Sujet Précédent Sujet Suivant

Application.Claria

Fermé
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011 - 13 avril 2009 à 10:31
 gen-hackman - 1 mai 2009 à 18:01
Bonjour,
depuis peu , mon log de messagerie et le navigateur mette plus de temps à ouvrir qu' habituellement ;l'unité centrale tourne très souvent à 100% notamment en navigation sur le net .
Jai parfois une fenetre qui s'ouvre pour me dire que la mémoire virtuelle est insuffisante.
(ma config :atlon 2.6 avec 2giga de ram)
J'ai fait un nettoyage en règle avec C cleaner et aussi de la base de registre .
Malwarebytes en mode sans échec et antivir n'ont rien trouvé, par contre bitdefender online à trouvé deux choses:
-Application.Claria.précision .time.A
-Application.Claria.AL
Est-ce vraiment un virus que doit -je faire pour la suite?
merci

92 réponses

Précédent
Réponse 21 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
15 avril 2009 à 21:17
Télécharge SDFix sur ton bureau :
ici :SDFix
ou ici SDFix
ou ici SDFix

--> Double-clique sur SDFix.exe et choisis "Install" .

Tuto

Puis une fois l'installe faite ,

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...


Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer l'outil .
-->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normal ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
C:\SDFix sous le nom "Report.txt".

Poste ce dernier dans ta prochaine réponse

Si SDfix ne se lance pas (ça arrive!)

* Démarrer->Exécuter

* Copie/colle ceci :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

* Clique sur ok, et valide.

* Redémarre et essaye de nouveau de lancer SDfix.
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
15 avril 2009 à 22:27
voila le rapport sdfix

[b]SDFix: Version 1.240 [/b]
Run by M V on 15/04/2009 at 22:00

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-15 22:17:36
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Sun 12 Mar 2006 10,311,680 ..SH. --- "C:\Program Files\AVIConverter\mencoder.exe"
Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
Sun 16 Mar 2008 11,690 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Tue 8 Mar 2005 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 14 Mar 2005 299,008 A..H. --- "C:\Program Files\Canon\MP Navigator 2.0\Maint.exe"
Mon 25 Apr 2005 61,440 A..H. --- "C:\Program Files\Canon\MP Navigator 2.0\uinstrsc.dll"
Sun 8 Feb 2009 9,934,392 A..H. --- "C:\Program Files\Google\Picasa3\setup.exe"
Mon 30 Mar 2009 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sun 15 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\326d1a08fc685e3efad9e9a5b059ebfb\BIT26.tmp"
Sun 15 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5b6da8fb69b176ee583a3734e2af76e6\BIT27.tmp"
Sun 15 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\60f98441524da959e4cfd96533bfcea5\BIT2D.tmp"
Sun 15 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7333946973f87a4fdf879a85eeae256b\BIT28.tmp"
Sun 15 Jun 2008 10,092,048 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8b3179d71e82d8085d960408b16ae5bf\BIT2A.tmp"
Sun 15 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9526baba4c0a42975f8fabcda9ca8dc3\BIT2B.tmp"
Sun 15 Jun 2008 1,229,688 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bc7043d60e692448b548f03d568309ab\BIT29.tmp"
Sun 15 Jun 2008 4,856,848 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f3fd033e4d9140ea4bb2ff5810443583\BIT2C.tmp"

[b]Finished![/b]
0
Réponse 22 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
15 avril 2009 à 22:45

>>>>>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<<<<
>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<<<
=============================================================================================

Lors de son exécution,

ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles.
Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows

et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

Sous XP

Sous Vista

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.


A Lire , Impératif !!!!

Télécharges Combofix :




Et important, enregistre le sous "moi.exe" sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur moi.exe

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

? Reviens sur le forum, et

copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


--
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
15 avril 2009 à 23:13
voila, durant l'analyse, il y a eu plusieurs foie :" mémoire principale insuffisantes pour continuer le tri" ???
le rapport :

ComboFix 09-04-15.08 - M V 15/04/2009 22:58.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2048.1562 [GMT 2:00]
Lancé depuis: c:\documents and settings\M V\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-15 au 2009-04-15 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{1d1b60fd-b21f-4b9a-8a5f-64e8544828d7}"= "c:\program files\Secured_eMule\tbSec1.dll" [2008-06-09 1470488]

