A voir également:
- (VIRUS) Type Sasser
- Svchost.exe virus - Guide
- Clear type - Guide
- Faux message virus iphone ✓ - Forum iPhone
- Youtu.be virus - Guide
- Operagxsetup virus ✓ - Forum Virus
166 réponses
Pro. En fait avec le windows unattended que j'ai, tu peux installer au choix Home, Pro ou Corp. Moi j'ai installé Pro. Mais sinon chez mes parents j'ai un original Pro donc je le récupererait. Mais je reste un peu étonné par le fait que d'un coup le dll ait disparu.
En attendant de récuperer tout ca, j'aimerais savoir comment vous faites pour lire les rapport HJT et autres. Il faut connaitre tous les processus de windows ou il y a des astuces pour reperer les fichiers suspicieux ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
18 mars 2009 à 01:04
18 mars 2009 à 01:04
oui mais il y a beaucoup de recherches aussi !!
si on devait avoir tout dans la tête !! :)
si on devait avoir tout dans la tête !! :)
Utilisateur anonyme
18 mars 2009 à 01:08
18 mars 2009 à 01:08
ok tu as D-Secure et bitdefender qui tournent ensemble ???????
Alors quand je fais clique droit/executer en tant que / utilisateur j'ai le message :
ntsd.exe - Erreur d'application
L'application n'a pas réussi à s'initialiser correctement (0xc0000022)
Pour rappel, ntsd.exe me disait avant au démarrage qu'il ne trouvait pas dbgeng.dll
Sinon en mode administrateur c'est avcenter.exe qui a un probleme
Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.
ntsd.exe - Erreur d'application
L'application n'a pas réussi à s'initialiser correctement (0xc0000022)
Pour rappel, ntsd.exe me disait avant au démarrage qu'il ne trouvait pas dbgeng.dll
Sinon en mode administrateur c'est avcenter.exe qui a un probleme
Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.
Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2009-03-18 20:08:10
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 15 GB (5%) free of 295 GB
Total RAM: 2046 MB (70% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:17, on 2009-03-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\Private Folder\PrfldSvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Logiciels\Spyware Terminator\sp_rsser.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\Logiciels\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Logiciels\SUPERAntispyware\SUPERAntiSpyware.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents And Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /M "Stylus Photo RX520" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Logiciels\SUPERAntispyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.incompris.net
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {91D4B4D5-E368-40AB-8F53-A37FA634B471} (Installer9Ctrl Class) - http://www2.tellmemorecampus.com/bin/tol9inst.cab
O16 - DPF: {9B14B03A-B482-45C3-BE37-5B7CAA8B0B5D} (QBH Control) - http://hsearch.nayio.com/download/QBH.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Logiciels\SUPERAntispyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: F-Secure BackWeb (backweb client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE (file missing)
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Station de travail lanmanworkstationFSMA (lanmanworkstationfsma) - Unknown owner - C:\WINDOWS\system32\adsndst.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Plug-and-Play PlugPlayThemes (PlugPlayThemes) - Unknown owner - C:\WINDOWS\system32\1037h.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\WINDOWS\Private Folder\PrfldSvc.exe
O23 - Service: Emplacement protégé ProtectedStorageCiSvc (ProtectedStorageCiSvc) - Unknown owner - C:\WINDOWS\system32\1031l.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Logiciels\Spyware Terminator\sp_rsser.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: wampapache - Apache Software Foundation - C:\Logiciels\wamp\bin\apache\apache2.2.10\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - C:\Logiciels\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe
Run by Administrateur at 2009-03-18 20:08:10
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 15 GB (5%) free of 295 GB
Total RAM: 2046 MB (70% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:17, on 2009-03-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\Private Folder\PrfldSvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Logiciels\Spyware Terminator\sp_rsser.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\Logiciels\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Logiciels\SUPERAntispyware\SUPERAntiSpyware.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents And Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /M "Stylus Photo RX520" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Logiciels\SUPERAntispyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.incompris.net
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {91D4B4D5-E368-40AB-8F53-A37FA634B471} (Installer9Ctrl Class) - http://www2.tellmemorecampus.com/bin/tol9inst.cab
O16 - DPF: {9B14B03A-B482-45C3-BE37-5B7CAA8B0B5D} (QBH Control) - http://hsearch.nayio.com/download/QBH.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Logiciels\SUPERAntispyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: F-Secure BackWeb (backweb client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE (file missing)
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Station de travail lanmanworkstationFSMA (lanmanworkstationfsma) - Unknown owner - C:\WINDOWS\system32\adsndst.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Plug-and-Play PlugPlayThemes (PlugPlayThemes) - Unknown owner - C:\WINDOWS\system32\1037h.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\WINDOWS\Private Folder\PrfldSvc.exe
O23 - Service: Emplacement protégé ProtectedStorageCiSvc (ProtectedStorageCiSvc) - Unknown owner - C:\WINDOWS\system32\1031l.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Logiciels\Spyware Terminator\sp_rsser.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: wampapache - Apache Software Foundation - C:\Logiciels\wamp\bin\apache\apache2.2.10\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - C:\Logiciels\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe
Utilisateur anonyme
18 mars 2009 à 21:08
18 mars 2009 à 21:08
Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.
