help mémoire infectée Résolu/Fermé

Question

Bonjour,

après  deux scan avast, ma mémoire a été infectée avec plusieurs fichiers infectés (766 lignes listées)
depuis quand je demarre mon ordi ca m affiche le fichier " c:\windows\system32	zilwi.dll" introuvable.


 aussi au démarrage affichage de : HPZipm 12.exe - Erreur d' application
L' instruction à " 0x774bdf 1b" emploie l' adresse mémoire " 0x00000000". la mémoire ne peut pas être " read". cliquez sur OK pour terminer....
 
que faut il faire? tout désinstaller et re- installer windows et orange.
merci de vos réponses.  urgence

••RiverToo•• · Answer

Salut

Commence par faire un rapport hijackthis :

• Tu peux le télécharger ici : https://www.commentcamarche.net/telecharger/ 159 hijackthis

• Le dézipper dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < c : ! (Cela permet des back-up en cas de mauvaises suppressions)
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

• L’exécuter puis sur "Do a system scan and save a logfile" (cf. démo)
faire un copier-coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

De plus 

•   Télécharge rmalwarebyte's antimalware : http://www.commentcamarche.net/telecharger/telechargement   34055379-malwarebytes-anti-malware
•   Tuto ici : https://forum.pcastuces.com/sujet.asp?f=31&s=3

poste le rapport complet dans ton prochain poste 

Bon courage

••RiverToo••

••RiverToo•• · Answer

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

post egalement un nouveau rapport hijack this dans ta reponse .

Pour hijackthis :

Télécharge HijackThis ici :

-> https://www.commentcamarche.net/telecharger/ 159 hijackthis

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Post le rapport généré ici stp... 

Bon courage

••RiverToo•• · Answer

fait combofix stp

crapoulou · Answer

Salut, pour avancer : Télécharge sur le bureau Navilog1 (Merci à IL-MAFIOSO) = = = = >>> En cliquant ici <<< = = = = * La console noire de Navilog1 doit s’ouvrir après l’installation * Sinon, pour l’ouvrir, double-clique sur le raccourci « Navilog1 » sur ton bureau * Appuie sur la lettre F de ton clavier puis sur la touche Entrée * Appuie sur une touche de ton clavier pour continuer... * Tape 1, puis appuie sur la touche Entrée de ton clavier * Ainsi, Navilog1 va effectuer la recherche des fichiers infectieux sur ton PC. * NE PAS UTILISER L’OPTION 2, 3, 4 SANS AVIS * Sois patient, cela peut prendre une dizaine de minutes * Navilog1 t’informe que la recherche est terminée * Appuie sur une touche de ton clavier pour afficher le rapport qu’il a généré * Le rapport sera sauvegardé dans le fichier suivant : « fixnavi.txt » à la racine de ton disque dur (C:\fixnavi.txt). * Poste le rapport généré

crapoulou · Answer

Nettoyage : 

* Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts 
* Relance Navilog en faisant un clic droit sur le raccourci Navilog présent sur ton bureau et en choisissant 
« Exécuter en tant qu’administrateur ». (si tu as Vista)
* Au menu principal, choisis 2 et valide.
* Il va t’informer qu’il va alors redémarrer ton PC
* Appuie sur une touche comme demandé (Si ton Pc ne redémarre pas automatiquement, fais le toi même) 
* Au redémarrage de ton PC, choisis ta session habituelle.

* Patiente jusqu’au message : 
*** Nettoyage Termine le ..... *** 

* Le bloc note va s’ouvrir, copie/colle ici le rapport, comme tu l’as fait pour l’autre.

crapoulou · Answer

Très bien, poste un nouveau rapport hijackthis stp.

crapoulou · Answer

Télécharge Malwarebytes’ Anti-Malware = = = = >>> En cliquant ici <<< = = = = - Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware - Enregistres le sur le bureau - Double cliques sur le fichier téléchargé pour lancer le processus d’installation - Lorsqu’il te le sera demandé, met à jour Malwarebytes anti malware - Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes - Une fois la mise à jour terminée, ferme Malwarebytes - Double-cliques sur l’icône de malwarebytes pour le relancer - Dans l’onglet, Recherche, probablement ouvert par défaut, - Sélectionne Exécuter un examen complet - Clique sur Rechercher - Le scan démarre - A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés. - Cliques sur Ok pour poursuivre. - Si des malwares ont été détectés, cliques sur Afficher les résultats - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse. - Rends toi dans l’onglet rapport/log - Tu cliques dessus pour l’afficher une fois affiché - Tu cliques sur édition en haut du bloc notes, et puis sur sélectionner tout - Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse - Tu cliques droit dans le cadre de la réponse et coller Si tu as besoin d’aide regarde ce tutorial ICI

crapoulou · Answer

Pour vérification : Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. = = = = >>> En cliquant ici <<< = = = = Une fois sauvegardé sur ton bureau, double clique sur SDFix.exe et choisis Install pour l’extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : * Redémarre ton ordinateur * Après avoir entendu l’ordinateur biper lors du démarrage, mais avant que l’icône Windows apparaisse, tapote la touche F8 (une pression par seconde). * A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. * Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". * Choisis ton compte. Déroule la liste des instructions ci-dessous : * Ouvre le dossier SDFix qui vient d’être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. * Appuie sur Y pour commencer le processus de nettoyage. * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d’appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu’à l’accoutumée car l’outil va continuer à s’exécuter et supprimer des fichiers. * Après le chargement du Bureau, l’outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l’exécution du script et charger les icônes de ton Bureau. * Les icônes du Bureau affichées, le rapport SDFix s’ouvrira à l’écran et s’enregistrera aussi dans le dossier SDFix sous le nom Report.txt. • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum Si t’as besoin d’un tuto, clic ICI ************************ Télécharges Ad-Remover ( de Cyrildu17 / C_XX ) sur ton bureau : = = = =>>> En cliquant ici <<<= = = = /!\ Déconnectes toi et fermes toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\ ● Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. (C:\Program files ) ● Double clique sur l'icône Ad-remover située sur ton bureau ● Au menu principal choisi l'option "A" ● Postes le rapport qui apparaît à la fin . ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log ) (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

crapoulou · Answer

Clic droit sur son icone "A", puis "arrêter la protection résidente".
Même manipulation pour le réactiver après.