[HKEY_CLASSES_ROOT\clsid\{1d1b60fd-b21f-4b9a-8a5f-64e8544828d7}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1d1b60fd-b21f-4b9a-8a5f-64e8544828d7}]
2008-06-09 15:28 1470488 ----a-w c:\program files\Secured_eMule\tbSec1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1d1b60fd-b21f-4b9a-8a5f-64e8544828d7}"= "c:\program files\Secured_eMule\tbSec1.dll" [2008-06-09 1470488]

[HKEY_CLASSES_ROOT\clsid\{1d1b60fd-b21f-4b9a-8a5f-64e8544828d7}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{1D1B60FD-B21F-4B9A-8A5F-64E8544828D7}"= "c:\program files\Secured_eMule\tbSec1.dll" [2008-06-09 1470488]

[HKEY_CLASSES_ROOT\clsid\{1d1b60fd-b21f-4b9a-8a5f-64e8544828d7}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SxBzBufferZoneOverlay]
@="{37ADBD0B-11EC-4A2C-9F93-5C3ACC7994DF}"
[HKEY_CLASSES_ROOT\CLSID\{37ADBD0B-11EC-4A2C-9F93-5C3ACC7994DF}]
2007-08-06 13:20 1222576 ----a-w c:\windows\system32\RlShellExt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SxBzConfidentialOverlay]
@="{F594B094-8768-4632-8143-12852EBBD688}"
[HKEY_CLASSES_ROOT\CLSID\{F594B094-8768-4632-8143-12852EBBD688}]
2007-08-06 13:20 1222576 ----a-w c:\windows\system32\RlShellExt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SxBzForbiddenOverlay]
@="{F1A1DA12-E651-4AD0-A1A0-6214546B2F9D}"
[HKEY_CLASSES_ROOT\CLSID\{F1A1DA12-E651-4AD0-A1A0-6214546B2F9D}]
2007-08-06 13:20 1222576 ----a-w c:\windows\system32\RlShellExt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SxBzUnknownOverlay]
@="{E4FC4B31-8A4F-45E6-BDAC-28F612371FE3}"
[HKEY_CLASSES_ROOT\CLSID\{E4FC4B31-8A4F-45E6-BDAC-28F612371FE3}]
2007-08-06 13:20 1222576 ----a-w c:\windows\system32\RlShellExt.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="\Program\" [X]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-19 405583]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCLEPCI"="c:\progra~1\PINNAC~1\PPE\PPE.EXE" [2003-09-23 32768]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-06-01 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-06-01 217088]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-10 406016]
"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"ContentTransferWMDetector.exe"="c:\program files\Sony\Content Transfer\ContentTransferWMDetector.exe" [2009-01-23 423200]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2004-12-14 962663]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2005-3-8 450560]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm
"VIDC.MJPG"= mtkjpeg.dll
"VIDC.PIM1"= pclepim1.dll
"vidc.ptev"= ptevideo.dll
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R3 DCamUSBSvis;Oregon Scientific Stream Driver;c:\windows\system32\DRIVERS\svstream.sys [2001-07-18 91480]
R3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2008-08-29 33752]
R3 scsiscan;Pilote de scanneur SCSI;c:\windows\system32\DRIVERS\scsiscan.sys [2008-04-13 11520]
S0 REDLIGHT;REDLIGHT;c:\windows\System32\drivers\REDLIGHT.SYS [2007-08-06 2233728]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2009-03-23 9968]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.sys [2009-03-23 72944]
S2 BufferZoneSvc;BufferZone Service;c:\program files\BufferZone\CLNTSVC.EXE [2007-08-06 777712]
S2 BZDcomLaunch;BufferZone DCOM Helper;c:\program files\BufferZone\BZDCOMLAUNCH.EXE [2007-08-06 61440]
S2 BZRpcSs;BufferZone RPC Helper;c:\program files\BufferZone\BZRPCSS.EXE [2007-08-06 57344]
S2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
S2 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [2007-09-07 1373480]
S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]

.
Contenu du dossier 'Tâches planifiées'

2009-04-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-04-08 c:\windows\Tasks\SyncBack Doc Isabelle.job
- c:\program files\2BrightSparks\SyncBack\SyncBack.exe [2009-02-09 11:00]