N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :
C:\WINDOWS\system32\DRIVERS\lirsgt.sys
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.
* Fais la même chose avec ces fichiers :
C:\WINDOWS\system32\drivers\a9p4fpu6.sys []
Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
ensuite :
Redemarre en mode sans echec pour effectuer ceci :
---> Double-clique sur OTMoveIt3.exe afin de le lancer.
---> Copie (Ctrl+C) le texte suivant ci-dessous :
:processes
explorer.exe
:services
F-Secure BackWeb
oreans32
GarenaPEngine
:files
C:\autorun.inf
C:\WINDOWS\system32\drivers\oreans32.sys []
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp []
:commands
[purity]
[emptytemp]
[start explorer]
[reboot]
---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.
N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :
C:\WINDOWS\system32\DRIVERS\lirsgt.sys
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.
* Fais la même chose avec ces fichiers :
C:\WINDOWS\system32\drivers\a9p4fpu6.sys []
Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
ensuite :
Redemarre en mode sans echec pour effectuer ceci :
---> Double-clique sur OTMoveIt3.exe afin de le lancer.
---> Copie (Ctrl+C) le texte suivant ci-dessous :
:processes
explorer.exe
:services
F-Secure BackWeb
oreans32
GarenaPEngine
:files
C:\autorun.inf
C:\WINDOWS\system32\drivers\oreans32.sys []
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp []
:commands
[purity]
[emptytemp]
[start explorer]
[reboot]
---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Premier fichier :
Fichier lirsgt.sys reçu le 2009.03.18 21:11:04 (CET)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.18 -
AhnLab-V3 5.0.0.2 2009.03.18 -
AntiVir 7.9.0.120 2009.03.18 -
Authentium 5.1.2.4 2009.03.18 -
Avast 4.8.1335.0 2009.03.18 -
AVG 8.0.0.237 2009.03.18 -
BitDefender 7.2 2009.03.18 -
CAT-QuickHeal 10.00 2009.03.18 -
ClamAV 0.94.1 2009.03.18 -
Comodo 1066 2009.03.18 -
DrWeb 4.44.0.09170 2009.03.18 -
eSafe 7.0.17.0 2009.03.18 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.18 -
F-Secure 8.0.14470.0 2009.03.18 -
Fortinet 3.117.0.0 2009.03.18 -
GData 19 2009.03.18 -
Ikarus T3.1.1.48.0 2009.03.18 -
K7AntiVirus 7.10.674 2009.03.17 -
Kaspersky 7.0.0.125 2009.03.18 -
McAfee 5557 2009.03.18 -
McAfee+Artemis 5557 2009.03.18 -
McAfee-GW-Edition 6.7.6 2009.03.18 -
Microsoft 1.4502 2009.03.18 -
