messenger skinnerRésolu/Fermé

Question

Bonjour,
j'ai un petit problème donc  spybot search and destroy me dit a chaque analyse qu'un spyware de type trojan messenger skinner est dans mon pc et chaque fois que je veut le supprimer un message s'affiche et me dit que cette application doit se lancer en tant qu administrateur et donc que moi je ne peut pas mais je suis pourtant administrateur je ne sait pas si c'est sa mais j'ai l'impression que ce virus ralenti mon pc aidé moi si il vous plait merci d'avance

jlpjlp · Answer

slt
pour lancer spybot en administrateur clique avec le bouton droit sur le raccourci de spybot puis choisi de l'executer en administrateur et la cela devrait marcher


cependant spybot etant peu efficace pour cette infection fais par la suite ceci pour etre sûr:





Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

Télécharge maintenant Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

en tant qu'administrateur".

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

jordan619 · Answer

sa je l'ai fait voici le rapport

 Fix Navipromo version 4.0.1 commencé le 24/07/2009 14:55:04,47

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 18.07.2009 à 11h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Basique  ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 Processor 3500+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : jordan ( Not Administrator ! )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1335 [VPS 090316-0] 4.8.1335 (Activated)


C:\ (Local Disk) - NTFS - Total:228 Go (Free:141 Go)
D:\ (Local Disk) - NTFS - Total:4 Go (Free:0 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Users\jordan\AppData\Local\virtualstore\Program Files\InternetGamebox supprimé ! 
C:\Windows\system32
vs2.inf supprimé !
C:\Users\jordan\AppData\Local\eqawa.exe supprimé !
C:\Users\jordan\AppData\Local\eqawa.dat supprimé !
C:\Users\jordan\AppData\Local\eqawa_nav.dat supprimé !
C:\Users\jordan\AppData\Local\eqawa_navps.dat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\jordan\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !





*** Scan terminé 24/07/2009 15:43:54,25 ***
peut tu regarder et me dire si il y a du changement car je ne comprend rien et je vais essayer la manip avec spybot et ofete merci

jlpjlp · Answer

ok

il a été mis en quarantaine dans navilog

lance tool cleaner pour virer tout et colle moi le rapport
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/



ensuite seulement fais la manip avec spybot

jordan619 · Answer

ok merci

jordan619 · Answer

[ Rapport ToolsCleaner version 2.3.7 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\cleannavi.txt: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
 voila je fait quoi je supprime?

jlpjlp · Answer

oui vire tout

jordan619 · Answer

---------------------------------
--> Suppression: 

C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\cleannavi.txt: supprimé !
C:\Program Files\Navilog1: supprimé !
 voila ce que sa me met je suppose que sa veut dire que messenger skinner est supprimer et une autre question j'ai été infecté par 2 ou trois cheval de troie avast ma proposé de les mettre en quarantaine je l'ai fait est ce que c'est mauvais pour mon pc, sa le fait ramer?merci d'avance

jlpjlp · Answer

colle le rapport avast après suppression puis pour verifier ton pc



scan avec malwarebyte , fais un scan rapide et colle le rapport obtenu et vire ce qui est trouvé:


https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

______________________

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

jordan619 · Answer

la je lai telecharger je vais l'installer est ce que il va rentrer en conflit avec spybot

jlpjlp · Answer

non la version gratuite ne rentrera pas en conflit avec spybot et est complementaire

jordan619 · Answer

merci bcp pour ton aide j'ai  fait tous ce que tu ma dit et j'ai suupromé 6 infection ( c'est beaucoup) mais dans le rapport ci dessous je n ai pas vu les cheval de troie  et mon pc ram toujors internet peine a ce lancer et windows live messenger aussi il ne reponds pas pour msn je crois que c'est a cause dune mise a jour que j'ai télécharger qui donne droit a des skins (sa rend msn plus esthetique )  je pense peut etre que cela a un lien avec messenger skiner mais pas sur donc comment faire pour que mon pc ne ram plus c'est un 512mo donc c'est pas le top mais normalement c'est mieux que sa
 
voici le rapport

Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2494
Windows 6.0.6001 Service Pack 1