2009-04-13 c:\windows\Tasks\SyncBack sauvegarde-mes documents.job
- c:\program files\2BrightSparks\SyncBack\SyncBack.exe [2009-02-09 11:00]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.google.com/webhp?hl=fr
mWindow Title =
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = localhost;*.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: View EXIF - c:\viewexif\EXIF.htm
Trusted Zone: microsoft.com\update
Trusted Zone: microsoft.com\windowsupdate
Trusted Zone: msn.com\fr
TCP: {EBEF871C-A2D7-417F-9DE6-F96A04EFF1A4} = 208.67.220.220,208.67.222.222
TCP: {F3CED271-D5C7-432C-BF6E-B7E600EEBA78} = 208.67.220.220,208.67.222.222
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-15 23:02
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-448539723-823518204-1801674531-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{234399AF-0FDB-9235-B859A4E3AC2ADE1B}\{19B8A235-5775-8B53-4D38DBAF8988D503}\{76727453-9A12-1EF5-D0F3E23CAC7A8CDF}*]
"KBHFJ3LOVGGHQNXKY4VGT5W5XA1"=hex:01,00,01,00,00,00,00,00,cd,90,7b,1c,04,10,89,
b4,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{40886FA5-87BC-FDA7-0C1FAC01C243999B}\{19E564B2-522B-7AA8-1ACCCD0705265332}\{1F2DE655-6E2E-2DD5-8638E8D01A513D14}*]
"YVDOYALJ4U2TQACPBJNJTEIBQG1"=hex:01,00,01,00,00,00,00,00,cd,90,7b,1c,04,10,89,
b4,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,b3,23,7f,03,c6,
d8,aa,aa,2e,e8,e1,00,eb,16,2b,de,04,f7,98,0f,fa,a4,41,ca,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,82,96,3d,a8,da,
1c,2b,79,46,47,15,b0,92,4b,c7,ef,cd,8c,79,5e,15,ac,27,e6,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,37,24,cf,fd,14,
32,1d,8f,7a,45,05,fd,91,e8,6f,31,7d,28,ed,99,aa,c4,21,49,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,b2,92,24,18,8b,
e3,d6,95,6b,65,49,6a,7e,99,74,f7,c8,f6,8e,52,10,8e,0d,e5,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,05,94,12,36,6d,
af,1c,71,e9,02,6c,fa,fb,1d,47,57,25,56,79,b7,88,cd,a5,5d,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,70,4b,61,14,b7,
fc,b8,d6,50,93,e5,ab,ec,6a,4e,ab,6a,7b,41,fc,1d,2c,9e,69,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,63,70,41,f6,e0,
12,a9,31,97,20,4e,9a,c7,f1,35,ee,ea,de,dd,88,3b,36,09,eb,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,9c,b2,c2,7d,35,
a8,4c,50,aa,52,c6,00,84,3c,26,64,ab,a9,a1,3f,41,74,66,7f,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,b8,d8,07,49,5e,
14,90,35,b2,46,9a,e2,1b,fe,1b,94,ba,1c,0f,26,87,6d,ed,1e,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,93,3b,fd,6d,cc,
a3,01,61,37,a4,aa,c3,a6,15,56,0a,05,23,99,a2,6b,d8,b4,13,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,63,b2,40,61,d4,
6f,da,13,f8,31,0f,a9,5f,a0,ec,fb,a3,0d,f2,4e,ef,80,37,7d,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\System32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,c5,fa,05,18,a1,
1e,86,2d,05,73,21,dd,54,d8,4a,c5,fb,12,cf,66,62,0f,75,e6,6c,43,2d,1e,aa,22,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(640)
c:\program files\BufferZone\RLHOOK.DLL
c:\windows\system32\RLDRAGDROP.dll
c:\program files\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'lsass.exe'(696)
c:\program files\BufferZone\RLHOOK.DLL
c:\windows\system32\RLDRAGDROP.dll

- - - - - - - > 'explorer.exe'(3020)
c:\program files\BufferZone\RLHOOK.DLL
c:\windows\system32\RLDRAGDROP.dll
c:\program files\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\windows\system32\RlShellExt.dll
c:\windows\system32\AM.DLL
c:\windows\system32\olepro32.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll

- - - - - - - > 'csrss.exe'(616)
c:\program files\BufferZone\RLHOOK.DLL
c:\windows\system32\RLDRAGDROP.dll
.
Heure de fin: 2009-04-15 23:06
ComboFix-quarantined-files.txt 2009-04-15 21:05