NOD32 3946 2009.03.18 -
Norman 6.00.06 2009.03.18 -
nProtect 2009.1.8.0 2009.03.18 -
Panda 10.0.0.10 2009.03.18 -
PCTools 4.4.2.0 2009.03.18 -
Prevx1 V2 2009.03.18 -
Rising 21.21.22.00 2009.03.18 -
Sophos 4.39.0 2009.03.18 -
Sunbelt 3.2.1858.2 2009.03.18 -
Symantec 1.4.4.12 2009.03.18 -
TheHacker 6.3.3.0.283 2009.03.16 -
TrendMicro 8.700.0.1004 2009.03.18 -
VBA32 3.12.10.1 2009.03.17 -
ViRobot 2009.3.18.1654 2009.03.18 -
VirusBuster 4.6.5.0 2009.03.18 -
Information additionnelle
File size: 18048 bytes
MD5...: 975b6cf65f44e95883f3855bae8cecaf
SHA1..: d5094781d99b0f9337470d3b110ce9135043be99
SHA256: 5878f5b2258a17dd3afbe18cafafce0310cdb61c36891b9299d738fdeef44a91
SHA512: 17bffbe218c8ead5019ba45b53dc5a633c3368dc0a905f2c84a60eb1c066198d<br>ef19c36014607f5c15b59bd196a5f9571089795409ab4b5e11f1d8b0695c0963
ssdeep: 384:2U9NV69OHoE24YdceeHeLhRuack7LSftC8j/+OstcTDjo0:2U3Y9vE24Ydce<br>EchcackfSFC8j/+Ostu<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x3e46<br>timedatestamp.....: 0x43dca1aa (Sun Jan 29 11:06:18 2006)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x300 0x1b7e 0x1b80 6.50 5e654fd4426d049b509254904e546a8d<br>.rdata 0x1e80 0x98 0x100 2.31 a2c2770e649dead2bc7c306edf0ee41e<br>.data 0x1f80 0x1c 0x80 0.13 012bc3c0c683ec46025b8c67bd3b0c32<br>PAGE 0x2000 0x1dd1 0x1e00 6.23 e681e3d94897126bd34e2e53b20e37cb<br>INIT 0x3e00 0x44c 0x480 5.36 c97e8c4d81596ba678c582fcf7b9405c<br>.reloc 0x4280 0x3c2 0x400 4.70 462e32b9d1603abc42ff06ddce1a56eb<br><br>( 2 imports ) <br>> ntoskrnl.exe: KeWaitForSingleObject, IofCallDriver, IoBuildSynchronousFsdRequest, KeInitializeEvent, ExFreePool, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, ExAllocatePool, PsGetVersion, IoFreeMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, _allmul, IoDeleteDevice, IoDeleteSymbolicLink, KeInitializeTimer, IoCreateSymbolicLink, IoCreateDevice, IoAllocateMdl, MmProbeAndLockPages, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, KeSetTimer, RtlUnwind, IofCompleteRequest, _alldiv<br>> HAL.dll: KeQueryPerformanceCounter<br><br>( 0 exports ) <br>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=975b6cf65f44e95883f3855bae8cecaf' target='_blank'>https://www.symantec.com?md5=975b6cf65f44e95883f3855bae8cecaf</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=975b6cf65f44e95883f3855bae8cecaf' target='_blank'>http://research.sunbelt-software.com/...
