Bonjour, j'ai un problème que plusieurs ont sur le forum. Google redirige les pages et youtube est non-fonctionnel des fois. De plus, blogspot (google) est non fonctionnel avec google chrome. J'ai essayé de lire les autres sujets, mais je crois que c'est du cas par cas. Alors si quelqu'un peut m'aider, je suis en fin de session et ça me serait très utile un ordi fonctionnel. Merci de votre temps Minh Configuration: Windows XP / Firefox 3.6.3

bonjour Télécharge ZHPDiag ( de Nicolas coolman ). https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (outil de diagnostic) Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " ) Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista ) Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. Rend toi sur Cjoint : http://www.cijoint.fr/ Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message si soucis avec ci joint. fr => utiliser https://www.cjoint.com/

Merci beaucoup de la rapidité de votre réponse :) http://www.cijoint.fr/cjlink.php?file=cj201004/cijriyBcyB.txt

ok un détournement DNS...(mais il m'a l'air nouveau) 1) postes le rapport MBAM que tu as effectué .... 2) Télécharge WareOut Removal Tool (par dj QUIOU & la team sécurité MH) ici : http://pc-system.fr/ Lance le fichier WareOut_Removal_Tool.bat et choisis l'option n°1 Patiente (une à deux minutes maximum) pendant que le programme sauvegarde le registre Lis bien attentivement les instructions qui te seront données A la fin de l'analyse, un rapport va s'ouvrir, poste le dans ta prochaine réponse. Je cherche beaucoup...et maintenant je trouve ! (sourire)

ce sont les détournements en question justement "qui" te l'indique ? Je cherche beaucoup...et maintenant je trouve ! (sourire)

ok fais ceci Télécharge rkill Enregistre-le sur ton Bureau Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur) Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas change de lien de téléchargement en utilisant le suivant à partir d'ici: https://download.bleepingcomputer.com/grinler/rkill.exe https://download.bleepingcomputer.com/grinler/rkill.exe Rkill COM: Rkill COM: https://download.bleepingcomputer.com/grinler/rkill.com https://download.bleepingcomputer.com/grinler/rkill.com Rkill SCR: Rkill RCS: https://download.bleepingcomputer.com/grinler/rkill.scr https://download.bleepingcomputer.com/grinler/rkill.scr Rkill PIF: Rkill PIF: http://download.bleepingcomputer.com/grinler/rkill.pif http://download.bleepingcomputer.com/grinler/rkill.pif une fois qu'il aura terminé Lances MalwareByte's Anti-Malware . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour => car il ne l'était pas . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte . Une fois la mise à jour terminé . Rend-toi dans l'onglet, Recherche . Sélectionnes Exécuter un examen complet (examen assez long) . Cliques sur Rechercher . Le scan démarre. . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. . Cliques sur Ok pour poursuivre. . [b]Si des malwares ont été détectés, clique sur Afficher les résultats . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. . Rends toi dans l'onglet rapport/log . Tu cliques dessus pour l'afficher, une fois affiché . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse . tu cliques droit dans le cadre de la reponse et coller Si tu as besoin d'aide regarde ces tutoriels : Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

ok redémarrer le pc en mode sans échec avec prise en charge reseau https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php Télécharge rkill Enregistre-le sur ton Bureau Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur) Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas change de lien de téléchargement en utilisant le suivant à partir d'ici: https://download.bleepingcomputer.com/grinler/rkill.exe https://download.bleepingcomputer.com/grinler/rkill.exe Rkill COM: Rkill COM: https://download.bleepingcomputer.com/grinler/rkill.com https://download.bleepingcomputer.com/grinler/rkill.com Rkill SCR: Rkill RCS: https://download.bleepingcomputer.com/grinler/rkill.scr https://download.bleepingcomputer.com/grinler/rkill.scr Rkill PIF: Rkill PIF: http://download.bleepingcomputer.com/grinler/rkill.pif http://download.bleepingcomputer.com/grinler/rkill.pif une fois qu'il aura terminé Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite) http://www.malwarebytes.org/mbam/program/mbam-setup.exe . Enregistres le sur le bureau . Double cliques sur le fichier téléchargé pour lancer le processus d'installation. . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte . Une fois la mise à jour terminé . Rend-toi dans l'onglet, Recherche . Sélectionnes Exécuter un examen complet (examen assez long) . Cliques sur Rechercher . Le scan démarre. . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. . Cliques sur Ok pour poursuivre. . [b]Si des malwares ont été détectés, clique sur Afficher les résultats . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. . Rends toi dans l'onglet rapport/log . Tu cliques dessus pour l'afficher, une fois affiché . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse . tu cliques droit dans le cadre de la reponse et coller Si tu as besoin d'aide regarde ces tutoriels : Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

le rogue est encore là et on a en plus un détournement dns Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ". ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ces lignes [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified [HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified [HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified O43 - CFD:Common File Directory ----D- C:\Program Files\IEToolbar O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Thuy Doan\Local Settings\Application Data\ave.exe O68 - StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Thuy Doan\Local Settings\Application Data\ave.exe Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". Copie/Colle le rapport à l'écran dans ton prochain message ( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )

ok maintenant le dns Télécharge WareOut Removal Tool (par dj QUIOU & la team sécurité MH) ici : http://pc-system.fr/ Lance le fichier WareOut_Removal_Tool.bat et choisis l'option n°1 Patiente (une à deux minutes maximum) pendant que le programme sauvegarde le registre Lis bien attentivement les instructions qui te seront données A la fin de l'analyse, un rapport va s'ouvrir, poste le dans ta prochaine réponse.

ok Désactivez les protections résidente "anti-virus et anti-spyware" le temps d'installer smitfraudfix et de faire l'analyse. Télechargez Smitfraudfix.exe http://siri.urz.free.fr/Fix/SmitfraudFix.php Regardez le tuto: http://www.malekal.com/tutorial_SmitFraudfix.php puis en mode sans echec Exécutez le en choisissant l'option 5 recherche et suppression detournement DNS l'outil va générer un rapport Copie/colle le rapport sur un forum . note: Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, etc...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Site officiel: http://siri.urz.free.fr/Fix/SmitfraudFix.php ............................................................. Redémarrer le pc en mode sans échec https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

ok l'infection est trop récente pour les outils...on fait autrement télécharges Hijackthis https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/ Lancer HijackThis en double-cliquant sur l'icône du logiciel Au menu principal, cliquer sur Do a system Scan only and Save a Logfile Un rapport sera alors généré dans un fichier bloc-notes, il sera situé dans le dossier désinfection initialement créé pour l'installation. Postes le ici

Google redirigé et malwarebytes envahi

Réponse 21 / 32

Utilisateur anonyme
23 avril 2010 à 17:49

tu connais ca ? :

Copyright (c) 1999-2009, Andrea Electronics Corporation

inh987 Messages postés 52 Date d'inscription mercredi 21 avril 2010 Statut Membre Dernière intervention 14 février 2011 1
23 avril 2010 à 18:04

non, qu'est-ce ?

inh987 Messages postés 52 Date d'inscription mercredi 21 avril 2010 Statut Membre Dernière intervention 14 février 2011 1
23 avril 2010 à 18:06

Selon la compagnie, ce serait des logiciels pour la conversation en ligne ?

Réponse 22 / 32

Utilisateur anonyme
23 avril 2010 à 19:40

en fais-tu ?

inh987 Messages postés 52 Date d'inscription mercredi 21 avril 2010 Statut Membre Dernière intervention 14 février 2011 1
23 avril 2010 à 23:36

Peut-être que ça vient avec mon ordinateur portable ? Je fais des conversations avec Yahoo messenger des fois.