Avant-CF: 16 005 595 136 octets libres
Après-CF: 15 998 394 368 octets libres

236 --- E O F --- 2008-08-21 20:57
0
Réponse 23 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
15 avril 2009 à 23:45
Tu as un rootkit a priori difficillement detectable,fais ceci

Telecharges gmer

http://www.gmer.net#files

tutorial ici

https://www.malekal.com/supprimer-rootkit-windows/


Dezippes gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

Les lignes rouges indiquent la presence d'un rootkit

Ensuite

sur les lignes rouge:

Services:cliques droit delete service
Process:cliques droit kill process
Adl ,file:cliques droit delete files


Avant de supprimer les lignes rouges,postes moi le rapport ( cliques sur le bouton copy a la fin du scan ensuite tu vas dans demarrer,puis tu ouvres le bloc note,puis edition et coller).
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
16 avril 2009 à 00:13
deux tentative de scan avec gmer ont échoueés , un peu comme un plantage puis ecran noir puis bleue m'indiquant
qu' un probléme étant survenue ....et l'ordi redemarre ,avec au redemarage une fenetre qui s'ouvre
"erreur sérieuse ..." je n'ai pu copier la signature de l'erreur.
0
Réponse 24 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
16 avril 2009 à 00:18
Normal c'est le rootkit qui plante gmer.Supprimer le et retelecharges le (avant de le dezipper renommes le killrootkit) et reessaies de le lancer
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
16 avril 2009 à 00:29
même chose ,rien a faire .
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
16 avril 2009 à 00:42
Telecharges AVG antirootkit

http://www.commentcamarche.net/telecharger/telecharger 34055015 avg anti rootkit

ou ici

https://www.clubic.com/telecharger-fiche34515-avg-anti-rootkit.html


double clique sur le fichier telecharger.
accepte la licence.
puis sur next puis install
redemare ton ordinateur.

lance le programme
clique sur /search for rootkit
s'il trouve qu'elle que chose clique sur save result to file.
puis sur /Perform in-deph searchavg anti-rootkit
et poste les rapports.



avg anti-rootkit
lance le programme
clique sur /search for rootkit
s'il trouve qu'elle que chose selectionne, se qu'il a trouver.
puis clique sur remove selected items

Tentative de suppression du rootkit détecté
-- Sélection du « rootkit » » détecté puis utilisation de [remove selected items]
-- Affichage d'un message d'alerte « Warning ! » ... l'action est dangereuse => [O.K]
Affichage d'un deuxième message qui demande un reboot pour terminer l'opération de nettoyage.


pour voir si l'operation a marcher.
avg anti-rootkit
clique sur /search for rootkit
s'il trouve qu'elle que chose clique sur save result to file.
et post le rapport si il y en a un.
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
16 avril 2009 à 00:45
Ok , je ferai cela demain ,encore merci, @+
0
Réponse 26 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
16 avril 2009 à 00:47
ok a demain
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
16 avril 2009 à 08:33
bonjour loloetseb,
effectué le scan avec AVG , celui-ci n'a rien trouvé.
0
Réponse 27 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
16 avril 2009 à 09:25
Et oui Avg est moins performant que Gmer donc le rootkit te l'as laissé utiliser.Bon,on va reflechir sur la suite de la procedure
0
Réponse 28 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
16 avril 2009 à 10:42
Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :

C:\WINDOWS\System32\DRIVERS\61883.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.


* Fais la même chose avec ces fichiers :


Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
16 avril 2009 à 11:56
voici pour le 1er fichier, mais tu ne m'a pas donné les autres fichier à analyser.