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.18 -
AhnLab-V3 5.0.0.2 2009.03.18 -
AntiVir 7.9.0.120 2009.03.18 -
Authentium 5.1.2.4 2009.03.18 -
Avast 4.8.1335.0 2009.03.18 -
AVG 8.0.0.237 2009.03.18 -
BitDefender 7.2 2009.03.18 -
CAT-QuickHeal 10.00 2009.03.18 -
ClamAV 0.94.1 2009.03.18 -
Comodo 1066 2009.03.18 -
DrWeb 4.44.0.09170 2009.03.18 -
eSafe 7.0.17.0 2009.03.18 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.18 -
F-Secure 8.0.14470.0 2009.03.18 -
Fortinet 3.117.0.0 2009.03.18 -
GData 19 2009.03.18 -
Ikarus T3.1.1.48.0 2009.03.18 -
K7AntiVirus 7.10.674 2009.03.17 -
Kaspersky 7.0.0.125 2009.03.18 -
McAfee 5557 2009.03.18 -
McAfee+Artemis 5557 2009.03.18 -
McAfee-GW-Edition 6.7.6 2009.03.18 -
Microsoft 1.4502 2009.03.18 -
NOD32 3946 2009.03.18 -
Norman 6.00.06 2009.03.18 -
nProtect 2009.1.8.0 2009.03.18 -
Panda 10.0.0.10 2009.03.18 -
PCTools 4.4.2.0 2009.03.18 -
Prevx1 V2 2009.03.18 -
Rising 21.21.22.00 2009.03.18 -
Sophos 4.39.0 2009.03.18 -
Sunbelt 3.2.1858.2 2009.03.18 -
Symantec 1.4.4.12 2009.03.18 -
TheHacker 6.3.3.0.283 2009.03.16 -
TrendMicro 8.700.0.1004 2009.03.18 -
VBA32 3.12.10.1 2009.03.17 -
ViRobot 2009.3.18.1654 2009.03.18 -
VirusBuster 4.6.5.0 2009.03.18 -
Information additionnelle
File size: 18048 bytes
MD5...: 975b6cf65f44e95883f3855bae8cecaf
SHA1..: d5094781d99b0f9337470d3b110ce9135043be99
SHA256: 5878f5b2258a17dd3afbe18cafafce0310cdb61c36891b9299d738fdeef44a91
SHA512: 17bffbe218c8ead5019ba45b53dc5a633c3368dc0a905f2c84a60eb1c066198d<br>ef19c36014607f5c15b59bd196a5f9571089795409ab4b5e11f1d8b0695c0963
ssdeep: 384:2U9NV69OHoE24YdceeHeLhRuack7LSftC8j/+OstcTDjo0:2U3Y9vE24Ydce<br>EchcackfSFC8j/+Ostu<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x3e46<br>timedatestamp.....: 0x43dca1aa (Sun Jan 29 11:06:18 2006)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x300 0x1b7e 0x1b80 6.50 5e654fd4426d049b509254904e546a8d<br>.rdata 0x1e80 0x98 0x100 2.31 a2c2770e649dead2bc7c306edf0ee41e<br>.data 0x1f80 0x1c 0x80 0.13 012bc3c0c683ec46025b8c67bd3b0c32<br>PAGE 0x2000 0x1dd1 0x1e00 6.23 e681e3d94897126bd34e2e53b20e37cb<br>INIT 0x3e00 0x44c 0x480 5.36 c97e8c4d81596ba678c582fcf7b9405c<br>.reloc 0x4280 0x3c2 0x400 4.70 462e32b9d1603abc42ff06ddce1a56eb<br><br>( 2 imports ) <br>> ntoskrnl.exe: KeWaitForSingleObject, IofCallDriver, IoBuildSynchronousFsdRequest, KeInitializeEvent, ExFreePool, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, ExAllocatePool, PsGetVersion, IoFreeMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, _allmul, IoDeleteDevice, IoDeleteSymbolicLink, KeInitializeTimer, IoCreateSymbolicLink, IoCreateDevice, IoAllocateMdl, MmProbeAndLockPages, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, KeSetTimer, RtlUnwind, IofCompleteRequest, _alldiv<br>> HAL.dll: KeQueryPerformanceCounter<br><br>( 0 exports ) <br>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=975b6cf65f44e95883f3855bae8cecaf' target='_blank'>https://www.symantec.com?md5=975b6cf65f44e95883f3855bae8cecaf</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=975b6cf65f44e95883f3855bae8cecaf' target='_blank'>http://research.sunbelt-software.com/...
