesBar\feedback.gif
Supprime! - C:\ProgramData\GamesBar\help.gif
Supprime! - C:\ProgramData\GamesBar\highlight.gif
Supprime! - C:\ProgramData\GamesBar\jigsaw.gif
Supprime! - C:\ProgramData\GamesBar\luxor_quest_for_the_afterlife16x16.gif
Supprime! - C:\ProgramData\GamesBar\mahjong.gif
Supprime! - C:\ProgramData\GamesBar\multiplayer.gif
Supprime! - C:\ProgramData\GamesBar\mygames.gif
Supprime! - C:\ProgramData\GamesBar\natalie_brooks16x16.gif
Supprime! - C:\ProgramData\GamesBar\newGames.gif
Supprime! - C:\ProgramData\GamesBar\oberonconfig.xm_
Supprime! - C:\ProgramData\GamesBar\onload
Supprime! - C:\ProgramData\GamesBar\partner.gif
Supprime! - C:\ProgramData\GamesBar\peggle_nights16x16.gif
Supprime! - C:\ProgramData\GamesBar\popup_off.gif
Supprime! - C:\ProgramData\GamesBar\popup_on.gif
Supprime! - C:\ProgramData\GamesBar\puzzle.gif
Supprime! - C:\ProgramData\GamesBar\search.gif
Supprime! - C:\ProgramData\GamesBar\search_goog.gif
Supprime! - C:\ProgramData\GamesBar\sendafriend.gif
Supprime! - C:\ProgramData\GamesBar\sports.gif
Supprime! - C:\ProgramData\GamesBar\the_hidden_object_show16x16.gif
Supprime! - C:\ProgramData\GamesBar\trial.gif
Supprime! - C:\ProgramData\GamesBar\uninstall.gif
Supprime! - C:\ProgramData\GamesBar\update.gif
Supprime! - C:\ProgramData\GamesBar\virtualvillagers16x16.gif
Supprime! - C:\ProgramData\GamesBar\webgame.gif
Supprime! - C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\GamesBar
Supprime! - C:\Program Files\GamesBar\Localization-French.ini
Supprime! - C:\Program Files\GamesBar\Localization2-French.ini
Supprime! - C:\Program Files\GamesBar\oberontb.dll
Supprime! - C:\Program Files\GamesBar\uninst.exe
Supprime! - C:\Program Files\Mozilla Firefox\plugins\NPAskSBr.dll
Supprime! - C:\Program Files\AskSBar
Supprime! - C:\ProgramData\GamesBar
Supprime! - C:\Program Files\GamesBar

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="https://www.google.fr/?gws_rd=ssl"
"Search Bar"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"SearchMigratedDefaultURL"="https://www.bing.com/?scope=web&mkt=fr-FR{searchTerms}&src={referrer:source?}"
"Url"="https://www.msn.com/fr-fr/actualite/"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr/"
"Default_Page_URL"="https://fr.yahoo.com/"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"


--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\Users\CHRYST~1\AppData\Local\Microsoft\Messenger\petitange_604@hotmail.com\Sharing Folders\aurelie-basket@hotmail.fr\[PC GAME] Bigfish Games - Diner Dash Hometown Hero (+ Keygen).rar
C:\Users\CHRYST~1\AppData\Roaming\Microsoft\Windows\Recent\The_Sims_2_Glamour_Life_Stuff_Addon_Crackfix-Razor1911.lnk
C:\PROGRA~2\Fugazo\Cooking Academy\cached\sounds\eggcrack.wav


[ UAC => 1 ]


1 - "C:\ToolBar SD\TB_1.txt" - 17/11/2008|12:01 - Option : [2]

-----------\\ Fin du rapport a 12:01:36,58


celui d'hyjackthis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:02:29, on 17/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\ProgramData\iWin Games\DesktopAlerts\DesktopAlerts.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Users\Chrystelle\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {0529BFF2-4D65-4196-881C-5E9F79FFE6EB} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {24953AF7-411D-4087-BE5F-8192F2092011} - (no file)
O2 - BHO: (no name) - {4802200E-E766-4D70-893B-48EBC2EA7D66} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {7C4A50D7-30D6-4012-9E2F-A9F81626B1D5} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {89710258-6249-4C0A-AA7C-F330EBEBB7D9} - (no file)
O2 - BHO: (no name) - {8F67E146-FB6C-418F-9FE5-37AA2206D92E} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {AB5D3DEF-04CA-4394-A07B-05B62A86ACDF} - (no file)
O2 - BHO: (no name) - {BAA7AF1C-EFD6-427A-BF72-0F51FF4E2835} - (no file)
O2 - BHO: GamesBarBHO Class - {CB0D163C-E9F4-4236-9496-0597E24B23A5} - C:\Program Files\GamesBar\oberontb.dll (file missing)
O2 - BHO: (no name) - {DE67C32A-82BB-4B28-A509-B1CEDB95167E} - (no file)
O2 - BHO: (no name) - {E94D97D5-8A72-41C8-BD23-F09B9A28DB29} - (no file)
O2 - BHO: (no name) - {EA5DD77E-699B-46DB-A644-4E3E340D5263} - (no file)
O2 - BHO: (no name) - {EBC830FF-6E75-450A-A7FD-6550CE329112} - (no file)
O2 - BHO: (no name) - {EEB4AF75-D2F9-413A-83C0-ED30F25B5E78} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [d4913abd] rundll32.exe "C:\Users\CHRYST~1\AppData\Local\Temp\orvmjcwb.dll",b
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\CHRYST~1\AppData\Local\Temp\khfFXrOe.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\CHRYST~1\AppData\Local\Temp\cbXroMGy.dll,c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: iWin Desktop Alerts.lnk = C:\ProgramData\iWin Games\DesktopAlerts\DesktopAlerts.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O15 - Trusted Zone: https://fr.bitefight.gameforge.com/game
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Sally's%20Spa/Images/stg_drm.ocx
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Delicious%202/Images/armhelper.ocx
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
0
Réponse 3 / 49
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 13:56
tu es loin d'être tirée d'affaire ! ....

la suite dans l'ordre :


1- protocole à suivre pour Windows Vista :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
Puis redémarrer le PC quand il le vous saura demandé ...

Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517


* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fait toujours ainsi :
cliques DROIT ( sur le setup d'installe ou l'outil )-> choisis " Exécuter entant qu'administrateur " .
Fais ce-ci systématiquement ! ...


une fois ceci fait et pris en compte , commences par ce qui suit :

=================

2- Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnectes toi et fermes toute tes applications en cours !

Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copies ce qui se trouve en citation ci-dessous, 


:Processes
explorer.exe

:Services

:Reg

:Files
C:\Users\CHRYST~1\AppData\Local\Microsoft\Messenger\petitange_604@hotmail.com\Sharing Folders\aurelie-basket@hotmail.fr\[PC GAME] Bigfish Games - Diner Dash Hometown Hero (+ Keygen).rar 
C:\Users\CHRYST~1\AppData\Roaming\Microsoft\Windows\Recent\The_Sims_2_Glamour_Life_Stuff_Addon_Crackfix-Razor1911.lnk 

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]



et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


==================

3- Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

* Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasses le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnectes toi et fermes toutes applications en cours !

* Lances Malwarebyte's .

Fais un examen dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

--> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
accompagné d'un nouveau rapport hijackthis pour analyse ...
0
Réponse 4 / 49
1Chrys1 Messages postés 37 Date d'inscription lundi 17 novembre 2008 Statut Membre Dernière intervention 31 mars 2009 1
17 nov. 2008 à 14:36
salut, j'essaye de télécharger Le logiciel pour la deuxième étape (OTmoveit3)mais firefox plante quand je clique sur enregistrer :(
as tu un autre lien où je pourrais le récupérer?
Merci de ton aide :)
Chrys
ps : les pop ups de antispywarealert sont revenues
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 15:58
Essayes avec Internet Exploreur ...
c'est normale pour les fenêtres ... on ne s'est pas encore attaqué cette bestiole là ... ^^