Fichier 61883.sys reçu le 2008.12.05 23:40:09 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.6.0 2008.12.05 -
AntiVir 7.9.0.42 2008.12.05 -
Authentium 5.1.0.4 2008.12.05 -
Avast 4.8.1281.0 2008.12.04 -
AVG 8.0.0.199 2008.12.05 -
BitDefender 7.2 2008.12.05 -
CAT-QuickHeal 10.00 2008.12.05 -
ClamAV 0.94.1 2008.12.05 -
Comodo 682 2008.12.04 -
DrWeb 4.44.0.09170 2008.12.05 -
eSafe 7.0.17.0 2008.12.04 -
eTrust-Vet 31.6.6245 2008.12.05 -
Ewido 4.0 2008.12.05 -
F-Prot 4.4.4.56 2008.12.04 -
F-Secure 8.0.14332.0 2008.12.05 -
Fortinet 3.117.0.0 2008.12.05 -
GData 19 2008.12.05 -
Ikarus T3.1.1.45.0 2008.12.05 -
K7AntiVirus 7.10.545 2008.12.05 -
Kaspersky 7.0.0.125 2008.12.05 -
McAfee 5455 2008.12.05 -
McAfee+Artemis 5455 2008.12.05 -
Microsoft 1.4205 2008.12.05 -
NOD32 3667 2008.12.05 -
Norman 5.80.02 2008.12.05 -
Panda 9.0.0.4 2008.12.05 -
PCTools 4.4.2.0 2008.12.05 -
Prevx1 V2 2008.12.05 -
Rising 21.06.43.00 2008.12.05 -
SecureWeb-Gateway 6.7.6 2008.12.05 -
Sophos 4.36.0 2008.12.05 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.05 -
TheHacker 6.3.1.2.177 2008.12.05 -
TrendMicro 8.700.0.1004 2008.12.05 -
VBA32 3.12.8.10 2008.12.05 -
ViRobot 2008.12.5.1502 2008.12.05 -
VirusBuster 4.5.11.0 2008.12.05 -
Information additionnelle
File size: 48128 bytes
MD5...: 914a9709fc3bf419ad2f85547f2a4832
SHA1..: 4e6e83ce40b746f83ad895dd279cc3a0402b22fc
SHA256: 37757bc684d39073b92ecf5c92e1f2a4482d8a8ae16f168ebb0353a34059ca2e
SHA512: 70cdc3e80b09405c913a087203792c62d8dd7b6663ba06513d82eaba4a39d287<br>c04a1d70f4fc74dbc89ccb63f5c340df11022ac411b76e9daedb5aea36f93162<br>
ssdeep: 768:35dOSxuAXfhzcXFKKBqb18wkO9it8qHx7RfliPVpvYDJsNtJNYCCqtUlsNuu<br>f0AB:35dOSlXfW1Kbb1dUDHkVPNYCPtUaku8A<br>
PEiD..: -
TrID..: File type identification<br>Win64 Executable Generic (95.5%)<br>Generic Win/DOS Executable (2.2%)<br>DOS Executable Generic (2.2%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1aba3<br>timedatestamp.....: 0x480254fb (Sun Apr 13 18:46:19 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 8 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x380 0x9f3e 0x9f80 6.39 15543d14fe671724ed8710cda43492f2<br>.rdata 0xa300 0x388 0x400 4.43 a2858e7eeaf31b8264b27d85560c929a<br>.data 0xa700 0xdc 0x100 3.71 ee4232acf60ba8828b68ff3b0cd65b48<br>PAGE 0xa800 0x213 0x280 5.46 5e08dfbb449da9680ec2c28cca7db6cd<br>PAGECONS 0xaa80 0x10 0x80 1.04 61bd79003a118bcb238c982d082627d9<br>INIT 0xab00 0x6d4 0x700 5.44 b64d4171c3fa93bc265c9ec401e925ab<br>.rsrc 0xb200 0x3d8 0x400 3.34 47d5ae419cbe543640935c095c3c8402<br>.reloc 0xb600 0x59e 0x600 5.97 75a9ed5985aef61cd462621ecb9a673a<br><br>( 2 imports ) <br>> NTOSKRNL.EXE: IoFreeWorkItem, IoAllocateIrp, IoFreeMdl, MmBuildMdlForNonPagedPool, IoAllocateMdl, IoFreeIrp, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlAppendUnicodeToString, ExAllocatePoolWithTag, ZwClose, ZwQueryValueKey, ZwCreateKey, IoOpenDeviceRegistryKey, InterlockedPushEntrySList, ExFreePool, IoQueueWorkItem, IoAllocateWorkItem, IofCompleteRequest, KeSetEvent, IofCallDriver, ExInitializeNPagedLookasideList, KeWaitForSingleObject, KeInitializeEvent, KeInitializeSpinLock, KeSetTimer, KeCancelTimer, RtlQueryRegistryValues, ExfInterlockedInsertTailList, KeInitializeTimer, KeInitializeDpc, RtlCopyUnicodeString, InterlockedExchange, IoReleaseCancelSpinLock, ExDeleteNPagedLookasideList, IoCreateDevice, RtlFreeUnicodeString, RtlIntegerToUnicodeString, RtlAppendUnicodeStringToString, IoRegisterDeviceInterface, IoDeleteDevice, IoAttachDeviceToDeviceStack, ObfReferenceObject, IoDetachDevice, PoSetPowerState, PoCallDriver, PoStartNextPowerIrp, KeTickCount, InterlockedPopEntrySList, ExAllocatePoolWithQuotaTag, ProbeForRead, RtlUnwind<br>> HAL.DLL: KfReleaseSpinLock, KfAcquireSpinLock, ExAcquireFastMutex, ExReleaseFastMutex<br><br>( 0 exports ) <br>