crapoulou · Answer

En bas à droite dans la barre tes tâches !
Si tu n'y arrive vraiment pas essaye sans le désactiver mais si tu as une alerte d'Avast au moment où tu lances Ad-aware, accepte l'accès, ignore l'alerte.

crapoulou · Answer

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. (tdss) = = = = >>> En cliquant ici <<< = = = = Une fois sauvegardé sur ton bureau, double clique sur SDFix.exe et choisis Install pour l’extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : * Redémarre ton ordinateur * Après avoir entendu l’ordinateur biper lors du démarrage, mais avant que l’icône Windows apparaisse, tapote la touche F8 (une pression par seconde). * A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. * Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". * Choisis ton compte. Déroule la liste des instructions ci-dessous : * Ouvre le dossier SDFix qui vient d’être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. * Appuie sur Y pour commencer le processus de nettoyage. * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d’appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu’à l’accoutumée car l’outil va continuer à s’exécuter et supprimer des fichiers. * Après le chargement du Bureau, l’outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l’exécution du script et charger les icônes de ton Bureau. * Les icônes du Bureau affichées, le rapport SDFix s’ouvrira à l’écran et s’enregistrera aussi dans le dossier SDFix sous le nom Report.txt. • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum Si t’as besoin d’un tuto, clic ICI

crapoulou · Answer

Télécharge Random’s System Information Tool (RSIT) de random/random et enregistre l’exécutable sur le Bureau. = = = = >>> En cliquant ici <<< = = = = * Double-clique sur RSIT.exe pour le lancer. * Une première fenêtre s’ouvre, clique alors sur Continue (Disclaimer). * Si la dernière version de HijackThis n’est pas détectée sur ton PC, RSIT le téléchargera et te demandera d’accepter la licence. * Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront (probablement avec le bloc-notes). * Poste le contenu de log.txt (c’est celui qui apparaît à l’écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

crapoulou · Answer

Télécharge UsbFix sur ton bureau : = = = = >>> En cliquant ici <<< = = = = => Lance l’installation avec les paramètres par défaut Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d’avoir été infectés sans les ouvrir => Double clic sur le raccourci UsbFix sur ton bureau => Sélectionne l’option 1 : Nettoyage => Le PC va redémarrer =>Après redémarrage poste le rapport UsbFix.txt Notes : * Le rapport UsbFix.txt est sauvegardé a la racine du disque * Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche", tape explorer.exe et valide. ****************** - Fais un scan en ligne avec Kaspersky = = = = >>> En cliquant ici <<< = = = = (avec Internet Explorer) - En bas à droite, clique sur Démarrer Online-scaner - Dans la nouvelle fenêtre qui s’affiche, clique sur J’accepte - Accepte les Contrôles ActiveX - Choisis Poste de travail pour le scan. - Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport - Pour t’aider à utiliser le scan en ligne, tu as un tuto ICI Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

crapoulou · Answer

Oui tu peux la brancher sans souci !

Concernant IE, tu ne l'as pas du tout ?! Comment ça se fait ?!

crapoulou · Answer

Essaye de faire un scan en ligne ICI
Avec Mozilla Firefox.

crapoulou · Answer

Euh, c'est le scan kaspersky avec internet explorer ça ?
Il a détecté des virus ?!
Si non, fais avec Mozilla sur le lien donné oui.

didou43 · Answer

j ai fait scan en ligne trend micro :


il y a 21 cookies HTTP et 3 infections

faut il supprimer les cookies ou les nettoyer? Enettoyer les infections?

crapoulou · Answer

Supprime tout et copie colle s'il y a un rapport pour que je vois les infections et leurs localisations.

crapoulou · Answer

euh non, pas trop.
Repostes un rapport hijackthis.

crapoulou · Answer

Relance un examen complet de malwarebytes anti malware mis à jour stp.

crapoulou · Answer

Envoi un dernier nouveau rapport hijackthis stp.

crapoulou · Answer

Si tu trouve ce fichier, supprime le.
c:\windows\system32\sqdwcr.dll

crapoulou · Answer

Relance Hijackthis. Clic sur "Do a system scan only". Coche ces lignes : O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O20 - AppInit_DLLs: sqdwcr.dll Clic ensuite sur fix checked. ********************** /!\ Seul didou43 peut suivre cette procédure, script vérifié/!\ Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau. = = = = >>> En cliquant ici <<< = = = = Une fois installé sur le bureau, double-clique sur OTMoveIt.exe pour le lancer. Assure toi que la case Unregister Dll’s and Ocx’s soit bien cochée Copie la liste qui se trouve en gras ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved. :Processes explorer.exe :Services bEvtService :Files c:\windows\system32\sqdwcr.dll :Commands [emptytemp] [Reboot] Clique sur MoveIt! pour lancer la suppression. Le résultat apparaitra dans le cadre "Results". Clique sur Exit pour fermer. Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. ************* Fais aussi suivre d'un nouveau rapport hijackthis stp.

crapoulou · Answer

Ok, rapport hijackthis stp, pour vérification.

crapoulou · Answer

Fixe les lignes comme demandé.

crapoulou · Answer

Regarde le début du message 49 ... tout est expliqué.
Une fois fait, poste un nouveau rapport hijackthis.

crapoulou · Answer

Télécharges Ad-Remover ( de Cyrildu17 / C_XX ) sur ton bureau : = = = =>>> En cliquant ici <<<= = = = /!\ Déconnectes toi et fermes toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\ ● Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. (C:\Program files ) ● Double clique sur l'icône Ad-remover située sur ton bureau ● Au menu principal choisi l'option "A" ● Postes le rapport qui apparaît à la fin . ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log ) (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

crapoulou · Answer

Un message d'erreur particulier ?