0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 49
1Chrys1 Messages postés 37 Date d'inscription lundi 17 novembre 2008 Statut Membre Dernière intervention 31 mars 2009 1
17 nov. 2008 à 19:54
bonsoir, en effet avec internet explorer ça a marché, j'ai suivi toutes les consignes
voici les rapports :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52:32, on 17/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\System32\notepad.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Chrystelle\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {0529BFF2-4D65-4196-881C-5E9F79FFE6EB} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {24953AF7-411D-4087-BE5F-8192F2092011} - (no file)
O2 - BHO: (no name) - {4802200E-E766-4D70-893B-48EBC2EA7D66} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7C4A50D7-30D6-4012-9E2F-A9F81626B1D5} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {89710258-6249-4C0A-AA7C-F330EBEBB7D9} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {AB5D3DEF-04CA-4394-A07B-05B62A86ACDF} - (no file)
O2 - BHO: (no name) - {BAA7AF1C-EFD6-427A-BF72-0F51FF4E2835} - (no file)
O2 - BHO: GamesBarBHO Class - {CB0D163C-E9F4-4236-9496-0597E24B23A5} - C:\Program Files\GamesBar\oberontb.dll (file missing)
O2 - BHO: (no name) - {DADECF2B-59D1-467B-9421-FA968DD05A6D} - (no file)
O2 - BHO: (no name) - {DE67C32A-82BB-4B28-A509-B1CEDB95167E} - (no file)
O2 - BHO: (no name) - {E94D97D5-8A72-41C8-BD23-F09B9A28DB29} - (no file)
O2 - BHO: (no name) - {EA5DD77E-699B-46DB-A644-4E3E340D5263} - (no file)
O2 - BHO: (no name) - {EBC830FF-6E75-450A-A7FD-6550CE329112} - (no file)
O2 - BHO: (no name) - {EEB4AF75-D2F9-413A-83C0-ED30F25B5E78} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: iWin Desktop Alerts.lnk = C:\ProgramData\iWin Games\DesktopAlerts\DesktopAlerts.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O15 - Trusted Zone: https://fr.bitefight.gameforge.com/game
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Sally's%20Spa/Images/stg_drm.ocx
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Delicious%202/Images/armhelper.ocx
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
0
Réponse 6 / 49
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 20:02
Postes moi aussi le rapport de OTMoveIt comme je te l'ai demandé , ainsi que le rapport de Malwarebytes comme je te l'ai demandé aussi ^^
0
Réponse 7 / 49
1Chrys1 Messages postés 37 Date d'inscription lundi 17 novembre 2008 Statut Membre Dernière intervention 31 mars 2009 1
17 nov. 2008 à 20:04
ouuuups, erreur de manip, voici les deux manquants :)


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
C:\Users\CHRYST~1\AppData\Local\Microsoft\Messenger\petitange_604@hotmail.com\Sharing Folders\aurelie-basket@hotmail.fr\[PC GAME] Bigfish Games - Diner Dash Hometown Hero (+ Keygen).rar moved successfully.
C:\Users\CHRYST~1\AppData\Roaming\Microsoft\Windows\Recent\The_Sims_2_Glamour_Life_Stuff_Addon_Crackfix-Razor1911.lnk moved successfully.
========== COMMANDS ==========
File delete failed. C:\Users\CHRYST~1\AppData\Local\Temp\etilqs_e6aCZZVNqd7nsujHiFSM scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Users\Chrystelle\AppData\Local\Mozilla\Firefox\Profiles\abo7g0r1.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Users\Chrystelle\AppData\Local\Mozilla\Firefox\Profiles\abo7g0r1.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Users\Chrystelle\AppData\Local\Mozilla\Firefox\Profiles\abo7g0r1.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Users\Chrystelle\AppData\Local\Mozilla\Firefox\Profiles\abo7g0r1.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Users\Chrystelle\AppData\Local\Mozilla\Firefox\Profiles\abo7g0r1.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Users\Chrystelle\AppData\Local\Mozilla\Firefox\Profiles\abo7g0r1.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 11172008_162923

Files moved on Reboot...
File C:\Users\CHRYST~1\AppData\Local\Temp\etilqs_e6aCZZVNqd7nsujHiFSM not found!
C:\Users\Chrystelle\AppData\Local\Mozilla\Firefox\Profiles\abo7g0r1.default\Cache\_CACHE_001_ moved successfully.
C:\Users\Chrystelle\AppData\Local\Mozilla\Firefox\Profiles\abo7g0r1.default\Cache\_CACHE_002_ moved successfully.
C:\Users\Chrystelle\AppData\Local\Mozilla\Firefox\Profiles\abo7g0r1.default\Cache\_CACHE_003_ moved successfully.
C:\Users\Chrystelle\AppData\Local\Mozilla\Firefox\Profiles\abo7g0r1.default\Cache\_CACHE_MAP_ moved successfully.
C:\Users\Chrystelle\AppData\Local\Mozilla\Firefox\Profiles\abo7g0r1.default\urlclassifier3.sqlite moved successfully.
C:\Users\Chrystelle\AppData\Local\Mozilla\Firefox\Profiles\abo7g0r1.default\XUL.mfl moved successfully.


voilà celui de malwarebytes
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1306
Windows 6.0.6001 Service Pack 1

17/11/2008 19:42:06
mbam-log-2008-11-17 (19-42-06).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 180742
Temps écoulé: 2 hour(s), 16 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Windows\System32\icptertu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Windows\System32\vtUnlJcc.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Windows\System32\jkkiIyYo.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2f9a6bf6-51fd-466c-89ef-281084b63f4e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2f9a6bf6-51fd-466c-89ef-281084b63f4e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8f67e146-fb6c-418f-9fe5-37aa2206d92e} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8f67e146-fb6c-418f-9fe5-37aa2206d92e} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d4913abd (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmds (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{8f67e146-fb6c-418f-9fe5-37aa2206d92e} (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\vtunljcc -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\vtunljcc -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\vtUnlJcc.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Windows\System32\ccJlnUtv.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Windows\System32\ccJlnUtv.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Windows\System32\icptertu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Windows\System32\utretpci.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Windows\System32\wvUkKayY.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Windows\System32\YyaKkUvw.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Windows\System32\YyaKkUvw.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Windows\System32\jkkiIyYo.dll (Trojan.BHO.H) -> Delete on reboot.
C:\Program Files\EoRezo (Rogue.Eorezo) -> Delete on reboot.
0
Réponse 8 / 49
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 20:07
bien ... on continue :


1- Supprimes tout ce qui ce trouve dans la quarantaine de Malwarebytes .


2- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "francais" en langue .
-avant de cliquer sur le bouton "installer", décoches toutes les "options supplémentaires" sauf les 2 premières.


Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )



3- fais exactement ce qui suit :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...


0
Réponse 9 / 49
1Chrys1 Messages postés 37 Date d'inscription lundi 17 novembre 2008 Statut Membre Dernière intervention 31 mars 2009 1
17 nov. 2008 à 20:23
re :)
j'ai téléchargé combofix, mais la seule protection que je n'arrive pas à désactiver c'est windows defender. peux tu m'expliquer comment faire?
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 20:25
Windows defender ne devrait pas poser de prb ;)

Donc passes à la suite des opérations ...
0
Réponse 10 / 49
1Chrys1 Messages postés 37 Date d'inscription lundi 17 novembre 2008 Statut Membre Dernière intervention 31 mars 2009 1
17 nov. 2008 à 20:51
ok, j'ai fait tout ça, voici les rapports :
ComboFix 08-11-16.05 - Chrystelle 2008-11-17 20:28:43.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.1329 [GMT 1:00]
Lancé depuis: c:\users\Chrystelle\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ajntiw.dll
c:\windows\system32\uraxdpfv.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Boonty Games


((((((((((((((((((((((((((((( Fichiers créés du 2008-10-17 au 2008-11-17 ))))))))))))))))))))))))))))))))))))
.

