Sujet Précédent Sujet Suivant

(VIRUS) Type Sasser

Fermé
Toast - 26 févr. 2009 à 15:01
 Utilisateur anonyme - 29 mars 2009 à 11:30
Bonjour,

Je me suis fais avoir comme un mauvais :(

J'ai démarré un install (qui en fait a placé le virus dans le fichier temp et l'a executé).

Immédiatement FSecure le detecte mais bon trop tard, le systeme est forcé de redémarrer avec un compte à rebours.

Je redémarre en mode sans echec et je passe un coup d'AVG antispyware qui me detecte un trojan (mais je doute que ce soit le virus que je viens de chopper.

J'éteins mon ordi pour aller me coucher, je redémarre en mode sans echec, je passe l'outil de symantec pour Sasser qui me dit que mon ordinateur n'est pas infecté.

Je redémarre normalement, là j'ai plusieurs fenetres d'erreurs qui apparaissent concernant des processus (le BackWeb de FSecure et des processus PnkBst je crois que c'est punkbuster). Ces messages sont des erreurs de lecture en mémoire.

Mis à part ca, ca a fonctionné. Mais à un moment j'ai eu un Blue screen et quand j'ai redémarré le virus était de retour.

Ci-apres le rapport HijackThis fait en mode sans echec :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36:36, on 26/02/2088
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Logiciels\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Logiciels\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Logiciels\TortoiseSVN\bin\TSVNCache.exe
C:\Logiciels\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.incompris.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccdeFXo.dll
O2 - BHO: C:\WINDOWS\system32\hhs3ijndfd.dll - {c5bf49a2-94f3-42bd-f434-3604812c8955} - C:\WINDOWS\system32\hhs3ijndfd.dll
O3 - Toolbar: Alcohol Toolbar - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /M "Stylus Photo RX520" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [settings] C:\WINDOWS\callsysnt.exe
O4 - HKCU\..\RunOnce: [RegistryDefrag Success Message] "C:\Logiciels\TuneUp Utilities\TUMessages.exe" /RegDefrag_Success
O4 - HKLM\..\Policies\Explorer\Run: [xccinit] C:\WINDOWS\system32\inf\rundll33.exe C:\WINDOWS\xccdf16_090131a.dll xccd16
O4 - HKCU\..\Policies\Explorer\Run: [settings] C:\WINDOWS\callsysnt.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: TÈlÈcharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: TÈlÈcharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: TÈlÈcharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Envoyer ‡ OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer ‡ OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: SmartShopper - Compare product prices - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: SmartShopper - Compare travel rates - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Michael\Jeux\Poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Michael\Jeux\Poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.incompris.net/
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {91D4B4D5-E368-40AB-8F53-A37FA634B471} (Installer9Ctrl Class) - http://www2.tellmemorecampus.com/bin/tol9inst.cab
O16 - DPF: {9B14B03A-B482-45C3-BE37-5B7CAA8B0B5D} (QBH Control) - http://hsearch.nayio.com/download/QBH.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
O20 - Winlogon Notify: fccdeFXo - C:\WINDOWS\SYSTEM32\fccdeFXo.dll
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hhs3ijndfd.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Logiciels\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Logiciels\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: F-Secure BackWeb (backweb client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Service de transfert intelligent en arriËre-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: F-Secure BackWeb LAN Access (f-secure backweb lan access) - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Logiciels\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\WINDOWS\Private Folder\PrfldSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe (file missing)
O23 - Service: wampapache - Apache Software Foundation - C:\Logiciels\wamp\bin\apache\apache2.2.10\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - C:\Logiciels\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
A voir également:

166 réponses

Précédent
Réponse 121 / 166
Utilisateur anonyme
18 mars 2009 à 00:43
Pro ou home edition suivant le type d'OS que tu as hein ?
0
Réponse 122 / 166
Toast
18 mars 2009 à 00:45
Pro. En fait avec le windows unattended que j'ai, tu peux installer au choix Home, Pro ou Corp. Moi j'ai installé Pro. Mais sinon chez mes parents j'ai un original Pro donc je le récupererait. Mais je reste un peu étonné par le fait que d'un coup le dll ait disparu.
0
Réponse 123 / 166
Utilisateur anonyme
18 mars 2009 à 00:47
certes...