Réponse 23 / 32

Utilisateur anonyme
23 avril 2010 à 23:49

decris exactement les soucis qu'il reste...stp

inh987 Messages postés 52 Date d'inscription mercredi 21 avril 2010 Statut Membre Dernière intervention 14 février 2011 1
24 avril 2010 à 00:40

Avec google, lorsque je fais une recherche, je choisis une page et on m'amène à d'autres pages,

Réponse 24 / 32

Utilisateur anonyme
24 avril 2010 à 00:43

avec quel navigateur ?

inh987 Messages postés 52 Date d'inscription mercredi 21 avril 2010 Statut Membre Dernière intervention 14 février 2011 1
24 avril 2010 à 00:50

mes trois navigateurs : IE, Mozilla, Google Chrome

Réponse 25 / 32

Utilisateur anonyme
24 avril 2010 à 01:03

mets windows à jour....

inh987 Messages postés 52 Date d'inscription mercredi 21 avril 2010 Statut Membre Dernière intervention 14 février 2011 1
24 avril 2010 à 01:27

Je télécharge les updates que me propose windows.

Réponse 26 / 32

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
24 avril 2010 à 17:03

fais ceci stp

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets provisoirement internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

inh987 Messages postés 52 Date d'inscription mercredi 21 avril 2010 Statut Membre Dernière intervention 14 février 2011 1
24 avril 2010 à 23:22

ComboFix 10-04-21.01 - Thuy Doan 2010-04-24 17:03:03.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.2.1033.18.1015.705 [GMT -4:00]
Lancé depuis: c:\documents and settings\Thuy Doan\Desktop\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Toolbar4
c:\recycler\S-1-5-21-2836507415-3941287240-653123443-1003
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\msconfig32.sys
c:\windows\system32\o4Patch.exe
c:\windows\system32\zf32.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-24 au 2010-04-24 ))))))))))))))))))))))))))))))))))))
.

2010-04-24 04:02 . 2010-04-14 16:31 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-04-24 04:02 . 2010-04-14 16:35 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-04-24 04:02 . 2010-04-14 16:35 162768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-04-24 04:02 . 2010-04-14 16:31 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-04-24 04:02 . 2010-04-14 16:31 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-04-24 04:02 . 2010-04-14 16:31 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-04-24 04:02 . 2010-04-14 16:30 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-04-24 04:01 . 2010-04-24 04:01 -------- d-----w- c:\program files\Alwil Software
2010-04-24 04:01 . 2010-04-24 04:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-04-23 00:30 . 2010-04-23 02:24 -------- d-----w- C:\Kill'em
2010-04-23 00:30 . 2010-04-23 03:28 -------- d-----w- c:\program files\List_Kill'em
2010-04-22 23:58 . 2010-04-22 23:58 -------- d-----w- C:\_OTL
2010-04-22 22:46 . 2008-04-14 09:41 21504 ----a-w- c:\windows\system32\drivers\hidserv.dll
2010-04-21 13:46 . 2010-04-21 18:40 -------- d-----w- c:\windows\system32\MpEngineStore
2010-04-21 06:18 . 2010-02-24 13:11 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-21 06:18 . 2010-02-24 13:11 455680 ------w- c:\windows\system32\dllcache\mrxsmb.sys
2010-04-21 06:17 . 2009-10-23 15:28 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe
2010-04-21 06:01 . 2010-03-30 04:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-21 05:47 . 2010-04-21 05:47 552 ----a-w- c:\windows\system32\d3d8caps.dat
2010-04-21 05:47 . 2010-04-21 05:47 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-04-21 04:42 . 2010-03-30 04:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-21 04:23 . 2010-04-21 06:01 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-21 03:57 . 2010-04-21 04:00 -------- d-----w- C:\WORT
2010-04-21 03:32 . 2010-04-22 16:43 -------- d-----w- c:\program files\ZHPDiag
2010-04-21 02:36 . 2010-04-21 02:36 -------- d-----w- c:\program files\trend micro
2010-04-18 05:41 . 2010-04-18 05:41 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\Foxit Software
2010-04-18 05:40 . 2010-04-18 05:40 -------- d-----w- c:\documents and settings\LocalService\Application Data\Foxit Software
2010-04-18 05:03 . 2010-04-14 16:47 38848 ------w- c:\windows\system32\avastSS.scr
2010-04-18 05:03 . 2010-04-14 16:47 153184 ------w- c:\windows\system32\aswBoot.exe
2010-04-15 21:41 . 2010-04-15 21:42 -------- d-----w- c:\documents and settings\All Users\Application Data\FarmFrenzy-PizzaParty
2010-04-13 06:07 . 2010-04-13 06:07 388096 ----a-r- c:\documents and settings\Thuy Doan\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-04-13 06:07 . 2010-04-13 06:07 -------- d-----w- c:\program files\TrendMicro
2010-04-07 13:40 . 2010-04-07 13:40 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\Malwarebytes
2010-04-07 13:40 . 2010-04-07 13:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-30 04:33 . 2010-03-30 04:33 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\Jasc
2010-03-30 04:30 . 2010-03-30 04:30 -------- d-----w- c:\program files\Jasc Software Inc
2010-03-30 03:25 . 2010-03-30 03:25 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2010-03-29 23:36 . 2010-04-21 03:26 -------- d-----w- c:\documents and settings\Thuy Doan\Local Settings\Application Data\Temp
2010-03-29 23:36 . 2010-04-21 03:26 -------- d-----w- c:\documents and settings\Thuy Doan\Local Settings\Application Data\Google
2010-03-29 23:36 . 2010-03-29 23:36 -------- d-----w- c:\documents and settings\Thuy Doan\Local Settings\Application Data\Deployment