2008-11-17 20:11 . 2008-11-17 20:11 <REP> d-------- c:\program files\CCleaner
2008-11-17 16:47 . 2008-11-17 16:47 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-17 16:47 . 2008-10-22 16:10 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys
2008-11-17 16:47 . 2008-10-22 16:10 15,504 --a------ c:\windows\System32\drivers\mbam.sys
2008-11-17 16:29 . 2008-11-17 16:29 <REP> d-------- C:\_OTMoveIt
2008-11-17 14:53 . 2008-11-17 14:53 <REP> d-------- c:\users\All Users\Adobe
2008-11-17 14:52 . 2008-11-17 14:53 <REP> d-------- c:\program files\Common Files\Adobe
2008-11-17 11:58 . 2008-11-17 12:01 <REP> d-------- C:\ToolBar SD
2008-11-14 09:53 . 2008-10-16 22:13 1,809,944 --a------ c:\windows\System32\wuaueng.dll
2008-11-14 09:53 . 2008-10-16 21:56 1,524,736 --a------ c:\windows\System32\wucltux.dll
2008-11-14 09:53 . 2008-10-16 22:09 51,224 --a------ c:\windows\System32\wuauclt.exe
2008-11-14 09:53 . 2008-10-16 22:09 43,544 --a------ c:\windows\System32\wups2.dll
2008-11-14 09:52 . 2008-10-16 22:12 561,688 --a------ c:\windows\System32\wuapi.dll
2008-11-14 09:52 . 2008-10-16 14:08 162,064 --a------ c:\windows\System32\wuwebv.dll
2008-11-14 09:52 . 2008-10-16 21:55 83,456 --a------ c:\windows\System32\wudriver.dll
2008-11-14 09:52 . 2008-10-16 22:08 34,328 --a------ c:\windows\System32\wups.dll
2008-11-14 09:52 . 2008-10-16 13:56 31,232 --a------ c:\windows\System32\wuapp.exe
2008-11-12 12:56 . 2008-11-12 12:56 2,560 --a------ c:\windows\_MSRSTRT.EXE
2008-11-12 12:16 . 2008-09-10 04:40 1,334,272 --a------ c:\windows\System32\msxml6.dll
2008-11-12 12:16 . 2008-09-05 06:14 1,191,936 --a------ c:\windows\System32\msxml3.dll
2008-11-12 12:16 . 2008-08-27 02:05 212,480 --a------ c:\windows\System32\drivers\mrxsmb10.sys
2008-11-01 10:42 . 1997-01-22 21:26 565,760 --a------ c:\windows\System32\MSVCP50.DLL
2008-10-29 08:23 . 2008-08-12 04:39 443,392 --a------ c:\windows\System32\win32spl.dll
2008-10-29 08:23 . 2008-09-18 05:56 147,456 --a------ c:\windows\System32\Faultrep.dll
2008-10-29 08:23 . 2008-09-18 05:56 125,952 --a------ c:\windows\System32\wersvc.dll
2008-10-22 19:47 . 2008-10-22 19:47 <REP> d-------- c:\users\Chrystelle\AppData\Roaming\PetShowCraze
2008-10-22 19:23 . 2008-11-13 21:20 <REP> d-------- c:\program files\Oberon Media
2008-10-21 11:09 . 2008-10-21 11:09 <REP> d-------- c:\users\Chrystelle\AppData\Roaming\GamesCafe
2008-10-19 17:50 . 2008-08-05 10:49 428,544 --a------ c:\windows\System32\EncDec.dll
2008-10-19 17:50 . 2008-08-05 10:49 293,376 --a------ c:\windows\System32\psisdecd.dll
2008-10-19 17:50 . 2008-08-05 10:48 217,088 --a------ c:\windows\System32\psisrndr.ax
2008-10-19 17:50 . 2008-08-05 10:48 177,664 --a------ c:\windows\System32\mpg2splt.ax
2008-10-19 17:50 . 2008-08-05 10:48 80,896 --a------ c:\windows\System32\MSNP.ax
2008-10-17 22:34 . 2008-10-17 22:35 <REP> d-------- c:\program files\Trivial Pursuit The 90s
2008-10-17 16:29 . 2008-10-17 16:29 <REP> d-------- c:\program files\eMule
2008-10-17 15:41 . 2008-10-17 15:45 <REP> d-------- c:\users\Chrystelle\lessims2
2008-10-17 14:52 . 2008-10-17 14:52 <REP> d-------- c:\users\Chrystelle\AppData\Roaming\Canneverbe_Limited
2008-10-17 14:52 . 2008-10-17 14:52 <REP> d-------- c:\program files\CDBurnerXP

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-17 19:17 --------- d-----w c:\programdata\Spybot - Search & Destroy
2008-11-15 13:15 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-14 18:51 --------- d-----w c:\programdata\iWin Games
2008-11-14 18:50 --------- d-----w c:\program files\PlayFirst
2008-11-14 18:50 --------- d-----w c:\program files\M6 Jeux
2008-11-14 18:49 --------- d---a-w c:\programdata\TEMP
2008-11-12 21:05 --------- d-----w c:\program files\Gamenext
2008-11-12 19:03 --------- d-----w c:\program files\MSN Games
2008-11-12 18:41 --------- d-----w c:\program files\iWin.com
2008-11-12 14:53 --------- d-----w c:\users\Chrystelle\AppData\Roaming\PlayFirst
2008-11-11 16:45 --------- d-----w c:\programdata\Arcade Lab
2008-11-11 10:17 --------- d-----w c:\programdata\PlayFirst
2008-11-07 13:22 --------- d-----w c:\program files\Hasbro Interactive
2008-10-31 12:41 --------- d-----w c:\program files\BoontyGames
2008-10-31 12:40 --------- d-----w c:\program files\GameHouse
2008-10-21 10:09 --------- d-----w c:\users\Chrystelle\AppData\Roaming\Zylom
2008-10-21 10:09 --------- d-----w c:\program files\Google
2008-10-17 15:29 --------- d-----w c:\programdata\eMule
2008-10-17 14:02 --------- d-----w c:\program files\EA GAMES
2008-10-17 06:58 --------- d-----w c:\program files\Windows Mail
2008-10-13 12:28 --------- d-----w c:\program files\Diner Dash Hometown Hero
2008-10-02 12:56 --------- d-----w c:\users\Chrystelle\AppData\Roaming\EleFun Games
2008-10-02 03:49 827,392 ----a-w c:\windows\System32\wininet.dll
2008-09-26 14:36 --------- d-----w c:\programdata\Avira
2008-09-26 14:36 --------- d-----w c:\program files\Avira
2008-09-26 12:34 --------- d-----w c:\users\Chrystelle\AppData\Roaming\Malwarebytes
2008-09-26 12:34 --------- d-----w c:\programdata\Malwarebytes
2008-09-26 12:09 --------- d-----w c:\program files\Messenger Plus! Live
2008-09-26 12:08 --------- d-----w c:\program files\RealArcade
2008-09-26 12:05 --------- d-----w c:\users\Chrystelle\AppData\Roaming\EoRezo
2008-09-26 12:05 --------- d-----w c:\program files\EoRezo
2008-09-25 11:39 --------- d-----w c:\programdata\GameHouse
2008-09-19 14:00 --------- d-----w c:\programdata\Sandlot Games
2008-09-18 05:09 3,601,464 ----a-w c:\windows\System32\ntkrnlpa.exe
2008-09-18 05:09 3,549,240 ----a-w c:\windows\System32\ntoskrnl.exe
2008-09-18 02:16 2,032,640 ----a-w c:\windows\System32\win32k.sys
2008-09-03 03:59 468,992 ----a-w c:\windows\System32\newdev.dll
2008-09-03 03:58 74,752 ----a-w c:\windows\System32\newdev.exe
2008-08-09 20:41 174 --sha-w c:\program files\desktop.ini
2008-05-25 07:04 774,144 ----a-w c:\program files\RngInterstitial.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-10-21 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

c:\users\Chrystelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
iWin Desktop Alerts.lnk - c:\programdata\iWin Games\DesktopAlerts\DesktopAlerts.exe [2008-11-12 108032]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-04-24 723760]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{62C87CF6-AB40-461A-B1D9-EB7F686285C7}"= c:\program files\CyberLink\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD
"{EA1D85B0-7100-4774-AE96-02FAEEFC3C2F}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{F22A33A6-2740-4DB4-B1FE-BB25F730BC44}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{7450935A-F628-402F-9D55-B79AF23D5199}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"TCP Query User{39BDCCD6-DDB4-4AF8-B03E-8FDC511E956F}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{97967C19-1905-4A3D-9E91-E18408C40EC5}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"{D37D75E9-A0C3-469B-90B9-5DD8EB3D5430}"= Disabled:UDP:c:\program files\IncrediMail\bin\ImApp.exe:IncrediMail
"{B6EE46FA-EB24-4E7C-B880-DA9537F9F737}"= Disabled:TCP:c:\program files\IncrediMail\bin\ImApp.exe:IncrediMail
"{9D7D544A-AEDA-4A76-962F-4ABED4A5638A}"= Disabled:UDP:c:\program files\IncrediMail\bin\IncMail.exe:IncrediMail
"{A8155774-1919-4666-9BB6-22A45D009277}"= Disabled:TCP:c:\program files\IncrediMail\bin\IncMail.exe:IncrediMail
"{138BAED4-39B4-432F-AB34-035BD850E8F9}"= Disabled:UDP:c:\program files\IncrediMail\bin\ImpCnt.exe:IncrediMail
"{4561E0A0-FF46-4292-9215-979482309501}"= Disabled:TCP:c:\program files\IncrediMail\bin\ImpCnt.exe:IncrediMail
"{8DD410F7-3CA2-4457-9E08-3B3ED6ABCD8B}"= UDP:c:\program files\Maxis\SimCity 3000 World Edition\Apps\sc3U.exe:SimCity 3000 World Edition
"{0169DA37-61BD-4C7E-BE03-8CFBA09B0DD5}"= TCP:c:\program files\Maxis\SimCity 3000 World Edition\Apps\sc3U.exe:SimCity 3000 World Edition
"TCP Query User{A7A11099-C9B8-401D-883D-D03823E09B13}c:\\users\\chrystelle\\downloads\\emule-0.49b-scarangel-v3.1-bin\\emule0.49b-scarangel_v3.1-bin\\emule.exe"= UDP:c:\users\chrystelle\downloads\emule-0.49b-scarangel-v3.1-bin\emule0.49b-scarangel_v3.1-bin\emule.exe:emule.exe
"UDP Query User{A01423F2-46AD-44F2-9728-029082AA63B9}c:\\users\\chrystelle\\downloads\\emule-0.49b-scarangel-v3.1-bin\\emule0.49b-scarangel_v3.1-bin\\emule.exe"= TCP:c:\users\chrystelle\downloads\emule-0.49b-scarangel-v3.1-bin\emule0.49b-scarangel_v3.1-bin\emule.exe:emule.exe
"{DD022D83-945A-4E81-8F4D-B05CCBECEEE1}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"= c:\program files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