crapoulou · Answer

Essaye de réinstaller Ad-remover et de le renommer. Sinon : Télécharge Random’s System Information Tool (RSIT) de random/random et enregistre l’exécutable sur le Bureau. = = = = >>> En cliquant ici <<< = = = = * Double-clique sur RSIT.exe pour le lancer. * Une première fenêtre s’ouvre, clique alors sur Continue (Disclaimer). * Si la dernière version de HijackThis n’est pas détectée sur ton PC, RSIT le téléchargera et te demandera d’accepter la licence. * Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront (probablement avec le bloc-notes). * Poste le contenu de log.txt (c’est celui qui apparaît à l’écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

crapoulou · Answer

Oui.

crapoulou · Answer

Bien sauf que ton rapport n'est pas complet.
Je vais me coucher, à demain.

crapoulou · Answer

Le rapport Ad-Remover n'est pas complet !

crapoulou · Answer

Connais-tu ceci ? C:\Program Files\Incomplete *************** Analyse ces fichiers : C:\WINDOWS\system32\iwtk.bat C:\WINDOWS\system32\zokegx.bat C:\WINDOWS\system32 hbji.bat C:\WINDOWS\system32\drivers\ethspfqh.sys Sur le site de virustotal : https://www.virustotal.com/gui/ Parcourir > Sélectionne ton fichier > Analyser, patiente que l’analyse soit terminée. Poste les rapports. ***************************** Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. = = = = >>> En cliquant ici <<< = = = = Une fois sauvegardé sur ton bureau, double clique sur SDFix.exe et choisis Install pour l’extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : * Redémarre ton ordinateur * Après avoir entendu l’ordinateur biper lors du démarrage, mais avant que l’icône Windows apparaisse, tapote la touche F8 (une pression par seconde). * A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. * Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". * Choisis ton compte. Déroule la liste des instructions ci-dessous : * Ouvre le dossier SDFix qui vient d’être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. * Appuie sur Y pour commencer le processus de nettoyage. * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d’appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu’à l’accoutumée car l’outil va continuer à s’exécuter et supprimer des fichiers. * Après le chargement du Bureau, l’outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l’exécution du script et charger les icônes de ton Bureau. * Les icônes du Bureau affichées, le rapport SDFix s’ouvrira à l’écran et s’enregistrera aussi dans le dossier SDFix sous le nom Report.txt. • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum Si t’as besoin d’un tuto, clic ICI ****************************** Fais un scan complet avec avast mis à jour et poste le rapport stp.

crapoulou · Answer

Il ne fallait pas les ouvrir mais te rendre sur le site pour les analyser.

Vide la quarantaine d'Avast.

crapoulou · Answer

Essaye.
S'ils n'y sont pas, ce n'est pas grave, peut être que ton antivirus l'a supprimé ...
Il était suspect :D

didou43 · Answer

analyse de 2 fichiers sur 4 :

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.0.0.73 2009.01.06 - 
AhnLab-V3 2009.1.6.3 2009.01.06 - 
AntiVir 7.9.0.45 2009.01.06 - 
Authentium 5.1.0.4 2009.01.06 W32/SpamAgent.B.gen!Eldorado 
Avast 4.8.1281.0 2009.01.06 - 
AVG 8.0.0.199 2009.01.06 - 
BitDefender 7.2 2009.01.06 - 
CAT-QuickHeal 10.00 2009.01.06 - 
ClamAV 0.94.1 2009.01.06 - 
Comodo 884 2009.01.06 - 
DrWeb 4.44.0.09170 2009.01.06 - 
eTrust-Vet 31.6.6294 2009.01.06 - 
Ewido 4.0 2008.12.31 - 
F-Prot 4.4.4.56 2009.01.06 W32/SpamAgent.B.gen!Eldorado 
F-Secure 8.0.14470.0 2009.01.06 - 
Fortinet 3.117.0.0 2009.01.06 - 
GData 19 2009.01.06 - 
Ikarus T3.1.1.45.0 2009.01.06 - 
K7AntiVirus 7.10.578 2009.01.06 - 
Kaspersky 7.0.0.125 2009.01.06 - 
McAfee 5486 2009.01.05 - 
McAfee+Artemis 5487 2009.01.06 - 
Microsoft 1.4205 2009.01.06 Spammer:Win32/Rlsloup.B 
NOD32 3744 2009.01.06 - 
Norman 5.80.02 2009.01.06 - 
Panda 9.0.0.4 2009.01.06 - 
PCTools 4.4.2.0 2009.01.06 - 
Prevx1 V2 2009.01.06 - 
Rising 21.11.12.00 2009.01.06 - 
SecureWeb-Gateway 6.7.6 2009.01.06 Trojan.LooksLike.ConHook 
Sophos 4.37.0 2009.01.06 - 
Sunbelt 3.2.1809.2 2008.12.22 - 
Symantec 10 2009.01.06 - 
TheHacker 6.3.1.4.205 2009.01.05 - 
TrendMicro 8.700.0.1004 2009.01.06 - 
VBA32 3.12.8.10 2009.01.06 - 
ViRobot 2009.1.6.1546 2009.01.06 - 
VirusBuster 4.5.11.0 2009.01.06 - 
Information additionnelle 
File size: 135712 bytes 
MD5...: 2409d0aa43a91461733d977bce8acb73 
SHA1..: f1209b8e7f879f797ca8f0a5c4f088a31dc7c73c 
SHA256: 05e1f605d26c166e26ed57634969dfd3a8775565459cc6773068d34d17176399 
SHA512: 550ff95f8c209a565d59a91ee73fad0a6f6cb4167c33e37713fd894156ac3ab7
34434dfba067fbd6e23f79d606713823b43d9597a2afac3765000114bbd85faf
 
ssdeep: 3072:H4etTG8uA9SGyeBtTqNaRDZjWIVaWMUQpOs8Ut:Y0TG8qGpBfRDNWIV2rt
 
PEiD..: - 
TrID..: File type identification
Generic Win/DOS Executable (49.6%)
DOS Executable Generic (49.5%)
VXD Driver (0.7%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x30bc0
timedatestamp.....: 0x4946cd53 (Mon Dec 15 21:34:11 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.data 0x220 0x2098b 0x209a0 7.96 4be67f54006247513ec9fdd005b8aca1
.text 0x20bc0 0x282 0x2a0 5.47 ba486feee251a9ea1ca53346a0211044
.idata 0x20e60 0x2f2 0x300 4.84 534ed60b55946506ef456e25b51f7494
.reloc 0x21160 0xb4 0xc0 5.10 cb8a3189737f99dc6b73b38a8a8ef182