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-24 18:28 . 2010-01-30 18:20 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\uTorrent
2010-04-24 18:28 . 2009-12-29 00:48 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\vlc
2010-04-23 07:19 . 2010-01-06 22:04 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\LimeWire
2010-04-23 05:56 . 2009-12-29 00:48 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\dvdcss
2010-04-23 00:05 . 2009-12-26 10:29 76880 ----a-w- c:\documents and settings\Thuy Doan\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-22 02:36 . 2010-04-22 02:36 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf
2010-04-21 06:30 . 2009-12-26 10:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-18 05:40 . 2010-03-10 13:52 -------- d-----w- c:\program files\Foxit Software
2010-04-16 16:42 . 2010-02-01 18:01 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\U3
2010-04-15 21:45 . 2009-12-26 10:05 -------- d-----w- c:\documents and settings\All Users\Application Data\WildTangent
2010-04-13 06:09 . 2010-03-05 15:25 -------- d-----w- c:\program files\Paint.NET
2010-04-13 06:08 . 2010-03-16 06:41 -------- d-----w- c:\program files\WarZone
2010-04-13 06:08 . 2010-01-07 07:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo!
2010-04-13 06:08 . 2010-01-07 07:11 -------- d-----w- c:\program files\Yahoo!
2010-04-06 06:00 . 2010-03-20 19:30 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\Skype
2010-04-06 05:25 . 2010-03-20 19:35 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\skypePM
2010-03-30 05:23 . 2010-01-06 16:48 -------- d-----w- c:\program files\Inkscape
2010-03-30 05:19 . 2009-12-26 10:06 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-30 05:17 . 2010-02-15 06:37 -------- d-----w- c:\program files\Chinese Chess Stoneman
2010-03-30 04:29 . 2010-01-31 10:05 1385744 ----a-w- c:\windows\system32\Msvbvm60.dll
2010-03-23 21:33 . 2010-01-30 18:24 -------- d-----w- c:\program files\uTorrent
2010-03-23 17:13 . 2010-03-23 17:13 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2010-03-23 17:01 . 2009-12-26 10:06 -------- d-----w- c:\program files\Common Files\Adobe
2010-03-23 16:59 . 2010-03-23 16:59 -------- d-----w- c:\program files\Adobe Media Player
2010-03-23 16:48 . 2010-03-23 16:48 -------- d-----w- c:\program files\Common Files\Macrovision Shared
2010-03-23 16:25 . 2010-03-23 16:22 -------- d-----w- c:\program files\Conquest
2010-03-21 19:18 . 2009-12-26 10:06 -------- d-----w- c:\program files\Windows Media Connect 2
2010-03-21 19:18 . 2009-12-26 10:06 -------- d-----w- c:\program files\Microsoft Works
2010-03-21 19:18 . 2010-03-20 21:38 -------- d-----w- c:\program files\DivX
2010-03-20 21:43 . 2010-03-20 21:37 -------- d-----w- c:\documents and settings\All Users\Application Data\DivX
2010-03-20 21:42 . 2010-03-20 21:42 56766 ----a-w- c:\documents and settings\All Users\Application Data\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-03-20 21:41 . 2010-03-20 21:41 56978 ----a-w- c:\documents and settings\All Users\Application Data\DivX\WebPlayer\Uninstaller.exe
2010-03-20 21:41 . 2010-03-20 21:41 53600 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Update\Uninstaller.exe
2010-03-20 21:41 . 2010-03-20 21:41 57409 ----a-w- c:\documents and settings\All Users\Application Data\DivX\ControlPanel\Uninstaller.exe
2010-03-20 21:41 . 2010-03-20 21:41 52963 ----a-w- c:\documents and settings\All Users\Application Data\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-03-20 21:41 . 2010-03-20 21:41 54073 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Qt4.5\Uninstaller.exe
2010-03-20 21:41 . 2010-03-20 21:41 -------- d-----w- c:\program files\Common Files\DivX Shared
2010-03-20 21:37 . 2010-03-20 21:42 754984 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Setup\Resource.dll
2010-03-20 21:36 . 2010-03-20 21:42 986904 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Setup\DivXSetup.exe
2010-03-20 19:35 . 2010-03-20 19:35 48 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-03-20 19:30 . 2010-03-20 19:30 -------- d-----r- c:\program files\Skype
2010-03-20 19:30 . 2010-03-20 19:30 -------- d-----w- c:\program files\Common Files\Skype
2010-03-20 19:30 . 2010-03-20 19:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2010-03-17 16:07 . 2010-03-17 16:06 -------- d-----w- c:\program files\Free Video Converter
2010-03-17 16:07 . 2010-03-17 16:06 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\FreeVideoConverter
2010-03-16 06:43 . 2010-03-16 06:43 1403389 ----a-w- c:\documents and settings\Thuy Doan\Application Data\WarZone\WarZoneInstall.exe
2010-03-16 06:43 . 2010-03-16 06:42 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\WarZone
2010-03-16 06:41 . 2010-03-16 06:41 -------- d-----w- c:\program files\Common Files\Idu
2010-03-16 06:40 . 2010-03-16 06:40 -------- d-----w- c:\program files\Microprose
2010-03-12 16:06 . 2009-12-30 20:39 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\FileZilla
2010-03-11 12:38 . 2010-03-11 12:38 832512 ------w- c:\windows\system32\wininet.dll
2010-03-11 12:38 . 2010-03-11 12:38 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:38 . 2010-03-11 12:38 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-10 13:52 . 2010-03-10 13:52 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\Foxit
2010-03-09 11:09 . 2010-03-09 11:09 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-03-05 16:02 . 2010-03-05 16:02 10134 ----a-r- c:\documents and settings\Thuy Doan\Application Data\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2010-03-05 16:02 . 2010-03-05 16:02 -------- d-----w- c:\program files\Microsoft WSE
2010-03-05 15:50 . 2010-03-05 15:50 -------- d-----w- c:\program files\Electronic Arts
2010-02-25 17:22 . 2009-12-26 10:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2010-02-12 04:33 . 2010-02-12 04:33 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2010-02-11 12:02 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-01-31 10:25 . 2010-01-31 10:25 170 ----a-w- c:\program files\1bomb.ini
2008-04-15 12:00 . 2008-04-15 12:00 45056 --sh--r- c:\windows\system32\Setup\MPClient.exe
2008-04-15 12:00 . 2008-04-15 12:00 36864 --sh--r- c:\windows\system32\Setup\MPSvc.exe
2008-04-15 12:00 . 2010-01-09 11:49 28672 --sh--r- c:\windows\system32\Setup\zf32.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Thuy Doan\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-04-21 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"HP BTW Detect Program"="c:\program files\HP\HPBTWD.exe" [2009-03-30 319488]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-01-16 1418536]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-06-29 458844]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2009-07-06 737280]
"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2009-07-23 498744]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-04-14 2790472]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-03-05 1135912]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Hewlett-Packard\\HP QuickSync\\jre\\bin\\javaw.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Microprose\\Risk II\\RISKII.EXE"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Common Files\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 SahdIa32;HDD Filter Driver;c:\windows\system32\drivers\SahdIa32.sys [2009-08-25 21488]
R0 SaibIa32;Volume Filter Driver;c:\windows\system32\drivers\SaibIa32.sys [2009-08-25 15856]
R0 SysCow;SysCow;c:\windows\system32\drivers\syscow32x.sys [2009-07-02 103792]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-04-24 162768]
R1 SaibVd32;Virtual Disk Driver;c:\windows\system32\drivers\SaibVd32.sys [2009-08-25 25584]
R2 9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269;Roxio SAIB Service;c:\program files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe [2009-06-02 457200]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-04-24 19024]
R2 BOTService;BOTService;c:\program files\Roxio\BackOnTrack\Instant Restore\BOTService.exe [2009-07-09 199152]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [2009-08-25 113664]
S3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [2009-03-31 39424]
S3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [2009-08-25 160256]
S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-04-24 c:\windows\Tasks\BackOnTrack Instant Restore Idle.job
- c:\program files\Roxio\BackOnTrack\Instant Restore\RstIdle.exe [2009-07-09 11:09]

2010-04-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-154108922-552443303-2849269232-1005Core.job
- c:\documents and settings\Thuy Doan\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-04-21 03:25]

2010-04-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-154108922-552443303-2849269232-1005UA.job
- c:\documents and settings\Thuy Doan\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-04-21 03:25]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=en_CA&c=94&bd=Pavilion&pf=cnnb
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: localhost
FF - ProfilePath - c:\documents and settings\Thuy Doan\Application Data\Mozilla\Firefox\Profiles\oam08gym.default\
FF - plugin: c:\documents and settings\Thuy Doan\Local Settings\Application Data\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file)
HKCU-Run-Microsoft Office quick launch - c:\program files\Microsoft Office\Office11\OSA.exe
HKCU-Run-AdobeBridge - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-24 17:14
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys SahdIa32.sys iaStor.sys >>UNKNOWN [0x85BBF8C8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75ccf28
\Driver\ACPI -> ACPI.sys @ 0xf745fcb8
\Driver\iaStor -> iaStor.sys @ 0xf7399352
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->NDIS: Broadcom 802.11b/g WLAN -> SendCompleteHandler -> NDIS.sys @ 0xf7249bb0
PacketIndicateHandler -> NDIS.sys @ 0xf7256a21
SendHandler -> NDIS.sys @ 0xf723487b
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(676)
c:\program files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
Heure de fin: 2010-04-24 17:18:43
ComboFix-quarantined-files.txt 2010-04-24 21:18

Avant-CF: 78 546 599 936 bytes free
Après-CF: 78 517 985 280 bytes free

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - D2F0772FD7CB79865F4CFF1EC616F1D5

Réponse 27 / 32

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
25 avril 2010 à 03:18

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

c:\windows\system32\Setup\zf32.dll

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK

inh987 Messages postés 52 Date d'inscription mercredi 21 avril 2010 Statut Membre Dernière intervention 14 février 2011 1
25 avril 2010 à 05:13