R0 AtiPcie;ATI PCI Express (3GIO) Filter;c:\windows\system32\DRIVERS\AtiPcie.sys [2007-08-21 7680]
R2 BcmSqlStartupSvc;Service de démarrage SQL Server pour le Gestionnaire de contacts professionnels;"c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe" [2008-01-16 30312]
R2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\system32\DRIVERS\kmdfmemio.sys [2007-08-21 13312]
R3 atikmdag;atikmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2007-08-21 2601472]
S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);"c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ [2008-02-26 29183504]
S3 NETw2v32;Intel(R) PRO/Wireless 2915ABG Network Connection Driver for Windows Vista;c:\windows\system32\DRIVERS\NETw2v32.sys [2006-11-02 2589184]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2008-03-22 28224]
S3 PCASp50;PCASp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCASp50.sys [2008-03-22 27072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8f443812-6445-11dd-8f1e-0013776728c9}]
\shell\AutoRun\command - F:\svdioajm.cmd
\shell\explore\Command - F:\svdioajm.cmd
\shell\open\Command - F:\svdioajm.cmd
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{0529BFF2-4D65-4196-881C-5E9F79FFE6EB} - (no file)
BHO-{24953AF7-411D-4087-BE5F-8192F2092011} - (no file)
BHO-{4802200E-E766-4D70-893B-48EBC2EA7D66} - (no file)
BHO-{7C4A50D7-30D6-4012-9E2F-A9F81626B1D5} - (no file)
BHO-{89710258-6249-4C0A-AA7C-F330EBEBB7D9} - (no file)
BHO-{AB5D3DEF-04CA-4394-A07B-05B62A86ACDF} - (no file)
BHO-{BAA7AF1C-EFD6-427A-BF72-0F51FF4E2835} - (no file)
BHO-{DADECF2B-59D1-467B-9421-FA968DD05A6D} - (no file)
BHO-{DE67C32A-82BB-4B28-A509-B1CEDB95167E} - (no file)
BHO-{E94D97D5-8A72-41C8-BD23-F09B9A28DB29} - (no file)
BHO-{EA5DD77E-699B-46DB-A644-4E3E340D5263} - (no file)
BHO-{EBC830FF-6E75-450A-A7FD-6550CE329112} - (no file)
BHO-{EEB4AF75-D2F9-413A-83C0-ED30F25B5E78} - (no file)


.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\users\Chrystelle\AppData\Roaming\Mozilla\Firefox\Profiles\abo7g0r1.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/
FF -: plugin - c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\npracplug.dll
FF -: plugin - c:\program files\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF -: plugin - c:\users\Chrystelle\AppData\Roaming\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-17 20:34:13
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


c:\users\Chrystelle\AppData\Local\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1239 bytes hidden from API

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\Ati2evxx.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
c:\program files\Samsung\Samsung Recovery Solution II\WCScheduler.exe
c:\windows\System32\agrsmsvc.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\[u]0/u\FTRTSVC.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\System32\conime.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
c:\windows\System32\dllhost.exe
.
**************************************************************************
.
Heure de fin: 2008-11-17 20:41:34 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-17 19:41:28

Avant-CF: 8 489 603 072 octets libres
Après-CF: 8,095,809,536 octets libres

216 --- E O F --- 2008-11-13 08:51:52


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:48:13, on 17/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe
C:\Windows\system32\conime.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\ProgramData\iWin Games\DesktopAlerts\DesktopAlerts.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Windows\Explorer.exe
C:\Windows\system32\notepad.exe
C:\Windows\System32\notepad.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Users\Chrystelle\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: iWin Desktop Alerts.lnk = C:\ProgramData\iWin Games\DesktopAlerts\DesktopAlerts.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O15 - Trusted Zone: https://fr.bitefight.gameforge.com/game
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Sally's%20Spa/Images/stg_drm.ocx
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Delicious%202/Images/armhelper.ocx
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
0
Réponse 11 / 49
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 21:50
Bien ... encore une nouvelle bestiole de découverte ...


1- refais un coup de CCleaner (registre compris )


2- Télécharges UsbFix ( de Chiquitine29 et Chimay8 ) sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

! Déconnectes toi d'internet et fermes toutes applications en cours !

--> Double-cliques sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

Impératif :
Branches toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés, ainsi que les CD et DVD rom dont tu te serts éventuellement le plus souvent ( mais sans les ouvrir ! ) .


--> Double-cliques sur le raccourci "UsbFix" qui est sur ton bureau pour lancer l'outil :

* Tapes sur 1 ( option " nettoyage " ) puis sur [entrée] et suis les instructions ...

--> Le pc va redémarrer ... laisses travailler l'outil et ne touches à rien ...
( Note : pour les unités externes non utlisées, cliques sur "continuer" lors du message d'avertissement )


--> Une fois de retour à ton bureau , attends le message de fin du nettoyage ,
puis appuies sur une touche pour que le rapport "UsbFix.txt" s'affiche .

Fais un copier/coller de son contenu dans ta prochaine réponse pour analyse et attends la suite ....

( Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt )


PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .
0
Réponse 12 / 49
1Chrys1 Messages postés 37 Date d'inscription lundi 17 novembre 2008 Statut Membre Dernière intervention 31 mars 2009 1
18 nov. 2008 à 16:43
Bonjour, voici le rapport de usbfix :


-------------- UsbFix V2.408 ---------------

* User : Chrystelle - PC-DE-CHRYS
* Outils mis a jours le 16/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 16:38:26 le 18/11/2008
* Windows Vista - Internet Explorer 7.0.6001.18000


--------------- [ Processus actifs ] ----------------


C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\Windows\system32\svchost.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Samsung Recovery Solution II\WCScheduler.exe
C:\Users\CHRYST~1\AppData\Local\Temp\64BA.tmp\b2e.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\ProgramData\iWin Games\DesktopAlerts\DesktopAlerts.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\conime.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\WUDFHost.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe
D: - Lecteur fixe
E: - Lecteur de CD-ROM
F: - Lecteur amovible
G: - Lecteur amovible
H: - Lecteur amovible

+- Contenu de l'autorun : E:\autorun.inf



--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe

+- Listing des fichiers présents :

[18/09/2006 22:43][--a------] C:\autoexec.bat
[09/08/2008 21:02][--a------] C:\cleannavi.txt
[09/08/2008 21:02][--a------] C:\ComboFix.txt
[09/08/2008 21:02][--a------] C:\ExtractLog.txt
[09/08/2008 21:02][--a------] C:\fixnavi.txt
[09/08/2008 21:02][--a------] C:\TB.txt
[09/08/2008 21:02][--a------] C:\UsbFix.txt
[18/09/2006 22:43][--a------] C:\config.sys
[18/09/2006 22:43][--a------] C:\hiberfil.sys
[18/09/2006 22:43][--a------] C:\IO.SYS
[18/09/2006 22:43][--a------] C:\MSDOS.SYS
[18/09/2006 22:43][--a------] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur fixe

+- Listing des fichiers présents :


--------------- [ Lecteur E ] ----------------

E: - Lecteur de CD-ROM

+- Listing des fichiers présents :

[26/07/2008 15:45][-ra------] E:\AutoRun.exe
[26/07/2008 15:45][-ra------] E:\Sims2EP8_Uninst.exe
[26/07/2008 15:45][-ra------] E:\eauninstall.exe
[26/07/2008 15:44][-ra------] E:\autorun.inf
[26/07/2008 15:44][-ra------] E:\common_filelist.txt

--------------- [ Lecteur F ] ----------------

F: - Lecteur amovible

+- Listing des fichiers présents :


--------------- [ Lecteur G ] ----------------

G: - Lecteur amovible

+- Listing des fichiers présents :

[15/10/2008 13:05][--a------] G:\Tous les s‚rie (serial) des SIMS 2 _Nuits de folie_Bonne_Affaire_Glamour Kit_Fun en famille_Animaux et Cie_Bon Voyage_H&M Fashion Kit_kitchen & bath.txt

--------------- [ Lecteur H ] ----------------

H: - Lecteur amovible

+- Listing des fichiers présents :


--------------- [ Registre / Startup ] ----------------


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Sidebar REG_SZ C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe
swg REG_SZ C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe


--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7c4387cb-b997-11dc-989a-806e6f6e6963}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8f443812-6445-11dd-8f1e-0013776728c9}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8f443812-6445-11dd-8f1e-0013776728c9}\Shell\explore\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8f443812-6445-11dd-8f1e-0013776728c9}\Shell\open\Command

--------------- [ Nettoyage des disques ] ----------------

Echec de la supression !! - [26/07/2008 15:44] E:\autorun.inf
Echec de la supression !! - [26/07/2008 15:45] E:\autorun.exe
Echec de la supression !! - [26/07/2008 15:44] E:\autorun.inf
Echec de la supression !! - [26/07/2008 15:37] E:\AutoRun
Echec de la supression !! - [26/07/2008 15:44] E:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[18/09/2006 22:43][--a------] C:\autoexec.bat
[26/07/2008 15:45][-ra------] E:\AutoRun.exe
[26/07/2008 15:45][-ra------] E:\Sims2EP8_Uninst.exe
[26/07/2008 15:45][-ra------] E:\eauninstall.exe
[26/07/2008 15:44][-ra------] E:\autorun.inf

--------------- ! Fin du rapport ! ----------------

Est ce bon comme résultat?
Cordialement
Chrys
0
Réponse 13 / 49
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 nov. 2008 à 16:51
Salut,

très bien ... Dis moi comment va le PC maintenant ... du mieux ?



puis fais ceci dans l'ordre :

1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Cliques droit sur le prg et choisis "éxécuter en tant que Administrateur"

*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( gardes CCleaner et Malwarebytes : très utiles ! )


2- Refais un coup de CCleaner ( registre compris ) .


3- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharges et installes le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )


4- Purge de la restauration système
-->Désactives ta restauration :
Dans démarrer, cliques droit sur ordinateur/propriétés/protection du système : décoches la case devant ton disk dur maitre ( pour toi -> C ) , valides, appliques et OK
Redémarres ton PC
-->Réactives ta restauration :
Cliques droit sur ordinateur/propriétés/protection du système : coches la case devant ton disk dur maitre , valides, appliques et OK
Redémarres ton PC
( tuto : http://www.commentcamarche.net/faq/sujet 13214 desactiver reactiver la restauration systeme de vista )


5- on va utiliser ton anti-virus :

mets AntiVir à jour si besoin .

Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/


Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert click sur configuration et coches la case "expert mode" .
*Puis click sur configuration en haut a droite; dans la nouvelle fenetre à gauche ->scanner -> coches "scan all files" et en dessous ->scanner priority = High
*coches : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
*puis sur la droite, coches les cases suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search for rootkit before scan
et décoches :
ignore off line files
*toujours a gauche -> scan -> deploie -> heuristique -> macrovirus heuristic = coché et en dessous -> win32 heuristic la case cochée et high detection level aussi ...

---> cliques sur "OK" pour valider le réglage ...
****************************************

Une fois fait ,
Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Lances un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...
Redémarres ton PC et postes moi le rapport obtenu ... Aides toi bien du tuto ;)

0
Réponse 14 / 49
1Chrys1 Messages postés 37 Date d'inscription lundi 17 novembre 2008 Statut Membre Dernière intervention 31 mars 2009 1
18 nov. 2008 à 16:58
ok, je fais tout ça et j'envoie les rapports, déjà il semble que l'infection antispywarealert soit partie, je n'ai plus eu ça depuis un bon moment :)
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 nov. 2008 à 17:20
Je pense qu'on touche au but au niveau de la désinfection ... ensuite il restera la finalisation ... ;)

A tout' avec les résultats demandés ...
0
Réponse 15 / 49
1Chrys1 Messages postés 37 Date d'inscription lundi 17 novembre 2008 Statut Membre Dernière intervention 31 mars 2009 1
18 nov. 2008 à 18:27
re, voici les rapports, toolscleaner en premier suivi du scan d'avira :

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\fixnavi.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\TB.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Toolbar SD: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\UsbFix\UsbFix.exe: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\UsbFix: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix\UsbFix.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\UsbFix: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\UsbFix\UsbFix.lnk: trouvé !
C:\Users\Chrystelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\UsbFix: trouvé !
C:\Users\Chrystelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\Users\Chrystelle\Desktop\ComboFix.exe: trouvé !
C:\Users\Chrystelle\Desktop\ToolBarSD.exe: trouvé !
C:\Users\Chrystelle\Desktop\UsbFix.exe: trouvé !
C:\Users\Chrystelle\Desktop\UsbFix.lnk: trouvé !
C:\Users\Chrystelle\Desktop\OTMoveIt3.exe: trouvé !
C:\Users\Chrystelle\Downloads\HijackThis.exe: trouvé !
C:\Users\Chrystelle\Downloads\hijackthis.log: trouvé !

---------------------------------
-->- Suppression:

C:\Users\Chrystelle\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Users\Chrystelle\Desktop\ToolBarSD.exe: supprimé !
C:\Users\Chrystelle\Downloads\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\fixnavi.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\TB.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files\UsbFix\UsbFix.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix\UsbFix.lnk: supprimé !
C:\Users\Chrystelle\Desktop\UsbFix.exe: supprimé !
C:\Users\Chrystelle\Desktop\UsbFix.lnk: supprimé !
C:\Users\Chrystelle\Desktop\OTMoveIt3.exe: supprimé !
C:\Users\Chrystelle\Downloads\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Toolbar SD: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\UsbFix: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\UsbFix: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix: supprimé !
C:\Users\Chrystelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\UsbFix: ERREUR DE SUPPRESSION !!
C:\Users\Chrystelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UsbFix: supprimé !



Avira AntiVir Personal
Report file date: mardi 18 novembre 2008 17:28

Scanning for 1040492 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows Vista
Windows version: (Service Pack 1) [6.0.6001]
Boot mode: Save mode
Username: Chrystelle
Computer name: PC-DE-CHRYS

Version information:
BUILD.DAT : 8.2.0.336 16933 Bytes 30/10/2008 11:40:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 08:57:53
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 07:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 07:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 14:46:22
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09/11/2008 14:46:26
ANTIVIR2.VDF : 7.1.0.89 221184 Bytes 16/11/2008 14:42:08
ANTIVIR3.VDF : 7.1.0.104 80384 Bytes 18/11/2008 16:22:48
Engineversion : 8.2.0.31
AEVDF.DLL : 8.1.0.6 102772 Bytes 16/10/2008 17:10:22
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 12/11/2008 14:42:01
AESCN.DLL : 8.1.1.5 123251 Bytes 11/11/2008 14:46:44
AERDL.DLL : 8.1.1.3 438645 Bytes 11/11/2008 14:46:43
AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 14:46:41
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 11/11/2008 14:46:39
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 11/11/2008 14:46:38
AEHELP.DLL : 8.1.1.3 119157 Bytes 11/11/2008 14:46:32
AEGEN.DLL : 8.1.1.0 319859 Bytes 11/11/2008 14:46:31
AEEMU.DLL : 8.1.0.9 393588 Bytes 16/10/2008 17:10:12
AECORE.DLL : 8.1.4.1 172405 Bytes 11/11/2008 14:46:29
AEBB.DLL : 8.1.0.3 53618 Bytes 16/10/2008 17:10:09
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 26/09/2008 14:51:45
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 13:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 13:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: mardi 18 novembre 2008 17:28

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsm.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'wininit.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
17 processes with 17 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
Master boot sector HD2
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '49' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Program Files\PlayFirst\Dress Up Rush\Dress_Up_Rush.exe
[DETECTION] Contains HEUR/Malware suspicious code
[NOTE] The detection was classified as suspicious.
[NOTE] The file was moved to '4987f09b.qua'!
C:\Program Files\PlayFirst\Dress Up Rush\game\Dress_Up_Rush.exe
[DETECTION] Contains HEUR/Malware suspicious code
[NOTE] The detection was classified as suspicious.
[NOTE] The file was moved to '4987f0a3.qua'!
C:\Users\Chrystelle\Downloads\eMule\Incoming\is168890.exe
[DETECTION] Contains HEUR/Crypted suspicious code
[NOTE] The detection was classified as suspicious.
[NOTE] The file was moved to '4953f359.qua'!
Begin scan in 'D:\'


End of the scan: mardi 18 novembre 2008 18:14
Used time: 46:18 Minute(s)

The scan has been done completely.

25119 Scanning directories
304922 Files were scanned
0 viruses and/or unwanted programs were found
3 Files were classified as suspicious:
0 files were deleted
0 files were repaired
3 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
304918 Files not concerned
1517 Archives were scanned
1 Warnings
3 Notes
0
Réponse 16 / 49
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 nov. 2008 à 18:44
très bien ...


Supprimes tout ce qui se trouve dans la quarantaine d' AntiVir .


fais ce scan en ligne pour une dernière vérif ... si celui-ci s'avère clean , on pourra finaliser ...

Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :

https://www.bitdefender.fr/

* Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte .
La fenêtre change encore, clique sur scanner .
Les signatures se chargent, etc ...

* pour le rapport : cliques sur l'onglet "plus de détailles" . A la fin du scan, cliques sur " problème détectés " .
-> juste au dessus à droite de la fenêtre des résultats , tu as " cliquer ici pour exporter le rapport " .
->Cliques dessus et choisis d'enregistrer le rapport sur ton bureau .


--> Ouvres le document html que tu viens de sauvegarder ( le rapport ),
fais un copier/coller de tout son contenu et postes le dans ta prochaine réponse ...