( 1 imports ) 
> ntoskrnl.exe: ExAllocatePoolWithTag, FsRtlPrepareMdlWrite, KeTickCount, _except_handler3, PsSetLoadImageNotifyRoutine, KeQueryTimeIncrement, ExFreePoolWithTag, strncpy, RtlAnsiCharToUnicodeChar, MmSizeOfMdl, WmiStartTrace, ZwQuerySystemInformation, IoGetCurrentProcess, DbgPrint, KeIsExecutingDpc, strncmp, strstr, KeBugCheckEx, srand, ExReleaseResourceLite, ObfReferenceObject, MmMapLockedPagesSpecifyCache, wcsncpy, FsRtlUninitializeOplock, ObReferenceObjectByHandle

( 0 exports ) 



Antivirus Version Dernière mise à jour Résultat 
a-squared 4.0.0.73 2009.01.06 - 
AhnLab-V3 2009.1.6.3 2009.01.06 - 
AntiVir 7.9.0.45 2009.01.06 - 
Authentium 5.1.0.4 2009.01.06 - 
Avast 4.8.1281.0 2009.01.06 - 
AVG 8.0.0.199 2009.01.06 - 
BitDefender 7.2 2009.01.06 - 
CAT-QuickHeal 10.00 2009.01.06 - 
ClamAV 0.94.1 2009.01.06 - 
Comodo 884 2009.01.06 - 
DrWeb 4.44.0.09170 2009.01.06 - 
eTrust-Vet 31.6.6294 2009.01.06 - 
Ewido 4.0 2008.12.31 - 
F-Prot 4.4.4.56 2009.01.06 - 
F-Secure 8.0.14470.0 2009.01.06 - 
Fortinet 3.117.0.0 2009.01.06 BAT/Iroffer.A!tr 
GData 19 2009.01.06 - 
Ikarus T3.1.1.45.0 2009.01.06 - 
K7AntiVirus 7.10.578 2009.01.06 - 
Kaspersky 7.0.0.125 2009.01.06 - 
McAfee 5486 2009.01.05 Iroffer.bat 
McAfee+Artemis 5487 2009.01.06 Iroffer.bat 
Microsoft 1.4205 2009.01.06 - 
NOD32 3744 2009.01.06 - 
Norman 5.80.02 2009.01.06 - 
Panda 9.0.0.4 2009.01.06 - 
PCTools 4.4.2.0 2009.01.06 - 
Prevx1 V2 2009.01.06 - 
Rising 21.11.12.00 2009.01.06 - 
SecureWeb-Gateway 6.7.6 2009.01.06 - 
Sophos 4.37.0 2009.01.06 - 
Sunbelt 3.2.1809.2 2008.12.22 - 
Symantec 10 2009.01.06 - 
TheHacker 6.3.1.4.205 2009.01.05 - 
TrendMicro 8.700.0.1004 2009.01.06 - 
VBA32 3.12.8.10 2009.01.06 - 
ViRobot 2009.1.6.1546 2009.01.06 - 
VirusBuster 4.5.11.0 2009.01.06 - 
Information additionnelle 
File size: 127 bytes 
MD5...: dc12356a480ac29f20168b40eb197a94 
SHA1..: e8fdf4a658adfab2bd62a6641894c044ca30e2fa 
SHA256: a3b551e081d3750abfc988a9b5c394c8938c7c93afc691ebbb63e27a69c28f56 
SHA512: 0bbbd21b433445180fc707337bd609d400b244417734b4d42507f588024f0ef8
7deb85f1c6436d035213b37a7bacadf9448cc89ea202fc713d308c05e9d6de7d
 
ssdeep: 3:mKDDTOApF+MXaAr+JCDMXaArFOaAVKKFmAA90Mov:h2ApF+MXXDMXFuKKUAA90
My
 
PEiD..: - 
TrID..: File type identification
Unknown! 
PEInfo:

crapoulou · Answer

C'est très bien mais quel rapport correspond à quel fichier stp ?!

didou43 · Answer

* Rapport avast!
* Ce fichier est généré automatiquement
*
* Tâche utilisée 'Interface utilisateur simplifiée'
* Débuté le mardi 6 janvier 2009 22:15:25
* VPS : 090106-1, 06/01/2009
*

C:\Qoobox\Quarantine\C\WINDOWS\system32\vqwfeexq.dll.vir [L] Win32:Rootkit-gen [Rtk] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP360\A0190747.EXE\BIOSLOCK.PIF [E] L'archive est protégée par mot de passe. (42056)
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP360\A0190747.EXE\BIOSLOCK.EXE [E] L'archive est protégée par mot de passe. (42056)
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP360\A0190748.EXE\UNISHHS.ARJ\UPDTAT.BAT [E] L'archive est protégée par mot de passe. (42056)
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP368\A0244227.dll [L] Win32:Rootkit-gen [Rtk] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP368\A0244232.dll [L] Win32:Rootkit-gen [Rtk] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP368\A0244261.exe [L] Win32:Fasec [Trj] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP372\A0246393.exe:ext.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP372\A0246410.dll [L] Win32:Adware-gen [Adw] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP372\A0246422.dll [L] Win32:Adware-gen [Adw] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP372\A0246424.dll [L] Win32:Rootkit-gen [Rtk] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
Fichiers infectés : 8
Total des fichiers : 626759
Total des dossiers : 6456
Taille totale : 34,7 GB

*
* Tâche terminée : mercredi 7 janvier 2009 00:02:01
* Programme était en exécution 1 heure(s), 46 minute(s), 36 seconde(s)

crapoulou · Answer

Poste un nouveau rapport RSIT stp.