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.6.0 2008.12.05 -
AntiVir 7.9.0.42 2008.12.05 -
Authentium 5.1.0.4 2008.12.05 -
Avast 4.8.1281.0 2008.12.04 -
AVG 8.0.0.199 2008.12.05 -
BitDefender 7.2 2008.12.05 -
CAT-QuickHeal 10.00 2008.12.05 -
ClamAV 0.94.1 2008.12.05 -
Comodo 682 2008.12.04 -
DrWeb 4.44.0.09170 2008.12.05 -
eSafe 7.0.17.0 2008.12.04 -
eTrust-Vet 31.6.6245 2008.12.05 -
Ewido 4.0 2008.12.05 -
F-Prot 4.4.4.56 2008.12.04 -
F-Secure 8.0.14332.0 2008.12.05 -
Fortinet 3.117.0.0 2008.12.05 -
GData 19 2008.12.05 -
Ikarus T3.1.1.45.0 2008.12.05 -
K7AntiVirus 7.10.545 2008.12.05 -
Kaspersky 7.0.0.125 2008.12.05 -
McAfee 5455 2008.12.05 -
McAfee+Artemis 5455 2008.12.05 -
Microsoft 1.4205 2008.12.05 -
NOD32 3667 2008.12.05 -
Norman 5.80.02 2008.12.05 -
Panda 9.0.0.4 2008.12.05 -
PCTools 4.4.2.0 2008.12.05 -
Prevx1 V2 2008.12.05 -
Rising 21.06.43.00 2008.12.05 -
SecureWeb-Gateway 6.7.6 2008.12.05 -
Sophos 4.36.0 2008.12.05 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.05 -
TheHacker 6.3.1.2.177 2008.12.05 -
TrendMicro 8.700.0.1004 2008.12.05 -
VBA32 3.12.8.10 2008.12.05 -
ViRobot 2008.12.5.1502 2008.12.05 -
VirusBuster 4.5.11.0 2008.12.05 -