24/07/2009 20:20:55
mbam-log-2009-07-24 (20-20-55).txt

Type de recherche: Examen rapide
Eléments examinés: 93470
Temps écoulé: 12 minute(s), 36 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
C:\Users\jordan\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (Adware.EoRezo) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\softwarehelper (Adware.EoRezo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\jordan\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\Users\mickael\Desktop\Spyware-Secure trial.lnk (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\install.exe (Trojan.Agent) -> Quarantined and deleted successfully.

jlpjlp · Answer

colle les rapports RSIT

jordan619 · Answer

dsl j'ai oublié cette partie

jlpjlp · Answer

oui ...

jordan619 · Answer

voici les deux rapport ils sont tres long
le 1er



Logfile of random's system information tool 1.06 (written by random/random)
Run by jordan at 2009-07-24 20:53:50
Microsoft® Windows Vista™ Édition Familiale Basique  Service Pack 1
System drive C: has 166 GB (71%) free of 234 GB
Total RAM: 446 MB (10% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:55:19, on 24/07/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\hp\support\hpsysdrv.exe
C:\hp\KBD\kbd.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Windows\System32undll32.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Users\jordan\AppData\Roaming\DeskSpace\deskspace.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Users\jordan\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Users\jordan\AppData\Roaming\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Users\jordan\Downloads\RSIT.exe
C:\Program Files	rend micro\jordan.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DPService] "C:\Program Files\HP\DVDPlay\DPService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MediaDICO36] C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\LanceMediaDICO36.exe Lancement
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DeskSpace] C:\Users\jordan\AppData\Roaming\DeskSpace\deskspace.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Outil de notification Live Search.lnk = C:\Users\jordan\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC11F46-63AC-4DEF-9685-F62B2C1A6D2C}: NameServer = 212.216.212.112,212.216.172.62
O17 - HKLM\System\CS1\Services\Tcpip\..\{6BC11F46-63AC-4DEF-9685-F62B2C1A6D2C}: NameServer = 212.216.212.112,212.216.172.62
O17 - HKLM\System\CS2\Services\Tcpip\..\{6BC11F46-63AC-4DEF-9685-F62B2C1A6D2C}: NameServer = 212.216.212.112,212.216.172.62
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe

jlpjlp · Answer

pour adobe il faudra mettre la version 9 d'adobe

_______________

analyse ce fichier sur virus total et colle le rapport    https://www.virustotal.com/gui/

C:\Users\jordan\AppData\Roaming\DeskSpace\deskspace.exe

jord@n619 · Answer

tu veut me dire que ta lu tout sa et que dans tous sa ya que sa qui vas pas donc si je fait se que tu ma dis mon pc ne ramera plus?

jord@n619 · Answer

je peut pas faire copier coller donc il faut que je cherche manuellement le fichier et je sait c'est quoi deskspace mais les codes avant appdata... faut que je cherche dans quel dossiers (telechargement...)

jord@n619 · Answer

bon en tous cas je n'ai pas pu anlyser C:\Users\jordan\AppData\Roaming\DeskSpace\deskspace.exe car je ne l ai pas trouver mais j'ai analyser sa C:\Users\jordan\Downloads\deskspace-ex-yod-m-3d_deskspace_1.5.4_francais_45134.exe et esafe a trouver un trojan voila le rapport

File size: 9990595 bytes
MD5   : 98a75ac254db15090da311fe677500de
SHA1  : 07aba81f8a0a3e6b9440f2d853efe1864227bfbf
SHA256: f09c5e44f4508a04ff56f8820f0bdc3e61dcdc83768f26a243c4bd13c8eee159
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x94350
timedatestamp.....: 0x47701ED4 (Mon Dec 24 22:04:20 2007)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x8F000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x90000 0x5000 0x4600 7.85 3806867d9dbedbdae6bddb7be31883e3
.rsrc 0x95000 0x66000 0x65200 4.75 c9adf510491bb3faaa3ec2b51386ac76

( 8 imports )

> advapi32.dll: RegEnumKeyA
> comctl32.dll: -
> gdi32.dll: SetBkMode
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ole32.dll: CoTaskMemFree
> shell32.dll: ShellExecuteA
> user32.dll: GetDC
> version.dll: VerQueryValueA