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.12 -
AhnLab-V3 5.0.0.2 2010.04.12 -
AntiVir 7.10.6.64 2010.04.12 -
Antiy-AVL 2.0.3.7 2010.04.12 -
Authentium 5.2.0.5 2010.04.12 -
Avast 4.8.1351.0 2010.04.12 -
Avast5 5.0.332.0 2010.04.12 -
AVG 9.0.0.787 2010.04.12 -
BitDefender 7.2 2010.04.13 -
CAT-QuickHeal 10.00 2010.04.12 -
ClamAV 0.96.0.3-git 2010.04.12 -
Comodo 4581 2010.04.12 -
DrWeb 5.0.2.03300 2010.04.13 -
eSafe 7.0.17.0 2010.04.12 -
eTrust-Vet 35.2.7421 2010.04.12 -
F-Prot 4.5.1.85 2010.04.12 -
F-Secure 9.0.15370.0 2010.04.12 -
Fortinet 4.0.14.0 2010.04.12 -
GData 19 2010.04.12 -
Ikarus T3.1.1.80.0 2010.04.12 -
Jiangmin 13.0.900 2010.04.12 -
Kaspersky 7.0.0.125 2010.04.12 -
McAfee 5.400.0.1158 2010.04.12 -
McAfee-GW-Edition 6.8.5 2010.04.12 -
Microsoft 1.5605 2010.04.13 -
NOD32 5023 2010.04.12 -
Norman 6.04.11 2010.04.12 -
nProtect 2009.1.8.0 2010.04.06 Trojan/W32.Agent.28672.AUT
Panda 10.0.2.2 2010.04.12 -
PCTools 7.0.3.5 2010.04.12 -
Prevx 3.0 2010.04.13 -
Rising 22.43.00.04 2010.04.12 -
Sophos 4.52.0 2010.04.12 -
Sunbelt 6168 2010.04.13 -
Symantec 20091.2.0.41 2010.04.13 -
TheHacker 6.5.2.0.259 2010.04.12 -
TrendMicro 9.120.0.1004 2010.04.12 -
VBA32 3.12.12.4 2010.04.09 -
ViRobot 2010.4.12.2272 2010.04.12 -
VirusBuster 5.0.27.0 2010.04.12 -

Information additionnelle
File size: 28672 bytes
MD5 : eb4eca9943da94e09d22134ea20dc602
SHA1 : a2f97d195ff9620ce7535aab0bc8e79697a85536
SHA256: 1ccc522b30441d2f3eb08530ee0370431b45d8a5e90c16c745e71df1238d8113
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x12DF0 timedatestamp.....: 0x4048B8DC (Fri Mar 5 18:29:00 2004) machinetype.......: 0x14C (Intel I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0xC000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0xD000 0x6000 0x6000 7.89 71032bc5bb329a80139fa1850b861b54 .rsrc 0x13000 0x1000 0xC00 4.14 3a4cee30dcbd8da179e9888e86637f7f ( 2 imports ) > crtdll.dll: free > kernel32.dll: LoadLibraryA, GetProcAddress ( 1 exports ) > adler32, compress, compress2, crc32, deflate, deflateCopy, deflateEnd, deflateInit2_, deflateInit_, deflateParams, deflateReset, deflateSetDictionary, get_crc_table, gzclose, gzdopen, gzeof, gzerror, gzflush, gzgetc, gzgets, gzopen, gzprintf, gzputc, gzputs, gzread, gzrewind, gzseek, gzsetparams, gztell, gzwrite, inflate, inflateEnd, inflateInit2_, inflateInit_, inflateReset, inflateSetDictionary, inflateSync, inflateSyncPoint, uncompress, unzClose, unzCloseCurrentFile, unzGetCurrentFileInfo, unzGetGlobalComment, unzGetGlobalInfo, unzGetLocalExtrafield, unzGoToFirstFile, unzGoToNextFile, unzLocateFile, unzOpen, unzOpen2, unzOpenCurrentFile, unzOpenCurrentFile2, unzReadCurrentFile, unzStringFileNameCompare, unzeof, unztell, zError, zipClose, zipCloseFileInZip, zipCloseFileInZipRaw, zipOpen, zipOpenNewFileInZip, zipOpenNewFileInZip2, zipWriteInFileInZip, zlibVersion
TrID : File type identification UPX compressed Win32 Executable (39.5%) Win32 EXE Yoda's Crypter (34.3%) Win32 Executable Generic (11.0%) Win32 Dynamic Link Library (generic) (9.8%) Generic Win/DOS Executable (2.5%)
ssdeep: 768:U6KSoGR6kfaWCpaaiTukSg7jJ0BoqV1/J5tK16P:UyyWCpaz+g/ktsM
sigcheck: publisher....: n/a copyright....: (C) 1995-2002 Jean-loup Gailly _ Mark Adler product......: ZLib.DLL description..: zlib data compression library original name: zlib.dll internal name: zlib file version.: 1.1.4.0 comments.....: DLL support by Alessandro Iacopetti _ Gilles Vollant signers......: - signing date.: - verified.....: Unsigned 
PEiD : -
packers (Kaspersky): UPX
packers (F-Prot): UPX
RDS : NSRL Reference Data Set -

Réponse 28 / 32

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
25 avril 2010 à 20:27

désolé pas vu ton message

comment va le pc ?

inh987
25 avril 2010 à 20:47

toujours la même affaire avec google qui m'amène sur de mauvaises pages

Réponse 29 / 32

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
25 avril 2010 à 20:53

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour inh987, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScrip
Copies y ce texte dedans et enregistres le

KillAll::

File::
c:\windows\system32\Setup\zf32.dll

SkipFix::

* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

inh987 Messages postés 52 Date d'inscription mercredi 21 avril 2010 Statut Membre Dernière intervention 14 février 2011 1
26 avril 2010 à 02:06

Combofix dit que CFScrip semble mal écrit

Utilisateur anonyme
26 avril 2010 à 02:22

c'est CFscript il a fait une faute de frappe...

inh987 Messages postés 52 Date d'inscription mercredi 21 avril 2010 Statut Membre Dernière intervention 14 février 2011 1
26 avril 2010 à 02:56

ComboFix 10-04-21.01 - Thuy Doan 2010-04-25 20:44:40.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.2.1033.18.1015.707 [GMT -4:00]
Lancé depuis: c:\documents and settings\Thuy Doan\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Thuy Doan\Desktop\CFScript.txt
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
- Mode FONCTIONNALITES REDUITES -

FILE ::
"c:\windows\system32\Setup\zf32.dll"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Setup\zf32.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-26 au 2010-04-26 ))))))))))))))))))))))))))))))))))))
.

2010-04-25 09:05 . 2005-05-26 19:34 2297552 ----a-w- c:\windows\system32\d3dx9_26.dll
2010-04-24 04:02 . 2010-04-14 16:31 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-04-24 04:02 . 2010-04-14 16:35 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-04-24 04:02 . 2010-04-14 16:35 162768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-04-24 04:02 . 2010-04-14 16:31 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-04-24 04:02 . 2010-04-14 16:31 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-04-24 04:02 . 2010-04-14 16:31 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-04-24 04:02 . 2010-04-14 16:30 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-04-24 04:01 . 2010-04-24 04:01 -------- d-----w- c:\program files\Alwil Software
2010-04-24 04:01 . 2010-04-24 04:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-04-23 00:30 . 2010-04-23 02:24 -------- d-----w- C:\Kill'em
2010-04-23 00:30 . 2010-04-23 03:28 -------- d-----w- c:\program files\List_Kill'em
2010-04-22 23:58 . 2010-04-22 23:58 -------- d-----w- C:\_OTL
2010-04-22 22:46 . 2008-04-14 09:41 21504 ----a-w- c:\windows\system32\drivers\hidserv.dll
2010-04-21 13:46 . 2010-04-21 18:40 -------- d-----w- c:\windows\system32\MpEngineStore
2010-04-21 06:18 . 2010-02-24 13:11 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-21 06:18 . 2010-02-24 13:11 455680 ------w- c:\windows\system32\dllcache\mrxsmb.sys
2010-04-21 06:17 . 2009-10-23 15:28 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe
2010-04-21 06:01 . 2010-03-30 04:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-21 05:47 . 2010-04-21 05:47 552 ----a-w- c:\windows\system32\d3d8caps.dat
2010-04-21 05:47 . 2010-04-21 05:47 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-04-21 04:42 . 2010-03-30 04:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-21 04:23 . 2010-04-21 06:01 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-21 03:57 . 2010-04-21 04:00 -------- d-----w- C:\WORT
2010-04-21 03:32 . 2010-04-22 16:43 -------- d-----w- c:\program files\ZHPDiag
2010-04-21 02:36 . 2010-04-21 02:36 -------- d-----w- c:\program files\trend micro
2010-04-18 05:41 . 2010-04-18 05:41 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\Foxit Software
2010-04-18 05:40 . 2010-04-18 05:40 -------- d-----w- c:\documents and settings\LocalService\Application Data\Foxit Software
2010-04-18 05:03 . 2010-04-14 16:47 38848 ------w- c:\windows\system32\avastSS.scr
2010-04-18 05:03 . 2010-04-14 16:47 153184 ------w- c:\windows\system32\aswBoot.exe
2010-04-15 21:41 . 2010-04-15 21:42 -------- d-----w- c:\documents and settings\All Users\Application Data\FarmFrenzy-PizzaParty
2010-04-13 06:07 . 2010-04-13 06:07 388096 ----a-r- c:\documents and settings\Thuy Doan\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-04-13 06:07 . 2010-04-13 06:07 -------- d-----w- c:\program files\TrendMicro
2010-04-07 13:40 . 2010-04-07 13:40 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\Malwarebytes
2010-04-07 13:40 . 2010-04-07 13:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-30 04:33 . 2010-03-30 04:33 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\Jasc
2010-03-30 04:30 . 2010-03-30 04:30 -------- d-----w- c:\program files\Jasc Software Inc
2010-03-30 03:25 . 2010-03-30 03:25 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2010-03-29 23:36 . 2010-04-21 03:26 -------- d-----w- c:\documents and settings\Thuy Doan\Local Settings\Application Data\Temp
2010-03-29 23:36 . 2010-04-21 03:26 -------- d-----w- c:\documents and settings\Thuy Doan\Local Settings\Application Data\Google
2010-03-29 23:36 . 2010-03-29 23:36 -------- d-----w- c:\documents and settings\Thuy Doan\Local Settings\Application Data\Deployment