0
Réponse 124 / 166
Toast
18 mars 2009 à 00:58
En attendant de récuperer tout ca, j'aimerais savoir comment vous faites pour lire les rapport HJT et autres. Il faut connaitre tous les processus de windows ou il y a des astuces pour reperer les fichiers suspicieux ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 125 / 166
Utilisateur anonyme
18 mars 2009 à 01:04
oui mais il y a beaucoup de recherches aussi !!

si on devait avoir tout dans la tête !! :)
0
Réponse 126 / 166
Toast
18 mars 2009 à 01:06
Ok :)

Bon je vais me coucher. Je posterai quand j'aurais résolu ce probleme :)

Merci.
0
Réponse 127 / 166
Utilisateur anonyme
18 mars 2009 à 01:08
ok tu as D-Secure et bitdefender qui tournent ensemble ???????
0
Réponse 128 / 166
Toast
18 mars 2009 à 10:11
Aucun des deux, tout est désinstallé.
0
Réponse 129 / 166
Toast
18 mars 2009 à 10:31
Alors quand je fais clique droit/executer en tant que / utilisateur j'ai le message :

ntsd.exe - Erreur d'application

L'application n'a pas réussi à s'initialiser correctement (0xc0000022)


Pour rappel, ntsd.exe me disait avant au démarrage qu'il ne trouvait pas dbgeng.dll

Sinon en mode administrateur c'est avcenter.exe qui a un probleme

Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.
0
Réponse 130 / 166
Utilisateur anonyme
18 mars 2009 à 15:14
salut relances le log.txt xtp de rsit
0
Réponse 131 / 166
Toast
18 mars 2009 à 20:05
Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2009-03-18 20:08:10
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 15 GB (5%) free of 295 GB
Total RAM: 2046 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:17, on 2009-03-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\Private Folder\PrfldSvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Logiciels\Spyware Terminator\sp_rsser.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\Logiciels\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Logiciels\SUPERAntispyware\SUPERAntiSpyware.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents And Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /M "Stylus Photo RX520" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Logiciels\SUPERAntispyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.incompris.net
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {91D4B4D5-E368-40AB-8F53-A37FA634B471} (Installer9Ctrl Class) - http://www2.tellmemorecampus.com/bin/tol9inst.cab
O16 - DPF: {9B14B03A-B482-45C3-BE37-5B7CAA8B0B5D} (QBH Control) - http://hsearch.nayio.com/download/QBH.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Logiciels\SUPERAntispyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: F-Secure BackWeb (backweb client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE (file missing)
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Station de travail lanmanworkstationFSMA (lanmanworkstationfsma) - Unknown owner - C:\WINDOWS\system32\adsndst.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Plug-and-Play PlugPlayThemes (PlugPlayThemes) - Unknown owner - C:\WINDOWS\system32\1037h.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\WINDOWS\Private Folder\PrfldSvc.exe
O23 - Service: Emplacement protégé ProtectedStorageCiSvc (ProtectedStorageCiSvc) - Unknown owner - C:\WINDOWS\system32\1031l.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Logiciels\Spyware Terminator\sp_rsser.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: wampapache - Apache Software Foundation - C:\Logiciels\wamp\bin\apache\apache2.2.10\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - C:\Logiciels\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe
0
Réponse 132 / 166
Utilisateur anonyme
18 mars 2009 à 21:08
Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :

C:\WINDOWS\system32\DRIVERS\lirsgt.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.