Rappel : le scan en ligne ne fonctionne que sous Internet Exploreur ! ( et pas sur FireFox ou autres navigateurs )

Tutoriel en images ici :
http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation)
Et ici : http://www.commentcamarche.net/faq/sujet 8872 scanner en ligne avec bitdefender


0
Réponse 17 / 49
1Chrys1 Messages postés 37 Date d'inscription lundi 17 novembre 2008 Statut Membre Dernière intervention 31 mars 2009 1
18 nov. 2008 à 20:00
salut,
j'essaye depuis un bon moment, et à plusieurs reprises de faire le scan bitdefender sous internet explorer, j'ai installé le controle activex, le moteur se charge, mais il plante toujours sur les signatures, et sans elles j'ai essayé de lancer l'analyse, il me dit impossible d'analyser les fichiers du pc. tu as une idée de ce qui en va pas?
0
Réponse 18 / 49
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 nov. 2008 à 20:04
laisses tomber ... essayes avec cet autre scan en ligne :

Fais un scan en ligne avec " Panda " :

https://www.pandasecurity.com/?ref=www.pandasoftware.com/products/activescan

tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368


postes moi le rapport obtenu pour analyse ...
0
Réponse 19 / 49
1Chrys1 Messages postés 37 Date d'inscription lundi 17 novembre 2008 Statut Membre Dernière intervention 31 mars 2009 1
18 nov. 2008 à 22:15
salut, voici le rapport de panda :
;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-11-18 22:12:17
PROTECTIONS: 1
MALWARE: 9
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Windows Defender 1.1.4104.0 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Users\Chrystelle\AppData\Roaming\Microsoft\Windows\Cookies\chrystelle@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Users\Chrystelle\AppData\Roaming\Microsoft\Windows\Cookies\chrystelle@bs.serving-sys[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Users\Chrystelle\AppData\Roaming\Microsoft\Windows\Cookies\chrystelle@weborama[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Users\Chrystelle\AppData\Roaming\Microsoft\Windows\Cookies\chrystelle@smartadserver[1].txt
00521370 Spyware/Iehelp Spyware No 1 No No C:\Users\Chrystelle\Downloads\farm-mania-setup.exe[iWinGamesHookIE.dll]
00521370 Spyware/Iehelp Spyware No 1 No No C:\Users\Chrystelle\Downloads\diner-dash-flo-through-time-setup.exe[iWinGamesHookIE.dll]
00521370 Spyware/Iehelp Spyware No 1 No No C:\Users\Chrystelle\Downloads\alice-greenfingers-2-setup.exe[iWinGamesHookIE.dll]
01185375 Application/Psexec.A HackTools No 0 Yes No C:\Windows\PSEXESVC.EXE
02893775 Spyware/Iehelp Spyware No 1 Yes No C:\ProgramData\iWin Games\firefox\iWinArcadeLauncher.exe
02893775 Spyware/Iehelp Spyware No 1 No No C:\Users\Chrystelle\Downloads\farm-mania-setup.exe[iWinArcadeLauncher.exe]
02893775 Spyware/Iehelp Spyware No 1 No No C:\Users\Chrystelle\Downloads\alice-greenfingers-2-setup.exe[iWinArcadeLauncher.exe]
02893775 Spyware/Iehelp Spyware No 1 No No C:\Users\Chrystelle\Downloads\diner-dash-flo-through-time-setup.exe[iWinArcadeLauncher.exe]
02990320 Application/BoontyGames HackTools No 0 Yes No C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
03310023 Trj/Trymedia.gen Virus/Trojan No 0 Yes No C:\Users\Chrystelle\Downloads\ClueClassic-dm.exe
03310023 Trj/Trymedia.gen Virus/Trojan No 0 Yes No C:\Users\Chrystelle\Downloads\DeliciousEmilysTeaGarden-dm.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location O�~��[
s5
;===================================================================================================================================================================================
No C:\Program Files\Trivial Pursuit The 90s\trivialpursuitnineties.dll O�~��[
s5
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description O�~��[
s5
;===================================================================================================================================================================================
;===================================================================================================================================================================================
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 nov. 2008 à 22:33
Bien .... fais ceci pour voir approfondir cette analyse :


Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\Windows\PSEXESVC.EXE

Cliques sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
C:\Users\Chrystelle\Downloads\farm-mania-setup.exe
C:\Users\Chrystelle\Downloads\diner-dash-flo-through-time-se­tup.exe
C:\Users\Chrystelle\Downloads\alice-greenfingers-2-setup.exe­
C:\ProgramData\iWin Games\firefox\iWinArcadeLauncher.exe
C:\Users\Chrystelle\Downloads\ClueClassic-dm.exe


postes moi donc ces 6 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...



0
Réponse 20 / 49
1Chrys1 Messages postés 37 Date d'inscription lundi 17 novembre 2008 Statut Membre Dernière intervention 31 mars 2009 1
19 nov. 2008 à 14:17
salut, voilà les apports de totalvirus sur les six fichiers :

Fichier PSEXESVC.EXE reçu le 2008.11.18 22:36:55 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/36 (13.89%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 46 et 66 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de

récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et

cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.2 2008.11.18 -
AntiVir 7.9.0.31 2008.11.18 APPL/PsExec.E
Authentium 5.1.0.4 2008.11.18 -
Avast 4.8.1281.0 2008.11.18 -
AVG 8.0.0.199 2008.11.18 -
BitDefender 7.2 2008.11.18 -
CAT-QuickHeal 10.00 2008.11.18 -
ClamAV 0.94.1 2008.11.18 -
DrWeb 4.44.0.09170 2008.11.18 -
eSafe 7.0.17.0 2008.11.18 -
eTrust-Vet 31.6.6214 2008.11.18 -
Ewido 4.0 2008.11.18 -
F-Prot 4.4.4.56 2008.11.18 -
F-Secure 8.0.14332.0 2008.11.18 -
Fortinet 3.117.0.0 2008.11.18 -
GData 19 2008.11.18 -
Ikarus T3.1.1.45.0 2008.11.18 -
K7AntiVirus 7.10.527 2008.11.18 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2008.11.18 -
McAfee 5438 2008.11.18 -
Microsoft 1.4104 2008.11.17 -
NOD32 3623 2008.11.18 -
Norman 5.80.02 2008.11.18 -
Panda 9.0.0.4 2008.11.18 Application/Psexec.A
PCTools 4.4.2.0 2008.11.18 -
Prevx1 V2 2008.11.18 -
Rising 21.04.12.00 2008.11.18 -
SecureWeb-Gateway 6.7.6 2008.11.18 Riskware.PsExec.E
Sophos 4.35.0 2008.11.18 -
Sunbelt 3.1.1801.2 2008.11.14 -
Symantec 10 2008.11.18 -
TheHacker 6.3.1.1.157 2008.11.18 Adware/PsExec
TrendMicro 8.700.0.1004 2008.11.18 -
VBA32 3.12.8.9 2008.11.18 -
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.18 -
Information additionnelle
File size: 53248 bytes
MD5...: 34567437e1881533d582028e95456fbc
SHA1..: 6abfeb0dc2b4f60126a2b3355b1c9d8efbfa5f23
SHA256: 4fca6538c22d5d9a19302cdd19fdaa10a9cf6f389dabc842c9a2530598e30743
SHA512: ed806df335e29eaf48eb54ea6eb2cfb7dc02bf9cd3529238cc006ef1abde06e0
ec0095cb6d48b375be330243b69b93ab617646d45aa128cadc839dee019eb380
PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4035f0
timedatestamp.....: 0x43ea5536 (Wed Feb 08 20:31:50 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6f82 0x7000 6.58 795e895b87146c8b28fa69cea3c0b84e
.rdata 0x8000 0x1446 0x2000 3.94 c0ea42e1ee7d9dae25de550a83cd69ab
.data 0xa000 0x2f04 0x2000 2.35 77598b9654c4de17cb7bc594dda8c374
.rsrc 0xd000 0x3e8 0x1000 1.02 40f8672c462e53485935e9788416b0d2

( 5 imports )
> USERENV.dll: CreateEnvironmentBlock, DestroyEnvironmentBlock, UnloadUserProfile, LoadUserProfileW
> KERNEL32.dll: HeapFree, HeapAlloc, GetProcessHeap, SetProcessAffinityMask, GetProcAddress, LoadLibraryW, GetCurrentThread,

GetExitCodeProcess, InterlockedDecrement, FlushFileBuffers, DisconnectNamedPipe, CreateNamedPipeW, OutputDebugStringA,

ReadFile, InterlockedIncrement, SetHandleInformation, lstrlenW, SetThreadPriority, SetConsoleCtrlHandler, GetCommandLineW,

FormatMessageW, SetStdHandle, SetFilePointer, GetEnvironmentStringsW, GetEnvironmentStrings, WideCharToMultiByte,

FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetModuleFileNameA, ConnectNamedPipe, SetEvent, GetModuleFileNameW,

GetVersion, GetCurrentProcess, MultiByteToWideChar, WaitForSingleObject, GetStdHandle, WriteFile, LocalFree, CloseHandle,

Sleep, SetLastError, GetLastError, LCMapStringA, LCMapStringW, GetCPInfo, GetACP, GetOEMCP, LoadLibraryA, GetStringTypeA,

GetStringTypeW, CreateEventW, UnhandledExceptionFilter, TlsGetValue, EnterCriticalSection, LeaveCriticalSection,

CreateThread, GetCurrentThreadId, TlsSetValue, ExitThread, RtlUnwind, ExitProcess, TerminateProcess, ResumeThread,

GetCommandLineA, HeapDestroy, HeapCreate, VirtualFree, InitializeCriticalSection, DeleteCriticalSection, VirtualAlloc,

HeapReAlloc, SetHandleCount, GetFileType, GetStartupInfoA, TlsAlloc
> USER32.dll: CloseWindowStation, GetUserObjectSecurity, SetUserObjectSecurity, CloseDesktop, OpenDesktopW,

SetProcessWindowStation, OpenWindowStationW, GetProcessWindowStation
> ADVAPI32.dll: RegisterEventSourceW, ReportEventW, DeregisterEventSource, SetServiceStatus, RegisterServiceCtrlHandlerW,

StartServiceCtrlDispatcherW, LogonUserW, ImpersonateNamedPipeClient, OpenThreadToken, RevertToSelf, DuplicateTokenEx,

LookupAccountSidW, CreateProcessAsUserW, SetEntriesInAclW, AddAccessAllowedAce, InitializeSecurityDescriptor,

GetSecurityDescriptorDacl, GetAclInformation, InitializeAcl, GetAce, AddAce, EqualSid, SetSecurityDescriptorDacl,

GetLengthSid, CopySid, OpenProcessToken, DeleteService, ControlService, OpenSCManagerW, OpenServiceW, QueryServiceStatus,

CreateServiceW, CloseServiceHandle, AllocateAndInitializeSid, GetTokenInformation, FreeSid, LsaOpenPolicy,

LsaEnumerateAccountRights, LsaClose, LookupPrivilegeValueW, LsaFreeMemory
> SHELL32.dll: CommandLineToArgvW

( 0 exports )



Fichier farm-mania-setup.exe reçu le 2008.11.18 22:45:22 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 13/36 (36.12%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de

récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et

cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.2 2008.11.18 -
AntiVir 7.9.0.31 2008.11.18 -
Authentium 5.1.0.4 2008.11.18 -
Avast 4.8.1281.0 2008.11.18 -
AVG 8.0.0.199 2008.11.18 -
BitDefender 7.2 2008.11.18 Adware.BHO
CAT-QuickHeal 10.00 2008.11.18 -
ClamAV 0.94.1 2008.11.18 Adware.Admedia
DrWeb 4.44.0.09170 2008.11.18 -
eSafe 7.0.17.0 2008.11.18 Suspicious File
eTrust-Vet 31.6.6214 2008.11.18 -
Ewido 4.0 2008.11.18 -
F-Prot 4.4.4.56 2008.11.18 -
F-Secure 8.0.14332.0 2008.11.18 AdWare.Win32.AdMedia.g
Fortinet 3.117.0.0 2008.11.18 Adware/AdMedia
GData 19 2008.11.18 Adware.BHO
Ikarus T3.1.1.45.0 2008.11.18 not-a-virus:AdWare.Win32.AdMedia.g
K7AntiVirus 7.10.527 2008.11.18 -
Kaspersky 7.0.0.125 2008.11.18 not-a-virus:AdWare.Win32.AdMedia.g
McAfee 5438 2008.11.18 -
Microsoft 1.4104 2008.11.17 -
NOD32 3623 2008.11.18 -
Norman 5.80.02 2008.11.18 -
Panda 9.0.0.4 2008.11.18 -
PCTools 4.4.2.0 2008.11.18 -
Prevx1 V2 2008.11.18 -
Rising 21.04.12.00 2008.11.18 Adware.Win32.Agent.l
SecureWeb-Gateway 6.7.6 2008.11.18 -
Sophos 4.35.0 2008.11.18 AdMedia
Sunbelt 3.1.1801.2 2008.11.14 -
Symantec 10 2008.11.18 -
TheHacker 6.3.1.1.157 2008.11.18 -
TrendMicro 8.700.0.1004 2008.11.18 PAK_Generic.001
VBA32 3.12.8.9 2008.11.18 Signed-AdWare.Win32.AdMedia.g
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.18 Adware.AdMedia.I
Information additionnelle
File size: 3621752 bytes
MD5...: d4d97b6b373cdc5de7083272e680e67b
SHA1..: aaabdd642136e70dbe8bf9d166105f2f97fbf6fd
SHA256: 5aba0f2bb4ecaefc749b4e7307703efa00f8381d2f48b33d136bdbc59eccffa8
SHA512: 7ae80026e2ff709d583b75d5f394572c8949b198f9ab34232b41e316e19f14c4
ccc66ecec1b4bb6d211d2c9ea72cc55c0d929a6919db64b3205505f7c3faced9
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4030b4
timedatestamp.....: 0x4878f227 (Sat Jul 12 18:04:23 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x57ec 0x5800 6.48 a06acff3c3236138ef0c89710413f34c
.rdata 0x7000 0x1190 0x1200 5.18 0f7b157b78f399340e80aa07581634eb
.data 0x9000 0x1af58 0x400 4.59 17047dc18ec7b67a9dd51dc161e64f03
.ndata 0x24000 0xa000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x2e000 0x57e0 0x5800 5.27 7bcbceb245bb06ef7768bc7eb4bfffed

( 8 imports )
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA,

GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, GetFileSize, GetModuleFileNameA,

GetCurrentProcess, CopyFileA, ExitProcess, GetWindowsDirectoryA, SetFileTime, GetCommandLineA, SetErrorMode, LoadLibraryA,

lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA,

GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA,

ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA,

LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA,

WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetTempPathA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled,

SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA,

CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu,

AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA,

DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage,

SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA,

DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC,

EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint,

ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor,

SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA,

SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA,

RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact, PE_Patch.PECompact, PecBundle, PECompact, PE_Patch.PECompact,

PecBundle, PECompact, PE_Patch.PECompact, PecBundle, PECompact, WiseSFXDropper




Fichier diner-dash-flo-through-time-setup reçu le 2008.11.18 23:05:01 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 12/34 (35.3%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 38 et 55 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de

récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et

cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.2 2008.11.18 -
AntiVir 7.9.0.31 2008.11.18 -
Authentium 5.1.0.4 2008.11.18 -
Avast 4.8.1281.0 2008.11.18 -
AVG 8.0.0.199 2008.11.18 -
BitDefender 7.2 2008.11.18 Adware.BHO
CAT-QuickHeal 10.00 2008.11.18 -
ClamAV 0.94.1 2008.11.18 Adware.Admedia
DrWeb 4.44.0.09170 2008.11.18 -
eSafe 7.0.17.0 2008.11.18 Suspicious File
eTrust-Vet 31.6.6214 2008.11.18 -
Ewido 4.0 2008.11.18 -
F-Prot 4.4.4.56 2008.11.18 -
Fortinet 3.117.0.0 2008.11.18 Adware/AdMedia
GData 19 2008.11.18 Adware.BHO
Ikarus T3.1.1.45.0 2008.11.18 not-a-virus:AdWare.Win32.AdMedia.g
K7AntiVirus 7.10.527 2008.11.18 -
Kaspersky 7.0.0.125 2008.11.18 not-a-virus:AdWare.Win32.AdMedia.g
McAfee 5438 2008.11.18 -
Microsoft 1.4104 2008.11.18 -
NOD32 3623 2008.11.18 -
Norman 5.80.02 2008.11.18 -
Panda 9.0.0.4 2008.11.18 -
PCTools 4.4.2.0 2008.11.18 -
Rising 21.04.12.00 2008.11.18 Adware.Win32.Agent.l
SecureWeb-Gateway 6.7.6 2008.11.18 -
Sophos 4.35.0 2008.11.18 AdMedia
Sunbelt 3.1.1801.2 2008.11.14 -
Symantec 10 2008.11.18 -
TheHacker 6.3.1.1.157 2008.11.18 -
TrendMicro 8.700.0.1004 2008.11.18 PAK_Generic.001
VBA32 3.12.8.9 2008.11.18 Signed-AdWare.Win32.AdMedia.g
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.18 Adware.AdMedia.I
Information additionnelle
File size: 3621792 bytes
MD5...: 0605dcff46cb41b3fb02e05151e37e05
SHA1..: d57845b6b773483401db6118103a184a855db548
SHA256: 956efe8dda6d7f12f643f9907f0dff54a45fef1bf73fb05bba9e9ca0de3194db
SHA512: ba66a8830c4973859ba4cb807d049116fd182c446bab9353bf7b73fe254bf308
35b95f240bddf885b6baa255a2a831b0126f2d76c58d2f9ff55f8f092687adfd
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4030b4
timedatestamp.....: 0x4878f227 (Sat Jul 12 18:04:23 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x57ec 0x5800 6.48 a06acff3c3236138ef0c89710413f34c
.rdata 0x7000 0x1190 0x1200 5.18 0f7b157b78f399340e80aa07581634eb
.data 0x9000 0x1af58 0x400 4.59 17047dc18ec7b67a9dd51dc161e64f03
.ndata 0x24000 0xa000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x2e000 0x57e0 0x5800 5.27 7bcbceb245bb06ef7768bc7eb4bfffed