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-25 22:22 . 2010-01-30 18:20 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\uTorrent
2010-04-25 07:42 . 2009-12-29 00:48 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\vlc
2010-04-23 07:19 . 2010-01-06 22:04 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\LimeWire
2010-04-23 05:56 . 2009-12-29 00:48 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\dvdcss
2010-04-23 00:05 . 2009-12-26 10:29 76880 ----a-w- c:\documents and settings\Thuy Doan\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-22 02:36 . 2010-04-22 02:36 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf
2010-04-21 06:30 . 2009-12-26 10:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-18 05:40 . 2010-03-10 13:52 -------- d-----w- c:\program files\Foxit Software
2010-04-16 16:42 . 2010-02-01 18:01 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\U3
2010-04-15 21:45 . 2009-12-26 10:05 -------- d-----w- c:\documents and settings\All Users\Application Data\WildTangent
2010-04-13 06:09 . 2010-03-05 15:25 -------- d-----w- c:\program files\Paint.NET
2010-04-13 06:08 . 2010-03-16 06:41 -------- d-----w- c:\program files\WarZone
2010-04-13 06:08 . 2010-01-07 07:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo!
2010-04-13 06:08 . 2010-01-07 07:11 -------- d-----w- c:\program files\Yahoo!
2010-04-06 06:00 . 2010-03-20 19:30 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\Skype
2010-04-06 05:25 . 2010-03-20 19:35 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\skypePM
2010-03-30 05:23 . 2010-01-06 16:48 -------- d-----w- c:\program files\Inkscape
2010-03-30 05:19 . 2009-12-26 10:06 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-30 04:29 . 2010-01-31 10:05 1385744 ----a-w- c:\windows\system32\Msvbvm60.dll
2010-03-23 21:33 . 2010-01-30 18:24 -------- d-----w- c:\program files\uTorrent
2010-03-23 17:13 . 2010-03-23 17:13 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2010-03-23 17:01 . 2009-12-26 10:06 -------- d-----w- c:\program files\Common Files\Adobe
2010-03-23 16:59 . 2010-03-23 16:59 -------- d-----w- c:\program files\Adobe Media Player
2010-03-23 16:48 . 2010-03-23 16:48 -------- d-----w- c:\program files\Common Files\Macrovision Shared
2010-03-23 16:25 . 2010-03-23 16:22 -------- d-----w- c:\program files\Conquest
2010-03-21 19:18 . 2009-12-26 10:06 -------- d-----w- c:\program files\Windows Media Connect 2
2010-03-21 19:18 . 2009-12-26 10:06 -------- d-----w- c:\program files\Microsoft Works
2010-03-21 19:18 . 2010-03-20 21:38 -------- d-----w- c:\program files\DivX
2010-03-20 21:43 . 2010-03-20 21:37 -------- d-----w- c:\documents and settings\All Users\Application Data\DivX
2010-03-20 21:42 . 2010-03-20 21:42 56766 ----a-w- c:\documents and settings\All Users\Application Data\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-03-20 21:41 . 2010-03-20 21:41 56978 ----a-w- c:\documents and settings\All Users\Application Data\DivX\WebPlayer\Uninstaller.exe
2010-03-20 21:41 . 2010-03-20 21:41 53600 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Update\Uninstaller.exe
2010-03-20 21:41 . 2010-03-20 21:41 57409 ----a-w- c:\documents and settings\All Users\Application Data\DivX\ControlPanel\Uninstaller.exe
2010-03-20 21:41 . 2010-03-20 21:41 52963 ----a-w- c:\documents and settings\All Users\Application Data\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-03-20 21:41 . 2010-03-20 21:41 54073 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Qt4.5\Uninstaller.exe
2010-03-20 21:41 . 2010-03-20 21:41 -------- d-----w- c:\program files\Common Files\DivX Shared
2010-03-20 21:37 . 2010-03-20 21:42 754984 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Setup\Resource.dll
2010-03-20 21:36 . 2010-03-20 21:42 986904 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Setup\DivXSetup.exe
2010-03-20 19:35 . 2010-03-20 19:35 48 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-03-20 19:30 . 2010-03-20 19:30 -------- d-----r- c:\program files\Skype
2010-03-20 19:30 . 2010-03-20 19:30 -------- d-----w- c:\program files\Common Files\Skype
2010-03-20 19:30 . 2010-03-20 19:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2010-03-17 16:07 . 2010-03-17 16:06 -------- d-----w- c:\program files\Free Video Converter
2010-03-17 16:07 . 2010-03-17 16:06 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\FreeVideoConverter
2010-03-16 06:43 . 2010-03-16 06:43 1403389 ----a-w- c:\documents and settings\Thuy Doan\Application Data\WarZone\WarZoneInstall.exe
2010-03-16 06:43 . 2010-03-16 06:42 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\WarZone
2010-03-16 06:41 . 2010-03-16 06:41 -------- d-----w- c:\program files\Common Files\Idu
2010-03-16 06:40 . 2010-03-16 06:40 -------- d-----w- c:\program files\Microprose
2010-03-12 16:06 . 2009-12-30 20:39 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\FileZilla
2010-03-11 12:38 . 2010-03-11 12:38 832512 ------w- c:\windows\system32\wininet.dll
2010-03-11 12:38 . 2010-03-11 12:38 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:38 . 2010-03-11 12:38 17408 ----a-w- c:\windows\system32\corpol.dll
2010-03-10 13:52 . 2010-03-10 13:52 -------- d-----w- c:\documents and settings\Thuy Doan\Application Data\Foxit
2010-03-09 11:09 . 2010-03-09 11:09 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-03-05 16:02 . 2010-03-05 16:02 10134 ----a-r- c:\documents and settings\Thuy Doan\Application Data\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2010-03-05 16:02 . 2010-03-05 16:02 -------- d-----w- c:\program files\Microsoft WSE
2010-03-05 15:50 . 2010-03-05 15:50 -------- d-----w- c:\program files\Electronic Arts
2010-02-25 17:22 . 2009-12-26 10:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2010-02-12 04:33 . 2010-02-12 04:33 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2010-02-11 12:02 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-01-31 10:25 . 2010-01-31 10:25 170 ----a-w- c:\program files\1bomb.ini
2008-04-15 12:00 . 2008-04-15 12:00 45056 --sh--r- c:\windows\system32\Setup\MPClient.exe
2008-04-15 12:00 . 2008-04-15 12:00 36864 --sh--r- c:\windows\system32\Setup\MPSvc.exe
.