* Fais la même chose avec ces fichiers :

C:\WINDOWS\system32\drivers\a9p4fpu6.sys []

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

ensuite :

Redemarre en mode sans echec pour effectuer ceci :

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :





:processes
explorer.exe

:services
F-Secure BackWeb
oreans32
GarenaPEngine

:files
C:\autorun.inf
C:\WINDOWS\system32\drivers\oreans32.sys []
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp []

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]


---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0
Réponse 133 / 166
Toast
18 mars 2009 à 21:13
Premier fichier :


Fichier lirsgt.sys reçu le 2009.03.18 21:11:04 (CET)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.18 -
AhnLab-V3 5.0.0.2 2009.03.18 -
AntiVir 7.9.0.120 2009.03.18 -
Authentium 5.1.2.4 2009.03.18 -
Avast 4.8.1335.0 2009.03.18 -
AVG 8.0.0.237 2009.03.18 -
BitDefender 7.2 2009.03.18 -
CAT-QuickHeal 10.00 2009.03.18 -
ClamAV 0.94.1 2009.03.18 -
Comodo 1066 2009.03.18 -
DrWeb 4.44.0.09170 2009.03.18 -
eSafe 7.0.17.0 2009.03.18 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.18 -
F-Secure 8.0.14470.0 2009.03.18 -
Fortinet 3.117.0.0 2009.03.18 -
GData 19 2009.03.18 -
Ikarus T3.1.1.48.0 2009.03.18 -
K7AntiVirus 7.10.674 2009.03.17 -
Kaspersky 7.0.0.125 2009.03.18 -
McAfee 5557 2009.03.18 -
McAfee+Artemis 5557 2009.03.18 -
McAfee-GW-Edition 6.7.6 2009.03.18 -
Microsoft 1.4502 2009.03.18 -
NOD32 3946 2009.03.18 -
Norman 6.00.06 2009.03.18 -
nProtect 2009.1.8.0 2009.03.18 -
Panda 10.0.0.10 2009.03.18 -
PCTools 4.4.2.0 2009.03.18 -
Prevx1 V2 2009.03.18 -
Rising 21.21.22.00 2009.03.18 -
Sophos 4.39.0 2009.03.18 -
Sunbelt 3.2.1858.2 2009.03.18 -
Symantec 1.4.4.12 2009.03.18 -
TheHacker 6.3.3.0.283 2009.03.16 -
TrendMicro 8.700.0.1004 2009.03.18 -
VBA32 3.12.10.1 2009.03.17 -
ViRobot 2009.3.18.1654 2009.03.18 -
VirusBuster 4.6.5.0 2009.03.18 -
Information additionnelle
File size: 18048 bytes
MD5...: 975b6cf65f44e95883f3855bae8cecaf
SHA1..: d5094781d99b0f9337470d3b110ce9135043be99
SHA256: 5878f5b2258a17dd3afbe18cafafce0310cdb61c36891b9299d738fdeef44a91
SHA512: 17bffbe218c8ead5019ba45b53dc5a633c3368dc0a905f2c84a60eb1c066198d<br>ef19c36014607f5c15b59bd196a5f9571089795409ab4b5e11f1d8b0695c0963
ssdeep: 384:2U9NV69OHoE24YdceeHeLhRuack7LSftC8j/+OstcTDjo0:2U3Y9vE24Ydce<br>EchcackfSFC8j/+Ostu<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x3e46<br>timedatestamp.....: 0x43dca1aa (Sun Jan 29 11:06:18 2006)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x300 0x1b7e 0x1b80 6.50 5e654fd4426d049b509254904e546a8d<br>.rdata 0x1e80 0x98 0x100 2.31 a2c2770e649dead2bc7c306edf0ee41e<br>.data 0x1f80 0x1c 0x80 0.13 012bc3c0c683ec46025b8c67bd3b0c32<br>PAGE 0x2000 0x1dd1 0x1e00 6.23 e681e3d94897126bd34e2e53b20e37cb<br>INIT 0x3e00 0x44c 0x480 5.36 c97e8c4d81596ba678c582fcf7b9405c<br>.reloc 0x4280 0x3c2 0x400 4.70 462e32b9d1603abc42ff06ddce1a56eb<br><br>( 2 imports ) <br>> ntoskrnl.exe: KeWaitForSingleObject, IofCallDriver, IoBuildSynchronousFsdRequest, KeInitializeEvent, ExFreePool, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, ExAllocatePool, PsGetVersion, IoFreeMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, _allmul, IoDeleteDevice, IoDeleteSymbolicLink, KeInitializeTimer, IoCreateSymbolicLink, IoCreateDevice, IoAllocateMdl, MmProbeAndLockPages, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, KeSetTimer, RtlUnwind, IofCompleteRequest, _alldiv<br>> HAL.dll: KeQueryPerformanceCounter<br><br>( 0 exports ) <br>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=975b6cf65f44e95883f3855bae8cecaf' target='_blank'>https://www.symantec.com?md5=975b6cf65f44e95883f3855bae8cecaf</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=975b6cf65f44e95883f3855bae8cecaf' target='_blank'>http://research.sunbelt-software.com/...