crapoulou · Answer

/!\ Seule didou43 peut suivre cette procédure, script vérifié ! /!\ Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau. = = = = >>> En cliquant ici <<< = = = = Une fois installé sur le bureau, double-clique sur OTMoveIt.exe pour le lancer. Assure toi que la case Unregister Dll’s and Ocx’s soit bien cochée Copie la liste qui se trouve en gras ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved. :Processes explorer.exe :Files C:\WINDOWS igzss.txt C:\WINDOWS\system32 hbji.bat C:\CONFIG C:\WINDOWS\system32\af0a82dc-.txt :Commands [emptytemp] [start explorer] [Reboot] Clique sur MoveIt! pour lancer la suppression. Le résultat apparaitra dans le cadre "Results". Clique sur Exit pour fermer. Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. **************** Suis cette procédure pour supprimer toutes les traces de Norton : = = = =>>> En cliquant ici <<<= = = = Tu ne fais bien entendu pas l'étape 3 de la réinstallation. ************** Analyse ces fichiers sur virustotal et poste les rapports : C:\WINDOWS\system32\svchost.exe.tmp C:\WINDOWS\system32\svchost(3).exe C:\WINDOWS\system32\drivers\ethfdthv.sys C:\WINDOWS\system32\drivers\ethspfqh.sys

crapoulou · Answer

Poste un  nouveau rapport hijackthis stp.