((((((((((((((((((((((((((((( SnapShot@2010-04-24_21.14.59 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-04-11 02:06 . 2010-04-24 21:06 69390 c:\windows\system32\perfc009.dat
+ 2009-04-11 02:06 . 2010-04-26 00:45 69390 c:\windows\system32\perfc009.dat
+ 2010-04-25 09:05 . 2005-03-18 21:23 12800 c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.Diagnostics.dll
+ 2010-04-25 09:05 . 2005-03-18 21:23 53248 c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.AudioVideoPlayback.dll
+ 2010-04-25 09:05 . 2010-04-25 09:05 12800 c:\windows\assembly\GAC\Microsoft.DirectX.Diagnostics\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.Diagnostics.dll
+ 2010-04-25 09:05 . 2010-04-25 09:05 53248 c:\windows\assembly\GAC\Microsoft.DirectX.AudioVideoPlayback\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.AudioVideoPlayback.dll
- 2009-04-11 02:06 . 2010-04-24 21:06 436878 c:\windows\system32\perfh009.dat
+ 2009-04-11 02:06 . 2010-04-26 00:45 436878 c:\windows\system32\perfh009.dat
+ 2010-04-25 09:05 . 2005-05-26 19:15 576000 c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2906.0\Microsoft.DirectX.Direct3DX.dll
+ 2010-04-25 09:05 . 2005-03-18 21:23 223232 c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.dll
+ 2010-04-25 09:05 . 2005-03-18 21:23 178176 c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.DirectSound.dll
+ 2010-04-25 09:05 . 2005-03-18 21:23 364544 c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.DirectPlay.dll
+ 2010-04-25 09:05 . 2005-03-18 21:23 159232 c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.DirectInput.dll
+ 2010-04-25 09:05 . 2005-03-18 21:23 145920 c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.DirectDraw.dll
+ 2010-04-25 09:05 . 2005-03-18 21:23 473600 c:\windows\Microsoft.NET\DirectX for Managed Code\1.0.2902.0\Microsoft.DirectX.Direct3D.dll
+ 2010-04-25 09:05 . 2010-04-25 09:05 223232 c:\windows\assembly\GAC\Microsoft.DirectX\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.dll
+ 2010-04-25 09:05 . 2010-04-25 09:05 178176 c:\windows\assembly\GAC\Microsoft.DirectX.DirectSound\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectSound.dll
+ 2010-04-25 09:05 . 2010-04-25 09:05 364544 c:\windows\assembly\GAC\Microsoft.DirectX.DirectPlay\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectPlay.dll
+ 2010-04-25 09:05 . 2010-04-25 09:05 159232 c:\windows\assembly\GAC\Microsoft.DirectX.DirectInput\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectInput.dll
+ 2010-04-25 09:05 . 2010-04-25 09:05 145920 c:\windows\assembly\GAC\Microsoft.DirectX.DirectDraw\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.DirectDraw.dll
+ 2010-04-25 09:05 . 2010-04-25 09:05 576000 c:\windows\assembly\GAC\Microsoft.DirectX.Direct3DX\1.0.2906.0__31bf3856ad364e35\Microsoft.DirectX.Direct3DX.dll
+ 2010-04-25 09:05 . 2010-04-25 09:05 473600 c:\windows\assembly\GAC\Microsoft.DirectX.Direct3D\1.0.2902.0__31bf3856ad364e35\Microsoft.DirectX.Direct3D.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Thuy Doan\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-04-21 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"HP BTW Detect Program"="c:\program files\HP\HPBTWD.exe" [2009-03-30 319488]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-01-16 1418536]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-06-29 458844]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2009-07-06 737280]
"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2009-07-23 498744]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-04-14 2790472]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-03-05 1135912]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Hewlett-Packard\\HP QuickSync\\jre\\bin\\javaw.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Microprose\\Risk II\\RISKII.EXE"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Common Files\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 SahdIa32;HDD Filter Driver;c:\windows\system32\drivers\SahdIa32.sys [2009-08-25 21488]
R0 SaibIa32;Volume Filter Driver;c:\windows\system32\drivers\SaibIa32.sys [2009-08-25 15856]
R0 SysCow;SysCow;c:\windows\system32\drivers\syscow32x.sys [2009-07-02 103792]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-04-24 162768]
R1 SaibVd32;Virtual Disk Driver;c:\windows\system32\drivers\SaibVd32.sys [2009-08-25 25584]
R2 9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269;Roxio SAIB Service;c:\program files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe [2009-06-02 457200]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-04-24 19024]
R2 BOTService;BOTService;c:\program files\Roxio\BackOnTrack\Instant Restore\BOTService.exe [2009-07-09 199152]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [2009-08-25 113664]
S3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [2009-03-31 39424]
S3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [2009-08-25 160256]
S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-04-26 c:\windows\Tasks\BackOnTrack Instant Restore Idle.job
- c:\program files\Roxio\BackOnTrack\Instant Restore\RstIdle.exe [2009-07-09 11:09]

2010-04-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-154108922-552443303-2849269232-1005Core.job
- c:\documents and settings\Thuy Doan\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-04-21 03:25]

2010-04-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-154108922-552443303-2849269232-1005UA.job
- c:\documents and settings\Thuy Doan\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-04-21 03:25]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=en_CA&c=94&bd=Pavilion&pf=cnnb
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: localhost
FF - ProfilePath - c:\documents and settings\Thuy Doan\Application Data\Mozilla\Firefox\Profiles\oam08gym.default\
FF - plugin: c:\documents and settings\Thuy Doan\Local Settings\Application Data\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(680)
c:\program files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(216)
c:\windows\system32\WININET.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\idt\wdm\STacSV.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\Hewlett-Packard\Shared\hpqToaster.exe
.
**************************************************************************
.
Heure de fin: 2010-04-25 20:53:23 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-26 00:53
ComboFix2.txt 2010-04-24 21:18

Avant-CF: 77 357 998 080 bytes free
Après-CF: 77 301 350 400 bytes free

- - End Of File - - FA9EF5E0EEC97AB10C8D894D16A9054A

Réponse 30 / 32

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
26 avril 2010 à 04:16

vu

fais ceci également stp

1)

même manip que précédement avec combofix avec ce nouveau CFscript (merci Gen)

KillAll::

File::
c:\windows\system32\Setup\MPClient.exe
c:\windows\system32\Setup\MPSvc.exe l

SkipFix::

...................................

2)

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

? Télécharge : Gmer (by Przemyslaw Gmerek)

http://www.gmer.net/

? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

inh987 Messages postés 52 Date d'inscription mercredi 21 avril 2010 Statut Membre Dernière intervention 14 février 2011 1
26 avril 2010 à 16:10

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-26 10:10:48
Windows 5.1.2600 Service Pack 3
Running: qbnjh29w.exe; Driver: C:\DOCUME~1\THUYDO~1\LOCALS~1\Temp\pxtdypow.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xA2A46C08]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xA2A46AC4]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xA2A47078]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xA2A46FA2]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xA2A4669A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xA2A46B9E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xA2A465DA]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xA2A4663E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xA2A46CBE]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xA2A47146]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xA2A46C7E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xA2A46DFE]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xA2A5350A]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xA2A5332E]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xA2A53468]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject

---- Kernel code sections - GMER 1.0.15 ----

PAGE ntkrnlpa.exe!ZwLoadDriver 8058413A 7 Bytes JMP A2A5346C \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805AB3AC 7 Bytes JMP A2A53332 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805BC520 5 Bytes JMP A2A4F4AA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 805C2FA4 5 Bytes JMP A2A5097E \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805D1144 7 Bytes JMP A2A5350E \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
.rsrc C:\WINDOWS\system32\drivers\iaStor.sys entry point in ".rsrc" section [0xF7425000]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[720] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[720] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 SaibIa32.sys (Disk Filter Driver/Sonic Solutions)

Device \Driver\iaStor \Device\Ide\iaStor0 [F7399352] iaStor.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xac]}
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 [F7399352] iaStor.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xac]}

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\iaStor.sys suspicious modification

---- EOF - GMER 1.0.15 ----

Réponse 31 / 32

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
26 avril 2010 à 17:13

vu

1)

as tu fait le nouveau script combo

https://forums.commentcamarche.net/forum/affich-17456289-google-redirige-et-malwarebytes-envahi?page=2#82

.....................