( 0 exports )
TrID  : File type identification
43.8% (.EXE) UPX compressed Win32 Executable (30569/9/7)
38.1% (.EXE) Win32 EXE Yoda's Crypter (26569/9/4)
12.2% (.EXE) Win32 Executable Generic (8527/13/3)
2.8% (.EXE) Generic Win/DOS Executable (2002/3)
2.8% (.EXE) DOS Executable Generic (2000/1)
ssdeep: 196608:8Y40ckPgoGhDO+rxsGbBNE/be43qQ2KPU76oyiWjSe5mm6u91:Pc3O+rawBNE/q43qQ2sk/WjSeJ6uH
PEiD  : -
packers (Kaspersky): PE_Patch.UPX, UPX, Execryptor
packers (F-Prot): UPX
RDS   : NSRL Reference Data Set

jlpjlp · Answer

ok deskspace c'est toi qui l'a mis ? tu l'utilise?

C:\Users\jordan\Downloads\deskspace-ex-yod-m-3d_deskspace_1.­5.4_francais_45134.exe
C:\Users\jordan\AppData\Roaming\DeskSpace\deskspace.exe


______________________



colle un scan en ligne avec un des suivant

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr 

panda en ligne:
https://www.informatruc.com

jord@n619 · Answer

oui c'est moi qui lai mis et qui lutilise

jlpjlp · Answer

alors laisse c'est un faux positif

passe au scan en ligne pour vérifier ton pc

jord@n619 · Answer

c'est quoi un faux positif ? la je fait la recherche avec kapersky

jlpjlp · Answer

=  un fichier considéré comme infectieux alors qu'il ne l'est pas !

jord@n619 · Answer

dsl de ne pas avoir repondu avant j'étais en vacances

jlpjlp · Answer

ok fais le scan en ligne et colle le rapport

jord@n619 · Answer

la je fait lanalyse avec panda security les autres ne marchent pas et est ce que internet explorer et fire fox peuvent entrer en conflit parce que j'avais internet exploreur d'origine et j'ai installé fire fox tous ce passait bien lorsquon ma proposer dinstaller IE la version8 je lai fait et après je n arrivait plus a lancer fire fox alors je lai supprimer mais lequel est le mieux entre ces deux la?