Fichier lirsgt.sys reçu le 2009.03.18 21:11:04 (CET)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.18 -
AhnLab-V3 5.0.0.2 2009.03.18 -
AntiVir 7.9.0.120 2009.03.18 -
Authentium 5.1.2.4 2009.03.18 -
Avast 4.8.1335.0 2009.03.18 -
AVG 8.0.0.237 2009.03.18 -
BitDefender 7.2 2009.03.18 -
CAT-QuickHeal 10.00 2009.03.18 -
ClamAV 0.94.1 2009.03.18 -
Comodo 1066 2009.03.18 -
DrWeb 4.44.0.09170 2009.03.18 -
eSafe 7.0.17.0 2009.03.18 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.18 -
F-Secure 8.0.14470.0 2009.03.18 -
Fortinet 3.117.0.0 2009.03.18 -
GData 19 2009.03.18 -
Ikarus T3.1.1.48.0 2009.03.18 -
K7AntiVirus 7.10.674 2009.03.17 -
Kaspersky 7.0.0.125 2009.03.18 -
McAfee 5557 2009.03.18 -
McAfee+Artemis 5557 2009.03.18 -
McAfee-GW-Edition 6.7.6 2009.03.18 -
Microsoft 1.4502 2009.03.18 -
NOD32 3946 2009.03.18 -
Norman 6.00.06 2009.03.18 -
nProtect 2009.1.8.0 2009.03.18 -
Panda 10.0.0.10 2009.03.18 -
PCTools 4.4.2.0 2009.03.18 -
Prevx1 V2 2009.03.18 -
Rising 21.21.22.00 2009.03.18 -
Sophos 4.39.0 2009.03.18 -
Sunbelt 3.2.1858.2 2009.03.18 -
Symantec 1.4.4.12 2009.03.18 -
TheHacker 6.3.3.0.283 2009.03.16 -
TrendMicro 8.700.0.1004 2009.03.18 -
VBA32 3.12.10.1 2009.03.17 -
ViRobot 2009.3.18.1654 2009.03.18 -
VirusBuster 4.6.5.0 2009.03.18 -
Information additionnelle
File size: 18048 bytes
MD5...: 975b6cf65f44e95883f3855bae8cecaf
SHA1..: d5094781d99b0f9337470d3b110ce9135043be99
SHA256: 5878f5b2258a17dd3afbe18cafafce0310cdb61c36891b9299d738fdeef44a91
SHA512: 17bffbe218c8ead5019ba45b53dc5a633c3368dc0a905f2c84a60eb1c066198d<br>ef19c36014607f5c15b59bd196a5f9571089795409ab4b5e11f1d8b0695c0963
ssdeep: 384:2U9NV69OHoE24YdceeHeLhRuack7LSftC8j/+OstcTDjo0:2U3Y9vE24Ydce<br>EchcackfSFC8j/+Ostu<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x3e46<br>timedatestamp.....: 0x43dca1aa (Sun Jan 29 11:06:18 2006)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x300 0x1b7e 0x1b80 6.50 5e654fd4426d049b509254904e546a8d<br>.rdata 0x1e80 0x98 0x100 2.31 a2c2770e649dead2bc7c306edf0ee41e<br>.data 0x1f80 0x1c 0x80 0.13 012bc3c0c683ec46025b8c67bd3b0c32<br>PAGE 0x2000 0x1dd1 0x1e00 6.23 e681e3d94897126bd34e2e53b20e37cb<br>INIT 0x3e00 0x44c 0x480 5.36 c97e8c4d81596ba678c582fcf7b9405c<br>.reloc 0x4280 0x3c2 0x400 4.70 462e32b9d1603abc42ff06ddce1a56eb<br><br>( 2 imports ) <br>> ntoskrnl.exe: KeWaitForSingleObject, IofCallDriver, IoBuildSynchronousFsdRequest, KeInitializeEvent, ExFreePool, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, ExAllocatePool, PsGetVersion, IoFreeMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, _allmul, IoDeleteDevice, IoDeleteSymbolicLink, KeInitializeTimer, IoCreateSymbolicLink, IoCreateDevice, IoAllocateMdl, MmProbeAndLockPages, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, KeSetTimer, RtlUnwind, IofCompleteRequest, _alldiv<br>> HAL.dll: KeQueryPerformanceCounter<br><br>( 0 exports ) <br>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=975b6cf65f44e95883f3855bae8cecaf' target='_blank'>https://www.symantec.com?md5=975b6cf65f44e95883f3855bae8cecaf</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=975b6cf65f44e95883f3855bae8cecaf' target='_blank'>http://research.sunbelt-software.com/...