2)

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

File C:\WINDOWS\system32\drivers\iaStor.sys

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK

inh987 Messages postés 52 Date d'inscription mercredi 21 avril 2010 Statut Membre Dernière intervention 14 février 2011 1
27 avril 2010 à 15:48

Je n'ai pas été capable de mettre en ligne le rapport conbo.fix. Je le collais, mais il ne voulait pas être validé comme commentaire
http://www.cijoint.fr/cjlink.php?file=cj201004/cijO5wiOji.txt

inh987 Messages postés 52 Date d'inscription mercredi 21 avril 2010 Statut Membre Dernière intervention 14 février 2011 1
27 avril 2010 à 15:55

Fichier iaStor.sys reçu le 2010.04.27 13:49:32 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.27 -
AhnLab-V3 5.0.0.2 2010.04.27 -
AntiVir 8.2.1.224 2010.04.27 -
Antiy-AVL 2.0.3.7 2010.04.27 -
Authentium 5.2.0.5 2010.04.27 -
Avast 4.8.1351.0 2010.04.27 -
Avast5 5.0.332.0 2010.04.27 -
AVG 9.0.0.787 2010.04.27 -
BitDefender 7.2 2010.04.27 -
CAT-QuickHeal 10.00 2010.04.27 -
ClamAV 0.96.0.3-git 2010.04.27 -
Comodo 4689 2010.04.27 -
DrWeb 5.0.2.03300 2010.04.27 -
eSafe 7.0.17.0 2010.04.26 -
eTrust-Vet 35.2.7453 2010.04.27 -
F-Prot 4.5.1.85 2010.04.26 -
F-Secure 9.0.15370.0 2010.04.27 -
Fortinet 4.0.14.0 2010.04.27 -
GData 21 2010.04.27 -
Ikarus T3.1.1.80.0 2010.04.27 -
Jiangmin 13.0.900 2010.04.27 -
Kaspersky 7.0.0.125 2010.04.27 -
McAfee 5.400.0.1158 2010.04.27 -
McAfee-GW-Edition 6.8.5 2010.04.27 -
Microsoft 1.5703 2010.04.27 -
NOD32 5065 2010.04.27 -
Norman 6.04.11 2010.04.27 -
nProtect 2010-04-27.01 2010.04.27 -
Panda 10.0.2.7 2010.04.26 -
PCTools 7.0.3.5 2010.04.27 -
Prevx 3.0 2010.04.27 -
Rising 22.45.01.04 2010.04.27 -
Sophos 4.53.0 2010.04.27 -
Sunbelt 6227 2010.04.27 -
Symantec 20091.2.0.41 2010.04.27 -
TheHacker 6.5.2.0.270 2010.04.27 -
TrendMicro 9.120.0.1004 2010.04.27 -
TrendMicro-HouseCall 9.120.0.1004 2010.04.27 -
VBA32 3.12.12.4 2010.04.27 -
ViRobot 2010.4.26.2294 2010.04.26 -
VirusBuster 5.0.27.0 2010.04.27 -
Information additionnelle
File size: 330264 bytes
MD5...: d483687eace0c065ee772481a96e05f5
SHA1..: 97cf5a57cf4653d28dd39e37c38a3d7caf2515e3
SHA256: a22200e90c78dfe73fe0fbeed5331ab43cd7133651fd125595c4db604ad71b29
ssdeep: 6144:0eEd3/ojyCpIf3vzTP9p0gIuZHRQcckOJSo/GT7x506/guBomb:S3/b57TP RIEinkOzeTz06Ikomb 
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xd5005 timedatestamp.....: 0x4a287809 (Fri Jun 05 01:42:33 2009) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x49352 0x49400 6.49 0ab5138f6e755df37b91122737e109f6 .rdata 0x4b000 0xc2c 0xe00 5.23 30538f61b97658a9fc8c841cf09d5974 .data 0x4c000 0x88b68 0x1000 4.82 7757b10f6f756f78fe2b6436ed5c80bf INIT 0xd5000 0xeaa 0x1000 5.39 6abf13895504fcef58c69e7607a6655a .rsrc 0xd6000 0x458 0x600 2.60 f25f403330fd8946fc0dca65e705eb6f .reloc 0xd7000 0x2322 0x2400 5.50 ca39337b810d646ae5fada54fb9c3e38 ( 2 imports ) > ntoskrnl.exe: ZwOpenKey, DbgPrint, _allmul, IofCompleteRequest, KeSetEvent, PoSetPowerState, _aullshr, MmIsAddressValid, KeWaitForSingleObject, IoFreeWorkItem, IoUnregisterPlugPlayNotification, ObfDereferenceObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, memcpy, IoGetDeviceObjectPointer, IoQueueWorkItem, IoAllocateWorkItem, IoRegisterPlugPlayNotification, KeClearEvent, WRITE_REGISTER_ULONG, READ_REGISTER_ULONG, ObReferenceObjectByHandle, KeQueryTimeIncrement, KeTickCount, _aulldiv, KeDelayExecutionThread, MmGetPhysicalAddress, KeCancelTimer, KeSetTimerEx, KeInitializeTimerEx, KeSetTimer, KeInitializeDpc, KeInitializeTimer, memmove, strncpy, strncmp, _purecall, sprintf, InterlockedPopEntrySList, InterlockedPushEntrySList, RtlCompareMemory, KeBugCheckEx, IoInvalidateDeviceRelations, RtlWriteRegistryValue, RtlDeleteRegistryValue, IoOpenDeviceRegistryKey, ExSystemTimeToLocalTime, KeQuerySystemTime, MmUnmapIoSpace, MmMapIoSpace, ZwCreateKey, swprintf, KeLeaveCriticalRegion, KeEnterCriticalRegion, MmMapLockedPagesSpecifyCache, ExDeleteNPagedLookasideList, KeBugCheck, PsTerminateSystemThread, KeWaitForMultipleObjects, KeSetPriorityThread, ZwQueryValueKey, ExInitializeNPagedLookasideList, _aullrem, _aulldvrm, PoRequestPowerIrp, PoStartNextPowerIrp, PoCallDriver, IoReleaseRemoveLockEx, IoAcquireRemoveLockEx, IoFreeIrp, IoGetLowerDeviceObject, IoGetAttachedDeviceReference, IoAllocateIrp, strstr, RtlGetVersion, _alldiv, IoDeleteSymbolicLink, IoAttachDeviceToDeviceStack, IoCreateSymbolicLink, IoCsqInitialize, IoInitializeRemoveLockEx, IoCreateDevice, RtlUnicodeStringToInteger, wcsncpy, wcsstr, IoRegisterDeviceInterface, IoDeleteDevice, IoDetachDevice, _wcsupr, IoGetDeviceProperty, ZwCreateDirectoryObject, ExRegisterCallback, ExCreateCallback, IoConnectInterrupt, IoReportResourceForDetection, ExUnregisterCallback, IoDisconnectInterrupt, IoReleaseRemoveLockAndWaitEx, IoGetConfigurationInformation, IoSetDeviceInterfaceState, KeRemoveQueueDpc, IoCsqInsertIrp, IoCsqRemoveNextIrp, IoFreeMdl, MmProbeAndLockPages, IoAllocateMdl, strncat, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ObfReferenceObject, PoRegisterDeviceForIdleDetection, IoInvalidateDeviceState, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, KeInsertQueueDpc, IoGetDmaAdapter, RtlFreeUnicodeString, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, IoRequestDeviceEject, RtlCreateRegistryKey, RtlCopyUnicodeString, RtlUnwind, ZwClose, memset, RtlInitUnicodeString, ExAllocatePoolWithTag, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, RtlQueryRegistryValues, PsCreateSystemThread, ExFreePoolWithTag > HAL.dll: KeAcquireInStackQueuedSpinLock, KfAcquireSpinLock, KfReleaseSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeGetCurrentIrql, KeStallExecutionProcessor, KeReleaseInStackQueuedSpinLock ( 0 exports ) 
RDS...: NSRL Reference Data Set -
pdfid.: -
trid..: Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck: publisher....: Intel Corporation copyright....: Copyright(C) Intel Corporation 1994-2009 product......: Intel Matrix Storage Manager driver description..: Intel Matrix Storage Manager driver - ia32 original name: iaStor.sys internal name: iaStor.sys file version.: 8.9.0.1023 comments.....: -ia32 signers......: Intel Corporation VeriSign Class 3 Code Signing 2004 CA Class 3 Public Primary Certification Authority signing date.: 3:43 AM 6/5/2009 verified.....: - 