jord@n619 · Answer

voici le rapport panda


;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-08-11 18:46:26
PROTECTIONS: 3
MALWARE: 38
SUSPECTS: 4
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
avast! antivirus 4.8.1335 [VPS 090316-0]     4.8.1335                      Yes       Yes
Windows Defender                             1.1.1505.0                    No        Yes
avast! antivirus 4.8.1335 [VPS 090316-0]     4.8.1335                      No        Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00101185  HackTool/Gendel.A                  SecRisk             No        0         Yes            No           C:\Users\jordan\AppData\Local\VirtualStore\Program Files\ecrans2veille\Aquarium\unistall\gendel32.ex_
00139060  Cookie/Casalemedia                 TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@casalemedia[1].txt
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@doubleclick[2].txt
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\laurine@doubleclick[2].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\laurine@atdmt[2].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@atdmt[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\jordan@atdmt[2].txt
00145393  Cookie/Tradedoubler                TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\laurine@tradedoubler[2].txt
00145393  Cookie/Tradedoubler                TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@tradedoubler[1].txt
00145405  Cookie/RealMedia                   TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@247realmedia[2].txt
00145405  Cookie/RealMedia                   TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@247realmedia[2].txt
00145457  Cookie/FastClick                   TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@fastclick[2].txt
00145731  Cookie/Tribalfusion                TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@tribalfusion[2].txt
00145731  Cookie/Tribalfusion                TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@tribalfusion[1].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\laurine@mediaplex[2].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@mediaplex[1].txt
00167642  Cookie/Com.com                     TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@com[1].txt
00167642  Cookie/Com.com                     TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@com[1].txt
00167647  Cookie/Yadro                       TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@yadro[1].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\laurine@xiti[1].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\jordan@xiti[1].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@xiti[1].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@xiti[1].txt
00167709  Cookie/fe.lea.lycos                TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@fe.lea.lycos[1].txt
00167709  Cookie/fe.lea.lycos                TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@fe.lea.lycos[1].txt
00167749  Cookie/Toplist                     TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@toplist[1].txt
00167753  Cookie/Statcounter                 TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@statcounter[2].txt
00168048  Cookie/Overture                    TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\jordan@perf.overture[1].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\laurine@ad.yieldmanager[2].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@ad.yieldmanager[2].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@ad.yieldmanager[1].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@apmebf[2].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@apmebf[1].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\laurine@apmebf[1].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\laurine@serving-sys[1].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@serving-sys[2].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@serving-sys[1].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\jordan@serving-sys[2].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\laurine@bs.serving-sys[2].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@bs.serving-sys[2].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@bs.serving-sys[2].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\jordan@bs.serving-sys[2].txt
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@weborama[1].txt
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\jordan@weborama[1].txt
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\laurine@weborama[1].txt
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@weborama[2].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@adtech[2].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@adtech[1].txt
00168110  Cookie/Server.iad.Liveperson       TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@server.iad.liveperson[2].txt
00168110  Cookie/Server.iad.Liveperson       TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@server.iad.liveperson[2].txt
00168116  Cookie/Comclick                    TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\jordan@fl01.ct2.comclick[2].txt
00168116  Cookie/Comclick                    TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@fl01.ct2.comclick[2].txt
00168116  Cookie/Comclick                    TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@fl01.ct2.comclick[2].txt
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@advertising[1].txt
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@advertising[2].txt
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\laurine@advertising[2].txt
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\jordan@advertising[2].txt
00170304  Cookie/WebtrendsLive               TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@statse.webtrendslive[1].txt
00170495  Cookie/PointRoll                   TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@ads.pointroll[2].txt
00170495  Cookie/PointRoll                   TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\laurine@ads.pointroll[1].txt
00170495  Cookie/PointRoll                   TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@ads.pointroll[1].txt
00170495  Cookie/PointRoll                   TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\jordan@ads.pointroll[2].txt
00170554  Cookie/Overture                    TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@overture[1].txt
00170554  Cookie/Overture                    TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@overture[2].txt
00171982  Cookie/QuestionMarket              TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@questionmarket[1].txt
00171982  Cookie/QuestionMarket              TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@questionmarket[1].txt
00172221  Cookie/Zedo                        TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@zedo[2].txt
00184846  Cookie/Adrevolver                  TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@adrevolver[2].txt
00187950  Cookie/bravenetA                   TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@bravenet[1].txt
00194327  Cookie/Go                          TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@go[2].txt
00194327  Cookie/Go                          TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@go[2].txt
00199984  Cookie/Searchportal                TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@searchportal.information[1].txt
00199984  Cookie/Searchportal                TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@searchportal.information[1].txt
00207936  Cookie/Adviva                      TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@adviva[1].txt
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\Users\mickael\AppData\Roaming\Microsoft\Windows\Cookies\Low\mickael@smartadserver[1].txt
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\jordan@smartadserver[1].txt
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\laurine@smartadserver[1].txt
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@smartadserver[1].txt
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@smartadserver[2].txt
00286732  Cookie/Cgi-bin                     TrackingCookie      No        0         Yes            No           C:\Users\jordan\AppData\Roaming\Microsoft\Windows\Cookies\Low\jordan@www3.addfreestats[1].txt
01196325  Cookie/Enhance                     TrackingCookie      No        0         Yes            No           C:\Users\laurine\AppData\Roaming\Microsoft\Windows\Cookies\Low\laurine@enhance[1].txt
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              &#65533;#H&#65533;&#65533;&#65533;9
;===================================================================================================================================================================================
Yes       C:\Users\jordan\AppData\Local\gnc.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                 &#65533;#H&#65533;&#65533;&#65533;9
Yes       C:\Users\jordan\Downloads\ossvg1006.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                               &#65533;#H&#65533;&#65533;&#65533;9
Yes       C:\Users\laurine\AppData\Local\gnc.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                &#65533;#H&#65533;&#65533;&#65533;9
Yes       C:\Users\mickael\AppData\Local\gnc.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                &#65533;#H&#65533;&#65533;&#65533;9
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                &#65533;#H&#65533;&#65533;&#65533;9
;===================================================================================================================================================================================
;===================================================================================================================================================================================

jlpjlp · Answer

Télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.
(attention bien mettre :files)


:processes
explorer.exe
:files
C:\Users\jordan\AppData\Local\VirtualStore\Program Files\ecrans2veille\Aquarium\unistall\gendel32.ex_
:commands
[purity]
[emptytemp]
[start explorer]