( 8 imports )
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA,

GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, GetFileSize, GetModuleFileNameA,

GetCurrentProcess, CopyFileA, ExitProcess, GetWindowsDirectoryA, SetFileTime, GetCommandLineA, SetErrorMode, LoadLibraryA,

lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA,

GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA,

ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA,

LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA,

WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetTempPathA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled,

SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA,

CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu,

AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA,

DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage,

SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA,

DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC,

EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint,

ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor,

SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA,

SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA,

RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact, PE_Patch.PECompact, PecBundle, PECompact, PE_Patch.PECompact,

PecBundle, PECompact, PE_Patch.PECompact, PecBundle, PECompact, WiseSFXDropper

Fichier iWinArcadeLauncher.exe reçu le 2008.11.19 13:27:50 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 7/36 (19.45%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 4.
L'heure estimée de démarrage est entre 62 et 88 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de

récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et

cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.2 2008.11.19 -
AntiVir 7.9.0.34 2008.11.19 ADSPY/IEHelp.D
Authentium 5.1.0.4 2008.11.18 -
Avast 4.8.1281.0 2008.11.18 -
AVG 8.0.0.199 2008.11.19 -
BitDefender 7.2 2008.11.19 -
CAT-QuickHeal 10.00 2008.11.19 -
ClamAV 0.94.1 2008.11.19 -
DrWeb 4.44.0.09170 2008.11.19 -
eSafe 7.0.17.0 2008.11.18 -
eTrust-Vet 31.6.6217 2008.11.19 -
Ewido 4.0 2008.11.18 -
F-Prot 4.4.4.56 2008.11.18 -
F-Secure 8.0.14332.0 2008.11.19 -
Fortinet 3.117.0.0 2008.11.19 Adware/AdMedia
GData 19 2008.11.19 -
Ikarus T3.1.1.45.0 2008.11.19 AdWare.IEHelp.D
K7AntiVirus 7.10.527 2008.11.18 -
Kaspersky 7.0.0.125 2008.11.19 -
McAfee 5438 2008.11.18 -
Microsoft 1.4104 2008.11.19 -
NOD32 3624 2008.11.19 -
Norman 5.80.02 2008.11.18 -
Panda 9.0.0.4 2008.11.19 Spyware/Iehelp
PCTools 4.4.2.0 2008.11.19 -
Prevx1 V2 2008.11.19 -
Rising 21.04.22.00 2008.11.19 -
SecureWeb-Gateway 6.7.6 2008.11.19 Ad-Spyware.IEHelp.D
Sophos 4.35.0 2008.11.19 -
Sunbelt 3.1.1801.2 2008.11.14 Porn-Dialer.Win32.CapreDeam.BL (vf)
Symantec 10 2008.11.19 -
TheHacker 6.3.1.1.158 2008.11.19 -
TrendMicro 8.700.0.1004 2008.11.19 -
VBA32 3.12.8.9 2008.11.18 Signed-AdWare.Win32.AdMedia.g
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.18 -
Information additionnelle
File size: 46128 bytes
MD5...: 28bd5ae31c863f05f5398b7668208435
SHA1..: 28fc30b5eae707b86d2c3efc307dceb790a5fdcd
SHA256: 724c52bb6b902942e7d90264e5ed9ff258ba18bff5feccb47b7c5d31e8a3c975
SHA512: 067673947e650e3d46ed93ce5f79931ecee05f03b39ec0f2eb26d500a3e816a2
3ef6b3bd50fe3febb4961508bd9af10c269b75c27e7493bf726bf166f62c5908
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402a0e
timedatestamp.....: 0x4541bec3 (Fri Oct 27 08:09:39 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x53ba 0x6000 6.08 275d75e29b367726b4ab8cddb8f243cf
.rdata 0x7000 0xe34 0x1000 4.40 bc0091fb30162305a7d12742192089a2
.data 0x8000 0xb9c 0x1000 1.45 f639bffb4a597a296b9bfa2f2bdf79d9
.rsrc 0x9000 0x2ac 0x1000 3.78 e69228353133ca7674da3a6356f1a46?


Fichier ClueClassic-dm.exe reçu le 2008.11.19 14:14:11 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 22/36 (61.12%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 38 et 55 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de

récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et

cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.2 2008.11.19 -
AntiVir 7.9.0.34 2008.11.19 ADSPY/AdSpy.Gen
Authentium 5.1.0.4 2008.11.18 W32/Trymedia.A.gen!Eldorado
Avast 4.8.1281.0 2008.11.18 -
AVG 8.0.0.199 2008.11.19 -
BitDefender 7.2 2008.11.19 -
CAT-QuickHeal 10.00 2008.11.19 Win32.AdWare.Trymedia.d
ClamAV 0.94.1 2008.11.19 Adware.Trymedia-3
DrWeb 4.44.0.09170 2008.11.19 Adware.TryMedia.3
eSafe 7.0.17.0 2008.11.18 Suspicious File
eTrust-Vet 31.6.6217 2008.11.19 Win32/Trymedia!Adware
Ewido 4.0 2008.11.18 -
F-Prot 4.4.4.56 2008.11.18 W32/Trymedia.A.gen!Eldorado
F-Secure 8.0.14332.0 2008.11.19 Adware:W32/Trymedia.C
Fortinet 3.117.0.0 2008.11.19 Adware/Trymedia
GData 19 2008.11.19 -
Ikarus T3.1.1.45.0 2008.11.19 AdWare.AdSpy
K7AntiVirus 7.10.527 2008.11.18 Trojan.Win32.Malware.New
Kaspersky 7.0.0.125 2008.11.19 -
McAfee 5438 2008.11.18 potentially unwanted program Adware-TryMedia
Microsoft 1.4104 2008.11.19 -
NOD32 3624 2008.11.19 Win32/Adware.Trymedia
Norman 5.80.02 2008.11.18 -
Panda 9.0.0.4 2008.11.19 Trj/Trymedia.gen
PCTools 4.4.2.0 2008.11.19 Adware.Trymedia.E
Prevx1 V2 2008.11.19 -
Rising 21.04.22.00 2008.11.19 -
SecureWeb-Gateway 6.7.6 2008.11.19 Ad-Spyware.AdSpy.Gen
Sophos 4.35.0 2008.11.19 TryMedia
Sunbelt 3.1.1801.2 2008.11.14 Adware.Trymedia
Symantec 10 2008.11.19 -
TheHacker 6.3.1.1.158 2008.11.19 Adware/Trymedia.d
TrendMicro 8.700.0.1004 2008.11.19 -
VBA32 3.12.8.9 2008.11.18 Win32.Adware.Trymedia
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.18 Adware.Trymedia.E
Information additionnelle
File size: 142784 bytes
MD5...: 5ef6410d007432d50c27ebd956d2fc17
SHA1..: d51155225c463e0ff328a4f645816343db862732
SHA256: 62dc88e87a886e2faee7ac86a77d3fc9e760d7a046405402227c977e553f703c
SHA512: 2f310f10ed863ec9815c147c746043c1bad66d52b861d27a423011d416229e7c
11a0541049df2f8e893cbaa6cf4c893f7811385b46b6e9ba192645fe8b14b5b6
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
Generic Win/DOS Executable (49.8%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
MS Flight Simulator Aircraft Performance Info (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x457a60
timedatestamp.....: 0x47a74baf (Mon Feb 04 17:30:23 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x37000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x38000 0x20000 0x1fc00 7.91 055de61b59e6c2e68d9350f8b156589e
.rsrc 0x58000 0x2000 0x1800 4.00 e7df40419feedfccb7a9fe7c197a7ab1

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> GDI32.dll: BitBlt
> ole32.dll: OleRun
> OLEAUT32.dll: -
> SHELL32.dll: SHGetMalloc
> USER32.dll: GetDC
> WININET.dll: InternetOpenA
> WSOCK32.dll: -

( 0 exports )
packers (F-Prot): UPX
packers (Authentium): UPX
0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
impossible d'afficher le tableau dynamique sur un rapport existant
Pierre -
Adrien71 -

3 réponses
1fichier.com et bloqueur de pub
anthea1309 -
Patoche12 -

60 réponses
Probleme bogue
Ines -
Pimmer -

1 réponse