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.27 -
AhnLab-V3 5.0.0.2 2010.04.27 -
AntiVir 8.2.1.224 2010.04.27 -
Antiy-AVL 2.0.3.7 2010.04.27 -
Authentium 5.2.0.5 2010.04.27 -
Avast 4.8.1351.0 2010.04.27 -
Avast5 5.0.332.0 2010.04.27 -
AVG 9.0.0.787 2010.04.27 -
BitDefender 7.2 2010.04.27 -
CAT-QuickHeal 10.00 2010.04.27 -
ClamAV 0.96.0.3-git 2010.04.27 -
Comodo 4689 2010.04.27 -
DrWeb 5.0.2.03300 2010.04.27 -
eSafe 7.0.17.0 2010.04.26 -
eTrust-Vet 35.2.7453 2010.04.27 -
F-Prot 4.5.1.85 2010.04.26 -
F-Secure 9.0.15370.0 2010.04.27 -
Fortinet 4.0.14.0 2010.04.27 -
GData 21 2010.04.27 -
Ikarus T3.1.1.80.0 2010.04.27 -
Jiangmin 13.0.900 2010.04.27 -
Kaspersky 7.0.0.125 2010.04.27 -
McAfee 5.400.0.1158 2010.04.27 -
McAfee-GW-Edition 6.8.5 2010.04.27 -
Microsoft 1.5703 2010.04.27 -
NOD32 5065 2010.04.27 -
Norman 6.04.11 2010.04.27 -
nProtect 2010-04-27.01 2010.04.27 -
Panda 10.0.2.7 2010.04.26 -
PCTools 7.0.3.5 2010.04.27 -
Prevx 3.0 2010.04.27 -
Rising 22.45.01.04 2010.04.27 -
Sophos 4.53.0 2010.04.27 -
Sunbelt 6227 2010.04.27 -
Symantec 20091.2.0.41 2010.04.27 -
TheHacker 6.5.2.0.270 2010.04.27 -
TrendMicro 9.120.0.1004 2010.04.27 -
TrendMicro-HouseCall 9.120.0.1004 2010.04.27 -
VBA32 3.12.12.4 2010.04.27 -
ViRobot 2010.4.26.2294 2010.04.26 -
VirusBuster 5.0.27.0 2010.04.27 -

Information additionnelle
File size: 330264 bytes
MD5...: d483687eace0c065ee772481a96e05f5
SHA1..: 97cf5a57cf4653d28dd39e37c38a3d7caf2515e3
SHA256: a22200e90c78dfe73fe0fbeed5331ab43cd7133651fd125595c4db604ad71b29
ssdeep: 6144:0eEd3/ojyCpIf3vzTP9p0gIuZHRQcckOJSo/GT7x506/guBomb:S3/b57TP RIEinkOzeTz06Ikomb 
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xd5005 timedatestamp.....: 0x4a287809 (Fri Jun 05 01:42:33 2009) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x49352 0x49400 6.49 0ab5138f6e755df37b91122737e109f6 .rdata 0x4b000 0xc2c 0xe00 5.23 30538f61b97658a9fc8c841cf09d5974 .data 0x4c000 0x88b68 0x1000 4.82 7757b10f6f756f78fe2b6436ed5c80bf INIT 0xd5000 0xeaa 0x1000 5.39 6abf13895504fcef58c69e7607a6655a .rsrc 0xd6000 0x458 0x600 2.60 f25f403330fd8946fc0dca65e705eb6f .reloc 0xd7000 0x2322 0x2400 5.50 ca39337b810d646ae5fada54fb9c3e38 ( 2 imports ) > ntoskrnl.exe: ZwOpenKey, DbgPrint, _allmul, IofCompleteRequest, KeSetEvent, PoSetPowerState, _aullshr, MmIsAddressValid, KeWaitForSingleObject, IoFreeWorkItem, IoUnregisterPlugPlayNotification, ObfDereferenceObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, memcpy, IoGetDeviceObjectPointer, IoQueueWorkItem, IoAllocateWorkItem, IoRegisterPlugPlayNotification, KeClearEvent, WRITE_REGISTER_ULONG, READ_REGISTER_ULONG, ObReferenceObjectByHandle, KeQueryTimeIncrement, KeTickCount, _aulldiv, KeDelayExecutionThread, MmGetPhysicalAddress, KeCancelTimer, KeSetTimerEx, KeInitializeTimerEx, KeSetTimer, KeInitializeDpc, KeInitializeTimer, memmove, strncpy, strncmp, _purecall, sprintf, InterlockedPopEntrySList, InterlockedPushEntrySList, RtlCompareMemory, KeBugCheckEx, IoInvalidateDeviceRelations, RtlWriteRegistryValue, RtlDeleteRegistryValue, IoOpenDeviceRegistryKey, ExSystemTimeToLocalTime, KeQuerySystemTime, MmUnmapIoSpace, MmMapIoSpace, ZwCreateKey, swprintf, KeLeaveCriticalRegion, KeEnterCriticalRegion, MmMapLockedPagesSpecifyCache, ExDeleteNPagedLookasideList, KeBugCheck, PsTerminateSystemThread, KeWaitForMultipleObjects, KeSetPriorityThread, ZwQueryValueKey, ExInitializeNPagedLookasideList, _aullrem, _aulldvrm, PoRequestPowerIrp, PoStartNextPowerIrp, PoCallDriver, IoReleaseRemoveLockEx, IoAcquireRemoveLockEx, IoFreeIrp, IoGetLowerDeviceObject, IoGetAttachedDeviceReference, IoAllocateIrp, strstr, RtlGetVersion, _alldiv, IoDeleteSymbolicLink, IoAttachDeviceToDeviceStack, IoCreateSymbolicLink, IoCsqInitialize, IoInitializeRemoveLockEx, IoCreateDevice, RtlUnicodeStringToInteger, wcsncpy, wcsstr, IoRegisterDeviceInterface, IoDeleteDevice, IoDetachDevice, _wcsupr, IoGetDeviceProperty, ZwCreateDirectoryObject, ExRegisterCallback, ExCreateCallback, IoConnectInterrupt, IoReportResourceForDetection, ExUnregisterCallback, IoDisconnectInterrupt, IoReleaseRemoveLockAndWaitEx, IoGetConfigurationInformation, IoSetDeviceInterfaceState, KeRemoveQueueDpc, IoCsqInsertIrp, IoCsqRemoveNextIrp, IoFreeMdl, MmProbeAndLockPages, IoAllocateMdl, strncat, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ObfReferenceObject, PoRegisterDeviceForIdleDetection, IoInvalidateDeviceState, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, KeInsertQueueDpc, IoGetDmaAdapter, RtlFreeUnicodeString, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, IoRequestDeviceEject, RtlCreateRegistryKey, RtlCopyUnicodeString, RtlUnwind, ZwClose, memset, RtlInitUnicodeString, ExAllocatePoolWithTag, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, RtlQueryRegistryValues, PsCreateSystemThread, ExFreePoolWithTag > HAL.dll: KeAcquireInStackQueuedSpinLock, KfAcquireSpinLock, KfReleaseSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeGetCurrentIrql, KeStallExecutionProcessor, KeReleaseInStackQueuedSpinLock ( 0 exports ) 
RDS...: NSRL Reference Data Set -
pdfid.: -
trid..: Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck: publisher....: Intel Corporation copyright....: Copyright(C)

Réponse 32 / 32

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
27 avril 2010 à 17:59

ok

le fichier est bon en revanche le script comportait une erreur

même manip que précédement avec combofix avec ce nouveau CFscript (merci Gen)

KillAll::

File::
c:\windows\system32\Setup\MPSvc.exe

SkipFix::

Google redirigé et malwarebytes envahi

32 réponses

Discussions similaires

Newsletters