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

_______________




analyse ces fichiers sur virus total et colle les rapports:  https://www.virustotal.com/gui/

C:\Users\jordan\AppData\Local\gnc.exe
C:\Users\jordan\Downloads\ossvg1006.exe
C:\Users\laurine\AppData\Local\gnc.exe
C:\Users\mickael\AppData\Local\gnc.exe

jord@n619 · Answer

pour le premier voila le rapport

a-squared 4.5.0.24 2009.08.12 - 
AhnLab-V3 5.0.0.2 2009.08.12 Win-Trojan/Xema.variant 
AntiVir 7.9.1.1 2009.08.12 - 
Antiy-AVL 2.0.3.7 2009.08.12 - 
Authentium 5.1.2.4 2009.08.12 W32/Heuristic-210!Eldorado 
Avast 4.8.1335.0 2009.08.12 - 
AVG 8.5.0.406 2009.08.12 Suspicion: unknown virus 
BitDefender 7.2 2009.08.12 - 
CAT-QuickHeal 10.00 2009.08.12 Trojan.Agent.IRC 
ClamAV 0.94.1 2009.08.12 - 
Comodo 1956 2009.08.12 TrojWare.Win32.TrojanDownloader.Tibs.1 
DrWeb 5.0.0.12182 2009.08.12 - 
eSafe 7.0.17.0 2009.08.11 Suspicious File 
eTrust-Vet 31.6.6673 2009.08.12 - 
F-Prot 4.4.4.56 2009.08.12 W32/Heuristic-210!Eldorado 
F-Secure 8.0.14470.0 2009.08.12 Suspicious:W32/Malware!Gemini 
Fortinet 3.120.0.0 2009.08.12 - 
GData 19 2009.08.12 - 
Ikarus T3.1.1.64.0 2009.08.12 - 
Jiangmin 11.0.800 2009.08.12 Trojan/PSW.OnLineGames.acir 
K7AntiVirus 7.10.817 2009.08.12 Trojan.Win32.Malware.1 
Kaspersky 7.0.0.125 2009.08.12 - 
McAfee 5707 2009.08.12 Generic.dx 
McAfee+Artemis 5707 2009.08.12 Generic.dx 
McAfee-GW-Edition 6.8.5 2009.08.12 Heuristic.LooksLike.Win32.SuspiciousPE.A 
Microsoft 1.4903 2009.08.12 - 
NOD32 4330 2009.08.12 - 
Norman 6.01.09 2009.08.12 W32/Packed_FSG.D 
nProtect 2009.1.8.0 2009.08.12 - 
Panda 10.0.0.14 2009.08.12 Suspicious file 
PCTools 4.4.2.0 2009.08.12 Packed/FSG 
Prevx 3.0 2009.08.12 - 
Rising 21.42.23.00 2009.08.12 - 
Sophos 4.44.0 2009.08.12 Mal/Packer 
Sunbelt 3.2.1858.2 2009.08.12 - 
Symantec 1.4.4.12 2009.08.12 - 
TheHacker 6.3.4.3.381 2009.08.11 - 
TrendMicro 8.950.0.1094 2009.08.12 Cryp_Bits 
VBA32 3.12.10.9 2009.08.12 suspected of Unknown.Win32Virus 
ViRobot 2009.8.12.1881 2009.08.12 - 
VirusBuster 4.6.5.0 2009.08.12 -