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.18 -
AhnLab-V3 5.0.0.2 2009.03.18 -
AntiVir 7.9.0.120 2009.03.18 -
Authentium 5.1.2.4 2009.03.18 -
Avast 4.8.1335.0 2009.03.18 -
AVG 8.0.0.237 2009.03.18 -
BitDefender 7.2 2009.03.18 -
CAT-QuickHeal 10.00 2009.03.18 -
ClamAV 0.94.1 2009.03.18 -
Comodo 1066 2009.03.18 -
DrWeb 4.44.0.09170 2009.03.18 -
eSafe 7.0.17.0 2009.03.18 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.18 -
F-Secure 8.0.14470.0 2009.03.18 -
Fortinet 3.117.0.0 2009.03.18 -
GData 19 2009.03.18 -
Ikarus T3.1.1.48.0 2009.03.18 -
K7AntiVirus 7.10.674 2009.03.17 -
Kaspersky 7.0.0.125 2009.03.18 -
McAfee 5557 2009.03.18 -
McAfee+Artemis 5557 2009.03.18 -
McAfee-GW-Edition 6.7.6 2009.03.18 -
Microsoft 1.4502 2009.03.18 -
NOD32 3946 2009.03.18 -
Norman 6.00.06 2009.03.18 -
nProtect 2009.1.8.0 2009.03.18 -
Panda 10.0.0.10 2009.03.18 -
PCTools 4.4.2.0 2009.03.18 -
Prevx1 V2 2009.03.18 -
Rising 21.21.22.00 2009.03.18 -
Sophos 4.39.0 2009.03.18 -
Sunbelt 3.2.1858.2 2009.03.18 -
Symantec 1.4.4.12 2009.03.18 -
TheHacker 6.3.3.0.283 2009.03.16 -
TrendMicro 8.700.0.1004 2009.03.18 -
VBA32 3.12.10.1 2009.03.17 -
ViRobot 2009.3.18.1654 2009.03.18 -
VirusBuster 4.6.5.0 2009.03.18 -
Information additionnelle
File size: 18048 bytes
MD5...: 975b6cf65f44e95883f3855bae8cecaf
SHA1..: d5094781d99b0f9337470d3b110ce9135043be99
SHA256: 5878f5b2258a17dd3afbe18cafafce0310cdb61c36891b9299d738fdeef44a91
SHA512: 17bffbe218c8ead5019ba45b53dc5a633c3368dc0a905f2c84a60eb1c066198d<br>ef19c36014607f5c15b59bd196a5f9571089795409ab4b5e11f1d8b0695c0963
ssdeep: 384:2U9NV69OHoE24YdceeHeLhRuack7LSftC8j/+OstcTDjo0:2U3Y9vE24Ydce<br>EchcackfSFC8j/+Ostu<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x3e46<br>timedatestamp.....: 0x43dca1aa (Sun Jan 29 11:06:18 2006)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x300 0x1b7e 0x1b80 6.50 5e654fd4426d049b509254904e546a8d<br>.rdata 0x1e80 0x98 0x100 2.31 a2c2770e649dead2bc7c306edf0ee41e<br>.data 0x1f80 0x1c 0x80 0.13 012bc3c0c683ec46025b8c67bd3b0c32<br>PAGE 0x2000 0x1dd1 0x1e00 6.23 e681e3d94897126bd34e2e53b20e37cb<br>INIT 0x3e00 0x44c 0x480 5.36 c97e8c4d81596ba678c582fcf7b9405c<br>.reloc 0x4280 0x3c2 0x400 4.70 462e32b9d1603abc42ff06ddce1a56eb<br><br>( 2 imports ) <br>> ntoskrnl.exe: KeWaitForSingleObject, IofCallDriver, IoBuildSynchronousFsdRequest, KeInitializeEvent, ExFreePool, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, ExAllocatePool, PsGetVersion, IoFreeMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, _allmul, IoDeleteDevice, IoDeleteSymbolicLink, KeInitializeTimer, IoCreateSymbolicLink, IoCreateDevice, IoAllocateMdl, MmProbeAndLockPages, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, KeSetTimer, RtlUnwind, IofCompleteRequest, _alldiv<br>> HAL.dll: KeQueryPerformanceCounter<br><br>( 0 exports ) <br>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=975b6cf65f44e95883f3855bae8cecaf' target='_blank'>https://www.symantec.com?md5=975b6cf65f44e95883f3855bae8cecaf</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=975b6cf65f44e95883f3855bae8cecaf' target='_blank'>http://research.sunbelt-software.com/...