didou43 · Answer

analyse virus total fichier svchost.exe.tpm : a-squared 4.0.0.73 2009.01.07 - AhnLab-V3 2009.1.8.0 2009.01.07 - AntiVir 7.9.0.45 2009.01.07 - Authentium 5.1.0.4 2009.01.07 - Avast 4.8.1281.0 2009.01.07 - AVG 8.0.0.199 2009.01.07 - BitDefender 7.2 2009.01.07 - CAT-QuickHeal 10.00 2009.01.06 - ClamAV 0.94.1 2009.01.07 - Comodo 891 2009.01.07 - DrWeb 4.44.0.09170 2009.01.07 - eSafe 7.0.17.0 2009.01.06 - eTrust-Vet 31.6.6296 2009.01.07 - Ewido 4.0 2008.12.31 - F-Prot 4.4.4.56 2009.01.07 - F-Secure 8.0.14470.0 2009.01.07 - Fortinet 3.117.0.0 2009.01.07 - GData 19 2009.01.07 - Ikarus T3.1.1.45.0 2009.01.07 - K7AntiVirus 7.10.581 2009.01.07 - Kaspersky 7.0.0.125 2009.01.07 - McAfee 5488 2009.01.07 - McAfee+Artemis 5487 2009.01.06 - Microsoft 1.4205 2009.01.07 - NOD32 3747 2009.01.07 - Norman 5.99.02 2009.01.07 - Panda 9.0.0.4 2009.01.07 - PCTools 4.4.2.0 2009.01.07 - Prevx1 V2 2009.01.07 - Rising 21.11.22.00 2009.01.07 - SecureWeb-Gateway 6.7.6 2009.01.07 - Sophos 4.37.0 2009.01.07 - Sunbelt 3.2.1809.2 2008.12.22 - Symantec 10 2009.01.07 - TheHacker 6.3.1.4.210 2009.01.07 - TrendMicro 8.700.0.1004 2009.01.07 - VBA32 3.12.8.10 2009.01.07 - ViRobot 2009.1.7.1548 2009.01.07 - VirusBuster 4.5.11.0 2009.01.07 - Information additionnelle File size: 14336 bytes MD5...: e4bdf223cd75478bf44567b4d5c2634d SHA1..: 3d70560753b0ab43252311fa85e12f36a51a5f55 SHA256: 6234155d6c02c67689744d21380b17db5fe395bc8622c71b046e40ca1767785a SHA512: b806bd12bc6a507aa87ac8ab347044f82c3593bfae3832d0a3e88a545a051776 177aa9214eeac785d64f35ae83e695f90859e655d5020ff195791cefff407c7e ssdeep: 384:nrdi+JmG6yqlCRaJt4RHS5LutGJae7g9VJnpWCNJbW:jcG6xlCRaJKGOA7SH J PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1002509 timedatestamp.....: 0x48025bc0 (Sun Apr 13 19:15:12 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2c00 0x2c00 6.29 48331595af9d9d52b478844a07357653 .data 0x4000 0x210 0x200 1.62 cbd504e46c836e09e8faabdcfbabaec2 .rsrc 0x5000 0x408 0x600 2.51 dcede0c303bbb48c6875eb64477e5882 ( 4 imports ) > ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorDacl, SetEntriesInAclW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW > KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, LocalFree, GetCurrentProcess, GetCurrentThread, GetProcAddress, LoadLibraryExW, LeaveCriticalSection, HeapAlloc, EnterCriticalSection, LCMapStringW, FreeLibrary, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, RegisterWaitForSingleObject, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, LocalAlloc, lstrcmpW, DelayLoadFailureHook > ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtClose, RtlSubAuthorityCountSid, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlImageNtHeader, wcslen, RtlUnhandledExceptionFilter, RtlCopySid > RPCRT4.dll: RpcServerUnregisterIfEx, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status, RpcMgmtStopServerListening ( 0 exports ) CWSandbox info: http://research.sunbelt-software.com/... fichier svchost(3).exe : a-squared 4.0.0.73 2009.01.07 - AhnLab-V3 2009.1.8.0 2009.01.07 - AntiVir 7.9.0.45 2009.01.07 - Authentium 5.1.0.4 2009.01.07 - Avast 4.8.1281.0 2009.01.07 - AVG 8.0.0.199 2009.01.07 - BitDefender 7.2 2009.01.07 - CAT-QuickHeal 10.00 2009.01.06 - ClamAV 0.94.1 2009.01.07 - Comodo 891 2009.01.07 - DrWeb 4.44.0.09170 2009.01.07 - eSafe 7.0.17.0 2009.01.06 - eTrust-Vet 31.6.6296 2009.01.07 - Ewido 4.0 2008.12.31 - F-Prot 4.4.4.56 2009.01.07 - F-Secure 8.0.14470.0 2009.01.07 - Fortinet 3.117.0.0 2009.01.07 - GData 19 2009.01.07 - Ikarus T3.1.1.45.0 2009.01.07 - K7AntiVirus 7.10.581 2009.01.07 - Kaspersky 7.0.0.125 2009.01.07 - McAfee 5488 2009.01.07 - McAfee+Artemis 5487 2009.01.06 - Microsoft 1.4205 2009.01.07 - NOD32 3747 2009.01.07 - Norman 5.99.02 2009.01.07 - Panda 9.0.0.4 2009.01.07 - PCTools 4.4.2.0 2009.01.07 - Prevx1 V2 2009.01.07 - Rising 21.11.22.00 2009.01.07 - SecureWeb-Gateway 6.7.6 2009.01.07 - Sophos 4.37.0 2009.01.07 - Sunbelt 3.2.1809.2 2008.12.22 - TheHacker 6.3.1.4.210 2009.01.07 - TrendMicro 8.700.0.1004 2009.01.07 - VBA32 3.12.8.10 2009.01.07 - ViRobot 2009.1.7.1548 2009.01.07 - VirusBuster 4.5.11.0 2009.01.07 - Information additionnelle File size: 14336 bytes MD5...: e4bdf223cd75478bf44567b4d5c2634d SHA1..: 3d70560753b0ab43252311fa85e12f36a51a5f55 SHA256: 6234155d6c02c67689744d21380b17db5fe395bc8622c71b046e40ca1767785a SHA512: b806bd12bc6a507aa87ac8ab347044f82c3593bfae3832d0a3e88a545a051776 177aa9214eeac785d64f35ae83e695f90859e655d5020ff195791cefff407c7e ssdeep: 384:nrdi+JmG6yqlCRaJt4RHS5LutGJae7g9VJnpWCNJbW:jcG6xlCRaJKGOA7SH J PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1002509 timedatestamp.....: 0x48025bc0 (Sun Apr 13 19:15:12 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2c00 0x2c00 6.29 48331595af9d9d52b478844a07357653 .data 0x4000 0x210 0x200 1.62 cbd504e46c836e09e8faabdcfbabaec2 .rsrc 0x5000 0x408 0x600 2.51 dcede0c303bbb48c6875eb64477e5882 ( 4 imports ) > ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorDacl, SetEntriesInAclW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW > KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, LocalFree, GetCurrentProcess, GetCurrentThread, GetProcAddress, LoadLibraryExW, LeaveCriticalSection, HeapAlloc, EnterCriticalSection, LCMapStringW, FreeLibrary, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, RegisterWaitForSingleObject, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, LocalAlloc, lstrcmpW, DelayLoadFailureHook > ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtClose, RtlSubAuthorityCountSid, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlImageNtHeader, wcslen, RtlUnhandledExceptionFilter, RtlCopySid > RPCRT4.dll: RpcServerUnregisterIfEx, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status, RpcMgmtStopServerListening ( 0 exports ) CWSandbox info: http://research.sunbelt-software.com/... fichier drivers\ethfdthv.sys : a-squared 4.0.0.73 2009.01.07 - AhnLab-V3 2009.1.8.0 2009.01.07 - AntiVir 7.9.0.45 2009.01.07 - Authentium 5.1.0.4 2009.01.07 W32/SpamAgent.B.gen!Eldorado Avast 4.8.1281.0 2009.01.07 - AVG 8.0.0.199 2009.01.07 - BitDefender 7.2 2009.01.07 - CAT-QuickHeal 10.00 2009.01.06 - ClamAV 0.94.1 2009.01.07 - Comodo 891 2009.01.07 - DrWeb 4.44.0.09170 2009.01.07 - eSafe 7.0.17.0 2009.01.06 - eTrust-Vet 31.6.6296 2009.01.07 - Ewido 4.0 2008.12.31 - F-Prot 4.4.4.56 2009.01.07 W32/SpamAgent.B.gen!Eldorado F-Secure 8.0.14470.0 2009.01.07 - Fortinet 3.117.0.0 2009.01.07 - GData 19 2009.01.07 - Ikarus T3.1.1.45.0 2009.01.07 - K7AntiVirus 7.10.581 2009.01.07 - Kaspersky 7.0.0.125 2009.01.07 - McAfee 5488 2009.01.07 - McAfee+Artemis 5488 2009.01.07 - Microsoft 1.4205 2009.01.07 Spammer:Win32/Rlsloup.B NOD32 3748 2009.01.07 - Norman 5.99.02 2009.01.07 - Panda 9.0.0.4 2009.01.07 - PCTools 4.4.2.0 2009.01.07 - Prevx1 V2 2009.01.07 - Rising 21.11.22.00 2009.01.07 - SecureWeb-Gateway 6.7.6 2009.01.07 Trojan.LooksLike.ConHook Sophos 4.37.0 2009.01.07 - Sunbelt 3.2.1809.2 2008.12.22 - Symantec 10 2009.01.07 - TheHacker 6.3.1.4.210 2009.01.07 - TrendMicro 8.700.0.1004 2009.01.07 - VBA32 3.12.8.10 2009.01.07 - ViRobot 2009.1.7.1548 2009.01.07 - VirusBuster 4.5.11.0 2009.01.07 - Information additionnelle File size: 134880 bytes MD5...: cdf79994426b21d0b8ad8eee237d397f SHA1..: e9b6ee2442a94d5f8cdada9d84568c76837fa1a9 SHA256: d81aa52ca622e01fdb3f99966a517701fdc3ef53df9ce17bf09f0736637cfa61 SHA512: ad42e2de722a30603df18b12eab7b5861be52e6b43642184be2348ae2c194f4a 5386dfe633c035906fed96611cecb7a05df6b98108cee187d77d125751da2a4a ssdeep: 3072:INxLQgOn/nCNU9Zr9vsy39zs+KcTRYpNmqwL8yLm:mx8N/n191Rsks+OpNX wwim PEiD..: - TrID..: File type identification Generic Win/DOS Executable (49.6%) DOS Executable Generic (49.5%) VXD Driver (0.7%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x30880 timedatestamp.....: 0x4950c57d (Tue Dec 23 11:03:25 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .data 0x220 0x20644 0x20660 7.97 ce06185327af2f6903e3bcdcbd33d358 .text 0x20880 0x280 0x280 5.70 10b4d436c8c1f5f4affc3fa583768ac6 .idata 0x20b00 0x31a 0x320 4.95 929e06a6a4e9bc649a0a9c2d9983d454 .reloc 0x20e20 0xb4 0xc0 5.04 02b38b266762c7bb09bf4b716155d408 ( 1 imports ) > ntoskrnl.exe: ExAllocatePoolWithTag, ZwCreateEvent, ZwQuerySystemInformation, DbgPrint, ExFreePoolWithTag, IoAcquireCancelSpinLock, MmMapLockedPagesSpecifyCache, IoVerifyPartitionTable, RtlAnsiCharToUnicodeChar, IoGetRelatedDeviceObject, KeTickCount, IoGetCurrentProcess, strstr, RtlConvertSidToUnicodeString, KeBugCheckEx, READ_REGISTER_BUFFER_USHORT, strncmp, _except_handler3, ObReferenceObjectByHandle, KeQueryTimeIncrement, wcsncpy, strncpy, DbgQueryDebugFilterState, ObfReferenceObject, ZwClearEvent ( 0 exports ) fichier drivers\ethspfqh.sys : a-squared 4.0.0.73 2009.01.07 - AhnLab-V3 2009.1.8.0 2009.01.07 - AntiVir 7.9.0.45 2009.01.07 - Authentium 5.1.0.4 2009.01.07 W32/SpamAgent.B.gen!Eldorado Avast 4.8.1281.0 2009.01.07 - AVG 8.0.0.199 2009.01.07 - BitDefender 7.2 2009.01.07 - CAT-QuickHeal 10.00 2009.01.06 - ClamAV 0.94.1 2009.01.07 - Comodo 891 2009.01.07 - DrWeb 4.44.0.09170 2009.01.07 - eSafe 7.0.17.0 2009.01.06 - eTrust-Vet 31.6.6296 2009.01.07 - Ewido 4.0 2008.12.31 - F-Prot 4.4.4.56 2009.01.07 W32/SpamAgent.B.gen!Eldorado F-Secure 8.0.14470.0 2009.01.07 - Fortinet 3.117.0.0 2009.01.07 - GData 19 2009.01.07 - Ikarus T3.1.1.45.0 2009.01.07 - K7AntiVirus 7.10.581 2009.01.07 - Kaspersky 7.0.0.125 2009.01.07 - McAfee 5488 2009.01.07 - McAfee+Artemis 5488 2009.01.07 - Microsoft 1.4205 2009.01.07 Spammer:Win32/Rlsloup.B NOD32 3748 2009.01.07 - Norman 5.99.02 2009.01.07 - Panda 9.0.0.4 2009.01.07 - PCTools 4.4.2.0 2009.01.07 - Prevx1 V2 2009.01.07 - Rising 21.11.22.00 2009.01.07 - SecureWeb-Gateway 6.7.6 2009.01.07 Trojan.LooksLike.ConHook Sophos 4.37.0 2009.01.07 - Sunbelt 3.2.1809.2 2008.12.22 - Symantec 10 2009.01.07 - TheHacker 6.3.1.4.210 2009.01.07 - TrendMicro 8.700.0.1004 2009.01.07 - VBA32 3.12.8.10 2009.01.07 - ViRobot 2009.1.7.1548 2009.01.07 - VirusBuster 4.5.11.0 2009.01.07 - Information additionnelle File size: 135712 bytes MD5...: 2409d0aa43a91461733d977bce8acb73 SHA1..: f1209b8e7f879f797ca8f0a5c4f088a31dc7c73c SHA256: 05e1f605d26c166e26ed57634969dfd3a8775565459cc6773068d34d17176399 SHA512: 550ff95f8c209a565d59a91ee73fad0a6f6cb4167c33e37713fd894156ac3ab7 34434dfba067fbd6e23f79d606713823b43d9597a2afac3765000114bbd85faf ssdeep: 3072:H4etTG8uA9SGyeBtTqNaRDZjWIVaWMUQpOs8Ut:Y0TG8qGpBfRDNWIV2rt PEiD..: - TrID..: File type identification Generic Win/DOS Executable (49.6%) DOS Executable Generic (49.5%) VXD Driver (0.7%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x30bc0 timedatestamp.....: 0x4946cd53 (Mon Dec 15 21:34:11 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .data 0x220 0x2098b 0x209a0 7.96 4be67f54006247513ec9fdd005b8aca1 .text 0x20bc0 0x282 0x2a0 5.47 ba486feee251a9ea1ca53346a0211044 .idata 0x20e60 0x2f2 0x300 4.84 534ed60b55946506ef456e25b51f7494 .reloc 0x21160 0xb4 0xc0 5.10 cb8a3189737f99dc6b73b38a8a8ef182 ( 1 imports ) > ntoskrnl.exe: ExAllocatePoolWithTag, FsRtlPrepareMdlWrite, KeTickCount, _except_handler3, PsSetLoadImageNotifyRoutine, KeQueryTimeIncrement, ExFreePoolWithTag, strncpy, RtlAnsiCharToUnicodeChar, MmSizeOfMdl, WmiStartTrace, ZwQuerySystemInformation, IoGetCurrentProcess, DbgPrint, KeIsExecutingDpc, strncmp, strstr, KeBugCheckEx, srand, ExReleaseResourceLite, ObfReferenceObject, MmMapLockedPagesSpecifyCache, wcsncpy, FsRtlUninitializeOplock, ObReferenceObjectByHandle ( 0 exports )