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.18 -
AhnLab-V3 5.0.0.2 2009.03.18 -
AntiVir 7.9.0.120 2009.03.18 -
Authentium 5.1.2.4 2009.03.18 -
Avast 4.8.1335.0 2009.03.18 -
AVG 8.0.0.237 2009.03.18 -
BitDefender 7.2 2009.03.18 -
CAT-QuickHeal 10.00 2009.03.18 -
ClamAV 0.94.1 2009.03.18 -
Comodo 1066 2009.03.18 -
DrWeb 4.44.0.09170 2009.03.18 -
eSafe 7.0.17.0 2009.03.18 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.18 -
F-Secure 8.0.14470.0 2009.03.18 -
Fortinet 3.117.0.0 2009.03.18 -
GData 19 2009.03.18 -
Ikarus T3.1.1.48.0 2009.03.18 -
K7AntiVirus 7.10.674 2009.03.17 -
Kaspersky 7.0.0.125 2009.03.18 -
McAfee 5557 2009.03.18 -
McAfee+Artemis 5557 2009.03.18 -
McAfee-GW-Edition 6.7.6 2009.03.18 -
Microsoft 1.4502 2009.03.18 -
NOD32 3946 2009.03.18 -
Norman 6.00.06 2009.03.18 -
nProtect 2009.1.8.0 2009.03.18 -
Panda 10.0.0.10 2009.03.18 -
PCTools 4.4.2.0 2009.03.18 -
Prevx1 V2 2009.03.18 -
Rising 21.21.22.00 2009.03.18 -
Sophos 4.39.0 2009.03.18 -
Sunbelt 3.2.1858.2 2009.03.18 -
Symantec 1.4.4.12 2009.03.18 -
TheHacker 6.3.3.0.283 2009.03.16 -
TrendMicro 8.700.0.1004 2009.03.18 -
VBA32 3.12.10.1 2009.03.17 -
ViRobot 2009.3.18.1654 2009.03.18 -
VirusBuster 4.6.5.0 2009.03.18 -