Information additionnelle
File size: 48128 bytes
MD5...: 914a9709fc3bf419ad2f85547f2a4832
SHA1..: 4e6e83ce40b746f83ad895dd279cc3a0402b22fc
SHA256: 37757bc684d39073b92ecf5c92e1f2a4482d8a8ae16f168ebb0353a34059ca2e
SHA512: 70cdc3e80b09405c913a087203792c62d8dd7b6663ba06513d82eaba4a39d287<br>c04a1d70f4fc74dbc89ccb63f5c340df11022ac411b76e9daedb5aea36f93162<br>
ssdeep: 768:35dOSxuAXfhzcXFKKBqb18wkO9it8qHx7RfliPVpvYDJsNtJNYCCqtUlsNuu<br>f0AB:35dOSlXfW1Kbb1dUDHkVPNYCPtUaku8A<br>
PEiD..: -
TrID..: File type identification<br>Win64 Executable Generic (95.5%)<br>Generic Win/DOS Executable (2.2%)<br>DOS Executable Generic (2.2%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1aba3<br>timedatestamp.....: 0x480254fb (Sun Apr 13 18:46:19 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 8 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x380 0x9f3e 0x9f80 6.39 15543d14fe671724ed8710cda43492f2<br>.rdata 0xa300 0x388 0x400 4.43 a2858e7eeaf31b8264b27d85560c929a<br>.data 0xa700 0xdc 0x100 3.71 ee4232acf60ba8828b68ff3b0cd65b48<br>PAGE 0xa800 0x213 0x280 5.46 5e08dfbb449da9680ec2c28cca7db6cd<br>PAGECONS 0xaa80 0x10 0x80 1.04 61bd79003a118bcb238c982d082627d9<br>INIT 0xab00 0x6d4 0x700 5.44 b64d4171c3fa93bc265c9ec401e925ab<br>.rsrc 0xb200 0x3d8 0x400 3.34 47d5ae419cbe543640935c095c3c8402<br>.reloc 0xb600 0x59e 0x600 5.97 75a9ed5985aef61cd462621ecb9a673a<br><br>( 2 imports ) <br>> NTOSKRNL.EXE: IoFreeWorkItem, IoAllocateIrp, IoFreeMdl, MmBuildMdlForNonPagedPool, IoAllocateMdl, IoFreeIrp, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlAppendUnicodeToString, ExAllocatePoolWithTag, ZwClose, ZwQueryValueKey, ZwCreateKey, IoOpenDeviceRegistryKey, InterlockedPushEntrySList, ExFreePool, IoQueueWorkItem, IoAllocateWorkItem, IofCompleteRequest, KeSetEvent, IofCallDriver, ExInitializeNPagedLookasideList, KeWaitForSingleObject, KeInitializeEvent, KeInitializeSpinLock, KeSetTimer, KeCancelTimer, RtlQueryRegistryValues, ExfInterlockedInsertTailList, KeInitializeTimer, KeInitializeDpc, RtlCopyUnicodeString, InterlockedExchange, IoReleaseCancelSpinLock, ExDeleteNPagedLookasideList, IoCreateDevice, RtlFreeUnicodeString, RtlIntegerToUnicodeString, RtlAppendUnicodeStringToString, IoRegisterDeviceInterface, IoDeleteDevice, IoAttachDeviceToDeviceStack, ObfReferenceObject, IoDetachDevice, PoSetPowerState, PoCallDriver, PoStartNextPowerIrp, KeTickCount, InterlockedPopEntrySList, ExAllocatePoolWithQuotaTag, ProbeForRead, RtlUnwind<br>> HAL.DLL: KfReleaseSpinLock, KfAcquireSpinLock, ExAcquireFastMutex, ExReleaseFastMutex<br><br>( 0 exports ) <br>
0
Réponse 29 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
16 avril 2009 à 12:54
Bon je suis entrain des recherches pour ton probleme de rootkit,on est entrain de faire des tests sur deux autres antirootkit assez puissants
0
Réponse 30 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
16 avril 2009 à 16:50
Telecharges ESCAN de kaspersky (suis bien le tutorial notamment pour la mise a jour)

https://forums.cnetfrance.fr

Si tu as un probleme pour la mise a jour de escan, reviens vers moi.

Si tout est ok lances le scan en mode sans echec (cela prendra une bonne heure).

https://www.malekal.com/demarrer-windows-mode-sans-echec/
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
16 avril 2009 à 23:21
ouf, j'ai du faire un erreur dans le paramétrage ,5 h 30 de scan , le rapport est trés trés long ,impossible à mettre ici je pense;il y a t'il une partie en particulier que je puisse te poster?
0
Réponse 31 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
16 avril 2009 à 23:41
Tu peux poster le rapport ici

http://www.cijoint.fr/

Et copies colles moi le lien pour que je le recupere
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
17 avril 2009 à 00:01
ça ne fonctionne pas , erreur du serveur
0
Réponse 32 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
17 avril 2009 à 00:15
Bon il fait combien de page le rapport?
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
17 avril 2009 à 00:25
le rapport fait 13 mo ,je l'ai deposer sur un espace de stokage mais mon post avec le lien ne passe pas
0
Réponse 33 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
17 avril 2009 à 00:25
Tu peux pas le couper en plusieurs bouts
0
Réponse 34 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
17 avril 2009 à 00:27
oui c'est limité a 8mo ,il me semble,mais il fait combien de page,c'est pas possible ,une page doit fait 13ko normalement,c'est pas possible ,y'a pas mille page
0
Réponse 35 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
17 avril 2009 à 00:30
Bon essaies de le zipper a priori ci joint prend les fichiers zip
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
17 avril 2009 à 00:33
j'ai le lien de telechargement ,mais pourquoi à chaque fois que je le copie colle le post ne passe pas
0
Réponse 36 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
17 avril 2009 à 00:38
Tu dois avoir un lien que tu colles sur cette page afin que je puisse acceder au rapport
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
17 avril 2009 à 00:41
oui j'ai le lien ,mais une fois collé ici ,mon message ne passe pas sur le forum
0
Réponse 37 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
17 avril 2009 à 00:44
ha d'accord,attends je me renseigne ,c'est pas normal
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
17 avril 2009 à 00:45
je te l'ai envoyer en message privé via ton profil
0
Réponse 38 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
17 avril 2009 à 00:47
oui c'est bon ca telecharge,bonne idée,j'allais te le proposer
0
Réponse 39 / 92
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 174
17 avril 2009 à 01:05
Bon,je vais me coucher,on reprend demain,y'a 10 000 pages sur ce rapport.Bonsoir
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
17 avril 2009 à 01:11
pas de soucis , c'est effectivement un sacré morceau ,@+
0
Réponse 40 / 92
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
17 avril 2009 à 01:27
Salut je remplace loloetseb qui et partit couché (sous son autorisation) bien sûr



-> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :


--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> NB: Pour ceux qui on vista Faire un clic droit sur le raccourci UsbFix présent sur ton bureau et choisir éxécuter en tant qu'administrateur .


--> Choisis l'option 1 (recherche)



--> Poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
0
tribord44 Messages postés 127 Date d'inscription jeudi 29 janvier 2009 Statut Membre Dernière intervention 22 avril 2011
17 avril 2009 à 09:33
bonjour à vous deux ; voici donc le rapport usbfix

############################## [ UsbFix V3.008 ]

# User : M V (Administrateurs) #
# Update on 13/04/09 by C_XX & Chiquitine29
# Start at: 09:20:12 | 17/04/2009

# AMD Athlon(TM) XP 2600+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 114,48 Go (14,58 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 3,73 Go (1,73 Go free) [ZMATE 4GB] # FAT32
# G:\ # Disque fixe local # 244,14 Go (147,68 Go free) [DD externe] # NTFS
# H:\ # Disque fixe local # 221,62 Go (221,55 Go free) [DD externe] # NTFS
# I:\ # Disque amovible # 7,67 Go (2,26 Go free) [CLÉ ISA] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\BufferZone\CLNTSVC.EXE
C:\Program Files\BufferZone\BZDCOMLAUNCH.EXE
C:\Program Files\BufferZone\BZRPCSS.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page_bak"="res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%65%65%67%6f%2e%64%6c%6c/%73%70%2e%68%74%6d%6c"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="https://www.google.com/webhp?hl=fr&gws_rd=ssl"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="M V"
HKLM_logon: "AltDefaultUserName"="M V"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKCU_Run: H/PC Connection Agent="C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
HKCU_Run: SUPERAntiSpyware=C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
HKCU_Run: LDM=\Program\
HKCU_Run: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=
HKLM_Run: PCLEPCI=C:\PROGRA~1\PINNAC~1\PPE\PPE.EXE
HKLM_Run: LogitechVideoRepair=C:\Program Files\Logitech\Video\ISStart.exe
HKLM_Run: LogitechVideoTray=C:\Program Files\Logitech\Video\LogiTray.exe
HKLM_Run: PinnacleDriverCheck=C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
HKLM_Run: OpwareSE2="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
HKLM_Run: ContentTransferWMDetector.exe=C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
HKLM_Run: KernelFaultCheck=%systemroot%\system32\dumprep 0 -k
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=

################## [ Informations ]


# -> ( Value | Good = 0x0 Bad = 0x1 )

# HKCU\SOFTWARE\...\Policies\System "DisableRegedit" = (0x0)
# HKCU\SOFTWARE\...\Policies\System "DisableRegistryTools" = (0x0)
# HKCU\SOFTWARE\...\Policies\System "DisableTaskMgr" = (0x0)

# HKLM\SOFTWARE\...\Policies\System "DisableRegedit" = (0x0)
# HKLM\SOFTWARE\...\Policies\System "DisableRegistryTools" = (0x0)
# HKLM\SOFTWARE\...\Policies\System "DisableTaskMgr" = (0x0)

################## [ Fichiers # Dossiers infectieux ]

Found ! C:\WINDOWS\system32\tmp.reg

################## [ Registre # Clés Run infectieuses ]

# -> Not Found !

################## [ Registre # Mountpoints2 ]

# -> Not Found !

################## [ ! Fin du rapport # UsbFix V3.008 ! ]
0