crapoulou · Answer

Relance Hijackthis. Clic sur "Do a system scan only". Coche ces lignes : O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe Clic ensuite sur fix checked. ************************ Pour information, Antivir d’Avira est meilleur qu’Avast ou autre antivirus gratuit. Si ça t’intéresse, désinstalle le tien et installe Antivir. Tout est expliqué sur ce lien, du téléchargement à la configuration. *********************** Installe un pare feu car celui de Windows n’est pas suffisant. ZoneAlarm : = = = = >>> En cliquant ici <<< = = = = Un tutorial pour le configurer = = = = >>> En cliquant ici <<< = = = = ************************* * Télécharge Ccleaner (N’installe pas la barre d’outil Yahoo): = = = = >>> En cliquant ici <<< = = = = * L´installer. * Choisis l’onglet Nettoyeur Quitte ton navigateur Internet avant de le lancer, décoche la dernière case (Avancé si elle est cochée) puis click sur "lancer le nettoyage" quand il aura terminé le scan cliques en bas à droite sur "lancer le nettoyage" et accepte par oui. Attention, il risque de vider ta corbeille : si tu veux récupérer des fichiers effacés par erreur, mieux vaut le faire maintenant. * Choisis l’onglet Registre - Clic sur Chercher des erreurs - Une fois la recherche terminée, clic sur Réparer les erreurs sélectionnées (par défaut, tout est sélectionné, laisse comme ça) - Au message Voulez-vous sauvegarder les changements faits dans le registre, répond oui et enregistre le fichier « .reg » en le nommant par la date par exemple en le mettant sur le bureau. Puis continue. - A la fenêtre qui s’ouvre ensuite, clic sur Corriger toutes les erreurs sélectionnées puis OK - Ferme Ccleaner. * Tutoriel en image ICI si besoin. Note : La sauvegarde utilisée permet de remettre tel que la base était avant la manipulation au cas où il y aurait des soucis mais cela ne m’est jamais arrivé ! Il vaut mieux prendre des précautions, c’est tout. ;-)

didou43 · Answer

j ai téléchargé zone alarm ok avec le Z dans l' icône en bas à droite et les voyants rouges et verts pour controle.
demain je vais télécharger ta version de ccleaner mais avant je vais supprimer mon ancienne version par démarrer-rechercher fichiers..

pour supprimer AVAST, je dois faire le meme principe??

Après les rapports postés hier soir, que faut-il faire encore?

crapoulou · Answer

Commence par désinstaller totalement avast de ton pc avant d'installer Antivir.
Il faut passer par l'ajout/suppression de programmes.

Pour zone alarme, tu as peut être malencontreusement l'accès, vérifie la configuration de celui-ci.

crapoulou · Answer

Désinstalle le alors et prends celui-ci.
http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall
Après la désinstallation de Za et avant l'installation de l'autre, passe Ccleaner.

crapoulou · Answer

c'est possible mais si tu passes Ccleaner en suivant la procédure donnée, ça devrait alléger ton PC également si tu ne l'as jamais fait ...!
Puis tu avais un souci avec windows live messenger ...!

crapoulou · Answer

ok.
Essaye l'autre mais tu as du avoir une alerte de zone alarme pour WLM et tu as du mettre refuser (l'accès) du coup il est toujours bloqué ... (tu sais les alertes en bas à droite ...)

crapoulou · Answer

Ah bon, ok. Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : Télécharge toolscleaner sur ton Bureau = = = =>>> En cliquant ici <<<= = = = * Double-clique sur ToolsCleaner2.exe et laisse le travailler * Clique sur Recherche et laisse le scan se terminer. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options facultatives. * Clique sur Quitter, pour que le rapport puisse se créer. * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse.

crapoulou · Answer

Oui.

crapoulou · Answer

Ok, passe Ccleaner de temps en temps et surtout après les désinstallation.
Fais également l'outil "Registre" de Ccleaner.
A demain.

crapoulou · Answer

Vide la quarantaine de Antivir. Désactive et réactive ta restauration système. Démarrer, clic droit sur Poste de travail, Propriétés, onglet Restauration du système, Désactiver la restauration du système, puis Appliquer et ok, ok. (N'oublie pas la manipulation inverse pour la réactiver).

crapoulou · Answer

Pas grave s'il t'a bien supprimé tous les logiciels utilisés (sauf Ccleaner et MBAM).

crapoulou · Answer

Norton removal et Toolscleaner, supprime le fichier seulement.
Pour Ad-remover, regarde s'il est présent dans l'ajout/suppression de programmes.
Si oui, désinstalle le.
Si non, supprime le fichier seulement.
Supprime les log dans C:\

crapoulou · Answer

Supprime.

crapoulou · Answer

Soit ton antivirus, pare feu, anti spyware te le dit, sois tu ne le sais pas ...
Si tu pense qu'un fichier est suspect, tu peux l'analyser en ligne sur https://www.virustotal.com/gui/

Tu peux passer le statut de la discussion sur résolu ;-).

crapoulou · Answer

Comme ça

crapoulou · Answer

A ton service ;-).
Bonne continuation.
Crapoulou.

crapoulou · Answer

Peut-être qu'elle s'est terminée ...!
Fais une analyse pour voir s'il te dit "Vous devriez défragmenter" ou "Il ne vous est pas nécessaire de défragmenter".
C'est pas bien grave s'il te dit qu'il n'est pas nécessaire.
Pour plus d'infos, crée un nouveau topic stp, je ne saurais t'aider plus.

crapoulou · Answer

C'est possible, mais si c'est systématique, c'est étrange.
Il 'travaille' => il fait beaucoup de bruit, c'est ça ?

crapoulou · Answer

Qu'est-ce qui te dit qu'il travaille ? Quels indices ?!

crapoulou · Answer

As tu fais la poussière de ton ordi ???!

crapoulou · Answer

Si ce n'est pas un ordi portable oui.
Regarde ici pour plus d'infos :

http://www.commentcamarche.net/faq/sujet 3446 windows xp mon pc rame que faire#ix cote materiel

crapoulou · Answer

A ton service.
A+.

crapoulou · Answer

Non laisse le car ce que tu as sauvegardé (comme accès) est sauvegardé.
Laisse le travailler, pas de souci

crapoulou · Answer

Je ne sais pas ce que c'est que ces objets cachés par contre les deux avertissements pas de souci.

crapoulou · Answer

Bonne continuation.
Crapoulou.

Help mémoire infectée

67 réponses

Discussions similaires