Information additionnelle
File size: 18048 bytes
MD5...: 975b6cf65f44e95883f3855bae8cecaf
SHA1..: d5094781d99b0f9337470d3b110ce9135043be99
SHA256: 5878f5b2258a17dd3afbe18cafafce0310cdb61c36891b9299d738fdeef44a91
SHA512: 17bffbe218c8ead5019ba45b53dc5a633c3368dc0a905f2c84a60eb1c066198d<br>ef19c36014607f5c15b59bd196a5f9571089795409ab4b5e11f1d8b0695c0963
ssdeep: 384:2U9NV69OHoE24YdceeHeLhRuack7LSftC8j/+OstcTDjo0:2U3Y9vE24Ydce<br>EchcackfSFC8j/+Ostu<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x3e46<br>timedatestamp.....: 0x43dca1aa (Sun Jan 29 11:06:18 2006)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x300 0x1b7e 0x1b80 6.50 5e654fd4426d049b509254904e546a8d<br>.rdata 0x1e80 0x98 0x100 2.31 a2c2770e649dead2bc7c306edf0ee41e<br>.data 0x1f80 0x1c 0x80 0.13 012bc3c0c683ec46025b8c67bd3b0c32<br>PAGE 0x2000 0x1dd1 0x1e00 6.23 e681e3d94897126bd34e2e53b20e37cb<br>INIT 0x3e00 0x44c 0x480 5.36 c97e8c4d81596ba678c582fcf7b9405c<br>.reloc 0x4280 0x3c2 0x400 4.70 462e32b9d1603abc42ff06ddce1a56eb<br><br>( 2 imports ) <br>> ntoskrnl.exe: KeWaitForSingleObject, IofCallDriver, IoBuildSynchronousFsdRequest, KeInitializeEvent, ExFreePool, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, ExAllocatePool, PsGetVersion, IoFreeMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, _allmul, IoDeleteDevice, IoDeleteSymbolicLink, KeInitializeTimer, IoCreateSymbolicLink, IoCreateDevice, IoAllocateMdl, MmProbeAndLockPages, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, KeSetTimer, RtlUnwind, IofCompleteRequest, _alldiv<br>> HAL.dll: KeQueryPerformanceCounter<br><br>( 0 exports ) <br>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=975b6cf65f44e95883f3855bae8cecaf' target='_blank'>https://www.symantec.com?md5=975b6cf65f44e95883f3855bae8cecaf</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=975b6cf65f44e95883f3855bae8cecaf' target='_blank'>http://research.sunbelt-software.com/...
0
Réponse 134 / 166
Toast
18 mars 2009 à 21:21
Je n'ai pas trouvé le deuxieme fichier.

Par contre j'ai voulu aussi checker oreans32.sys mais je ne l'ai pas trouvé non plus :(

Je vais faire moveit maintenant.
0
Réponse 135 / 166
Toast
18 mars 2009 à 21:28
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service F-Secure BackWeb .
Service oreans32 stopped successfully.
Service oreans32 deleted successfully.
Service GarenaPEngine stopped successfully.
Service GarenaPEngine deleted successfully.
========== FILES ==========
C:\autorun.inf moved successfully.
File/Folder C:\WINDOWS\system32\drivers\oreans32.sys [] not found.
File/Folder C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp [] not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03182009_212800
0
Réponse 136 / 166
Utilisateur anonyme
19 mars 2009 à 02:08
relances otmoveit en mode sans echec avec ceci :

:processes
explorer.exe

:services
F-Secure BackWeb

:files
C:\WINDOWS\system32\drivers\oreans32.sys []
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp []

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]

0
Réponse 137 / 166
Toast
19 mars 2009 à 17:27
Apparemment ils y sont pas ces fichiers.

Sinon pour le backweb, je suis allé sous reg-cleaner et j'ai recherché "backweb" et "f-secure" et j'ai supprimé les 2 entrées que j'ai trouvé.

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service F-Secure BackWeb .
========== FILES ==========
File/Folder C:\WINDOWS\system32\drivers\oreans32.sys [] not found.
File/Folder C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp [] not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03192009_172340
0
Réponse 138 / 166
Toast
19 mars 2009 à 17:55
Je viens d'installer la derniere version d'Antivir (v9) et exactement le même probleme :(
0
Réponse 139 / 166
Utilisateur anonyme
19 mars 2009 à 17:56
désolé :grrrr!!(pourtant je les avais effacés ces crochets

toujours en mode sans echec avec otmoveit:


:processes
explorer.exe

:services
F-Secure BackWeb

:files
C:\WINDOWS\system32\drivers\oreans32.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]
0
Réponse 140 / 166
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
19 mars 2009 à 18:03
Ben gen,je vais te surnommer le capitain crochet
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Erreur d'exécution 13 Incompatibilité de type
grace -
pijaku -

5 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Faiblesse des pokémon spectre
Matthias77 -
akumu -

17 réponses