jord@n619 · Answer

voila le deuxieme 

a-squared 4.5.0.24 2009.08.12 - 
AhnLab-V3 5.0.0.2 2009.08.12 - 
AntiVir 7.9.1.1 2009.08.12 - 
Antiy-AVL 2.0.3.7 2009.08.12 - 
Authentium 5.1.2.4 2009.08.12 - 
Avast 4.8.1335.0 2009.08.12 - 
AVG 8.5.0.406 2009.08.12 - 
BitDefender 7.2 2009.08.12 - 
CAT-QuickHeal 10.00 2009.08.12 - 
ClamAV 0.94.1 2009.08.12 - 
Comodo 1956 2009.08.12 - 
DrWeb 5.0.0.12182 2009.08.12 - 
eSafe 7.0.17.0 2009.08.11 - 
eTrust-Vet 31.6.6673 2009.08.12 - 
F-Prot 4.4.4.56 2009.08.12 - 
F-Secure 8.0.14470.0 2009.08.12 - 
Fortinet 3.120.0.0 2009.08.12 - 
GData 19 2009.08.12 - 
Ikarus T3.1.1.64.0 2009.08.12 - 
Jiangmin 11.0.800 2009.08.12 - 
K7AntiVirus 7.10.817 2009.08.12 - 
Kaspersky 7.0.0.125 2009.08.12 - 
McAfee 5707 2009.08.12 - 
McAfee+Artemis 5707 2009.08.12 - 
McAfee-GW-Edition 6.8.5 2009.08.12 - 
Microsoft 1.4903 2009.08.12 - 
NOD32 4330 2009.08.12 - 
Norman 6.01.09 2009.08.12 Spybot.DOGW 
nProtect 2009.1.8.0 2009.08.12 - 
Panda 10.0.0.14 2009.08.12 Suspicious file 
PCTools 4.4.2.0 2009.08.12 - 
Prevx 3.0 2009.08.12 - 
Rising 21.42.23.00 2009.08.12 - 
Sophos 4.44.0 2009.08.12 - 
Sunbelt 3.2.1858.2 2009.08.12 - 
Symantec 1.4.4.12 2009.08.12 - 
TheHacker 6.3.4.3.381 2009.08.11 - 
TrendMicro 8.950.0.1094 2009.08.12 - 
VBA32 3.12.10.9 2009.08.12 - 
ViRobot 2009.8.12.1881 2009.08.12 - 
VirusBuster 4.6.5.0 2009.08.12 -

jord@n619 · Answer

pour les autres c'est le meme que le premier sauf quil est sur les autre session de mon pc

jord@n619 · Answer

voici le rapport otm

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\Users\jordan\AppData\Local\VirtualStore\Program Files\ecrans2veille\Aquarium\unistall\gendel32.ex_ moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9BUD7NUC\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0L9EWZNP\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0KC4NF5K\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0HMYG5PJ\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\desktop.ini scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9BUD7NUC\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0L9EWZNP\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0KC4NF5K\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0HMYG5PJ\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini scheduled to be deleted on reboot.
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\desktop.ini scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
 
User: jordan
->Temp folder emptied: 11394423 bytes
->Temporary Internet Files folder emptied: 111463708 bytes
->Java cache emptied: 8885724 bytes
->FireFox cache emptied: 46279209 bytes
->Google Chrome cache emptied: 613065 bytes
 
User: laurine
 
User: mickael
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 3095668 bytes
 
Total Files Cleaned = 173,38 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 08122009_195306

Files moved on Reboot...
File move failed. C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9BUD7NUC\desktop.ini scheduled to be moved on reboot.
File move failed. C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0L9EWZNP\desktop.ini scheduled to be moved on reboot.
File move failed. C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0KC4NF5K\desktop.ini scheduled to be moved on reboot.
File move failed. C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0HMYG5PJ\desktop.ini scheduled to be moved on reboot.
File move failed. C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini scheduled to be moved on reboot.
File move failed. C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\desktop.ini scheduled to be moved on reboot.
File move failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9BUD7NUC\desktop.ini scheduled to be moved on reboot.
File move failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0L9EWZNP\desktop.ini scheduled to be moved on reboot.
File move failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0KC4NF5K\desktop.ini scheduled to be moved on reboot.
File move failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0HMYG5PJ\desktop.ini scheduled to be moved on reboot.
File move failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini scheduled to be moved on reboot.
File move failed. C:\Users\Default User\AppData\Local\Microsoft\Windows\Temporary Internet Files\desktop.ini scheduled to be moved on reboot.

Registry entries deleted on Reboot...

jlpjlp · Answer

Télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.
(attention bien mettre :files)


:processes
explorer.exe
:files
C:\Users\jordan\AppData\Local\gnc.exe
C:\Users\jordan\Downloads\ossvg1006.exe
C:\Users\laurine\AppData\Local\gnc.exe
C:\Users\mickael\AppData\Local\gnc.exe
:commands
[purity]
[emptytemp]
[start explorer]

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

_______________ 

lance tool cleaner pour tout virer et colle le rapport:


https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

____________________

encore des soucis avec ton pc?