Je n'ai pas trouvé le deuxieme fichier.
Par contre j'ai voulu aussi checker oreans32.sys mais je ne l'ai pas trouvé non plus :(
Je vais faire moveit maintenant.
Par contre j'ai voulu aussi checker oreans32.sys mais je ne l'ai pas trouvé non plus :(
Je vais faire moveit maintenant.
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service F-Secure BackWeb .
Service oreans32 stopped successfully.
Service oreans32 deleted successfully.
Service GarenaPEngine stopped successfully.
Service GarenaPEngine deleted successfully.
========== FILES ==========
C:\autorun.inf moved successfully.
File/Folder C:\WINDOWS\system32\drivers\oreans32.sys [] not found.
File/Folder C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp [] not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03182009_212800
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service F-Secure BackWeb .
Service oreans32 stopped successfully.
Service oreans32 deleted successfully.
Service GarenaPEngine stopped successfully.
Service GarenaPEngine deleted successfully.
========== FILES ==========
C:\autorun.inf moved successfully.
File/Folder C:\WINDOWS\system32\drivers\oreans32.sys [] not found.
File/Folder C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp [] not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03182009_212800
Utilisateur anonyme
19 mars 2009 à 02:08
19 mars 2009 à 02:08
relances otmoveit en mode sans echec avec ceci :
:processes
explorer.exe
:services
F-Secure BackWeb
:files
C:\WINDOWS\system32\drivers\oreans32.sys []
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp []
:commands
[purity]
[emptytemp]
[start explorer]
[reboot]
:processes
explorer.exe
:services
F-Secure BackWeb
:files
C:\WINDOWS\system32\drivers\oreans32.sys []
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp []
:commands
[purity]
[emptytemp]
[start explorer]
[reboot]
Apparemment ils y sont pas ces fichiers.
Sinon pour le backweb, je suis allé sous reg-cleaner et j'ai recherché "backweb" et "f-secure" et j'ai supprimé les 2 entrées que j'ai trouvé.
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service F-Secure BackWeb .
========== FILES ==========
File/Folder C:\WINDOWS\system32\drivers\oreans32.sys [] not found.
File/Folder C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp [] not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03192009_172340
Sinon pour le backweb, je suis allé sous reg-cleaner et j'ai recherché "backweb" et "f-secure" et j'ai supprimé les 2 entrées que j'ai trouvé.
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service F-Secure BackWeb .
========== FILES ==========
File/Folder C:\WINDOWS\system32\drivers\oreans32.sys [] not found.
File/Folder C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp [] not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03192009_172340
Utilisateur anonyme
19 mars 2009 à 17:56
19 mars 2009 à 17:56
désolé :grrrr!!(pourtant je les avais effacés ces crochets
toujours en mode sans echec avec otmoveit:
:processes
explorer.exe
:services
F-Secure BackWeb
:files
C:\WINDOWS\system32\drivers\oreans32.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp
:commands
[purity]
[emptytemp]
[start explorer]
[reboot]
toujours en mode sans echec avec otmoveit:
:processes
explorer.exe
:services
F-Secure BackWeb
:files
C:\WINDOWS\system32\drivers\oreans32.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OAX80B.tmp
:commands
[purity]
[emptytemp]
[start explorer]
[reboot]
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
19 mars 2009 à 18:03
19 mars 2009 à 18:03
Ben gen,je vais te surnommer le capitain crochet