jord@n619 · Answer

oui jen ai encore il est deja plus rapide quavant mais pour ouvrir plusieurs fenetre en meme temps il a du mal il a aussi du mal pour ouvrir l'explorateur windows et internet et ofete merci pour tout ce que tu fais pour moi mais le truc otm je vien de le faire

jlpjlp · Answer

ok fait otm du message 34

puis




Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

jord@n619 · Answer

je suis obligée d installé la con sole de récuperation?

jord@n619 · Answer

dsl mais je nai pas pu avoir le rapport car des que combofix a fini son travail mon fond d ecran etait toujours noir et je ne pouvait lancer aucune application ils me disaient un truc du genre " sans autorisation avec une clé de registre" 
je sais c'est flou mais je ne me souviens plus de la phrase exacte et je narrive pas a trouver le rapport

jlpjlp · Answer

redemarre ton pc

et dis comment il va


si tu peux:
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

jord@n619 · Answer

ba la tu vois mon internet ne marche plus sur mon pc

jord@n619 · Answer

et sur le tuto ils expliquent comment faire mais pour xp donc stp aide moi

jlpjlp · Answer

colle un rapport avec dr web:

https://www.commentcamarche.net/telecharger/securite/7749-dr-web-cureit/

https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/33668.html

jord@n619 · Answer

mais le probleme n est plus de nettoyer le pc mais de faire fonctionner internet

jlpjlp · Answer

Pour réparer la connexion internet:




1/
# Cliquez sur le bouton Démarrer.
# Cliquez sur l'option de menu Paramètres.
# Cliquez sur l'option Panneau de configuration.
# Après l'ouverture du Panneau de configuration, faites un double clic sur l'icône Connexions réseau. Si votre Panneau de configuration est paramétré pour un affichage en catégories, faites un double clic sur Connexions réseau et Internet puis cliquez sur Connexions réseau tout en bas.
# Vous verrez alors une liste de toutes les connexions réseau disponibles. Repérez la connexion vers votre adaptateur Sans Fil ou Réseau local et faites un clic droit dessus.
# Cliquez simplement sur l'option de menu Réparer.

2/
utilise lspfix

http://lanceyien-info.com/index.php?page=utilitaires#lspfix
http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,391­38667s,00.htm


3/
-Télécharge cet outil d'ici:
WinSockFix
http://www.softpedia.com/progDownload/WinS...load-15337.html­
(prends le deuxieme miroir)
-Une fois téléchargé,tu le lances

-Tu cliques sur"ReG-Backup" pour créer une sauvegarde du registre,dans un dossier de ton choix.

-Une fois la sauvegarde éffectuée,clique sur "Fix", au méssage "WinsockFix will now attempt to Repair your connection" tu reponds par "OUI"

-Il va travailler,tu le laisse faire,à la fin des corrections tu auras le méssage suivant"Repair completed Please Reboot", tu cliques sur "OK"

-Le PC va redémarrer,

-Communique les résultats.


___________________

4/
erreur 1068 - Suite à infection virale de votre ordinateur avec un virus du type "bagle" ou "beagle" ...

Vous n'arrivez plus a vous connecter avec votre wifi. Si vous allez dans les outils administration sur la page "services" pour activer "configuration automatique sans fil" vous avez l'erreur 1068.

Si c'est votre cas et que vous vous etes arraché les cheveux, voici la solution:

Vous devez aller dans la base de registre avec regedit ou autre.

1. Demarrer > executer > Tapez : "regedit" en ok

2. Allez sur HKEY Local Machine > system > CurrentControlSet > Services > Ndisuio

Dans cette clé il y a une entrée nommée "START", double cliquez dessus. Cette entrée doit être 3 pour que le protocole NDIS E/S demarre correctement.

Un virus comme "bagle / Beagle" change cette entrée et la met sur 4 (disable) et cause le probleme que vous avez.

Reboutez ensuite votre PC et tout devrait rentrer dans l'ordre.


5/ utilise ZEB RESTORE


http://telechargement.zebulon.fr/zeb-restore.html

____________

6/
ou repare windows

http://www.informatruc.com/reparer-windows-xp/

jord@n619 · Answer

merci bcp pour ces information mais c'est bon j'ai appelé mon operateur et c'etait un probleme d adresse IP c'est reglé

jlpjlp · Answer

ok parfait

Messenger skinner

46 réponses

Discussions similaires

Newsletters