super gros virus

Question

Bonjour,
je crois que j'ai attrapé un gros virus par MSN qqn m'a envoyé un site et j'ai cliqué dessus comme un idiot puis un message m'a dit arrêt du système et ça redemaré et maitenant impossible d'ouvrir un site ou de me connecter sur msn ça me dit pas de connexion internet alors que je suis bien connecté. je suis obligé de me connecter ailleurs aidez moi SVP!

DeNisCoOl · Answer

salut,


Pour commencer
---------------------------
1- Désinfecter son ordinateur avec MSNFix développé par !aur3n7
	Télécharger MSNFix à partir de ce lien : 
http://www.sosvirus.changelog.fr/MSNFix.exe
voir tutoriel ICI
	Double-cliquez sur MSNFix.exe afin de démarrer l’installation.
	Après installation MSNFix.bat (le .bat peut ne pas apparaître chez vous) apparaîtra sur bureau.
	Double-cliquez sur MSNFix.bat.
	Une fenêtre sur fond bleu va s'ouvrir avec un menu.
	Tapez sur la touche R de votre clavier puis la touche entrée pour valider.
	Si une infection est détectée, le message Infection Présente s'affichera.
	Pour lancer le nettoyage, il suffit d'appuyer sur n'importe quelle lettre du clavier puis valider par Entrée.
	Désactiver votre antivirus si nécessaire pour laisser travailler MSNFix
Une fois le nettoyage terminé, le rapport de nettoyage s'ouvre sur le Bloc-Note, tout sélectionner (Ctrl+A).
et Copier (Ctrl+C)/coller (Ctrl+V) ce rapport dans le prochain rapport.


Ensuite
---------------------------
2- Télécharger SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Pour cela cliquer ICI
Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur le Bureau.
> Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): image. Si problème : Tutoriel Symantec.
Choisir son compte, pas celui de l'Administrateur ou autre.

Dérouler la liste des instructions ci-dessous :
 Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
 Appuyer sur Y pour commencer le processus de nettoyage.
 Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
 Appuyer sur une touche pour redémarrer le PC.
 Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
 Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
 Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
 Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
 Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum


Et enfin
------------------------
3- Cliquer sur HiJackThis pour télécharger (la dernière version) sur votre bureau : 
- Le tutoriel pour Vista et XP  (2 pages) : https://blog.sosordi.net/category/articles

- Installer le sur un répertoire dédié (pas un dossier temporaire).
- Double-clic sur Hijackthis.exe.
tuto HJThis
- Cliquer sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note , tout sélectionner (Ctrl+A).
- Copier (Ctrl+C) et Coller (Ctrl+V) le rapport dans le prochain message.


A+


Denis

teddy974 · Answer

J'ai déjà fait une désinfection il y a pas longtemps sur ce forum mais rien!

DeNisCoOl · Answer

salut,

-- Oui j'ai vu avec toptitbal, c'était pour autre chose, mais étonnant car il n'a pas donné suite.
Il y a parfois des bug sur le site les nouveaux messages n'apparaissent pas bien, c'est le revers.

Tu étais multi infecté parfois cela laisse des traces ou n'était ce pas encore fini.
Je comptes sur ton ancien rapport HJThis sur IExplorer : 8-9 boutons supplémentaires, 3 barre de recherche dont une suspecte, 2 ou 3 active x installé.
Et 2 douzaine d'applications qui se lancent au démarrage de windows dont un tiers sont inutile.
Ceci peut vraiment ralentir beaucoup votre machine.


-- Le lien envoyé sur msn qui renvoit à de soient disant photos est un classique.
Donc contre le type d'infection que tu as décrit il faut que tu exécutes la procédure que j'ai décrit à toi de décider je ne t'obliges à rien.



A+

Denis

teddy974 · Answer

read file error: C:\DOCUME~1\Famille\LOCALS~1\Temp\winlogon.exe, Le fichier spécifié est introuvable.
read file error: C:\DOCUME~1\Famille\LOCALS~1\Temp\services.exe, Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\system32\cftmon.exe, Le fichier spécifié est introuvable.
read file error: C:\DOCUME~1\Famille\LOCALS~1\Temp\winlogon.exe, Le fichier spécifié est introuvable.
read file error: C:\DOCUME~1\Famille\LOCALS~1\Temp\services.exe, Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\system32\cftmon.exe, Le fichier spécifié est introuvable.

DeNisCoOl · Answer

salut,

J'aurais besoin des rapports au complet stp.
On dirait le rapport MSNFix après nettoyage.
As tu tout exécuté dans l'ordre?

A+

teddy974 · Answer

J'ai bien suivi les instructions et c'est le seul rapport qu'il m'a laissé.

teddy974 · Answer

J'ai fait et refait SDFix mais ça me dit : "nom de commande ou de fichier incorrect Impossible de charger le support IPX/SPX VDM je vais essayer HijackThis

teddy974 · Answer

Voici le raport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:38:59, on 14/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\VIA\RAIDaid_tool.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Eset
od32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Famille\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Documents and Settings\Famille\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SOS Connexion - Le web en toute simplicité
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAIDaid_tool.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB004" /M "Stylus CX3600"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Famille\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

DeNisCoOl · Answer

salut,

--> Pas eu de soucis pour redémarrer en mode sans échec?
Si SDFix ne se lance pas 
Clique sur Démarrer > Exécuter 
Copie/colle ceci : 
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

Clique sur Ok. 
Redémarre et essaie de relance SDFix.


--> Relancer HiJackthis cliquer sur Do a scan only et cocher les lignes en gras:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB004" /M "Stylus CX3600"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)


Comment fixer une ligne: (Merci a Balltrap34 pour cette réalisation vidéo) 
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
Fermer toutes tes applications et ton navigateur puis fix checked.


--> Télécharger OTMoveIt3(de Old_Timer)  sur le Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt3.exe

/!\ Manip crée spécialement pour cette infection... Ne pas reproduire chez vous, car pourrait endommager votre machine /!\

Double cliquer sur OTMoveIt3.exe pour le lancer. 
Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.
Copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved":

 
:Processes
Explorer.exe

:Files
C:\WINDOWS\services.exe 

:Commands
[purity] 
[emptytemp]
[start explorer]
[reboot]

 
Cliquer sur MoveIt!  pour lancer la suppression. 
Le résultat apparaîtra dans le cadre Results. 
Cliquer sur Exit pour fermer. 

Il sera peut-être demander de redémarrer le pc pour achever la suppression. 
Si c'est le cas accepter par Yes. 


--> Poster le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier ********_******.log - les *** sont des chiffres représentant la date et l'heure)


--> À faire également plus tard :
mises à jour pour des questions de sécurité IExplorer 7, Windows SP3, Adobe et Java.


A+


Denis

teddy974 · Answer

Voici le rapport d'OTMoveIt :


========== PROCESSES ==========
Process Explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\WINDOWS\services.exe not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Famille\LOCALS~1\Temp\~DF17FC.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Famille\LOCALS~1\Temp\~DFFC1C.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03192009_211641

Files moved on Reboot...
File C:\DOCUME~1\Famille\LOCALS~1\Temp\~DF17FC.tmp not found!
File C:\DOCUME~1\Famille\LOCALS~1\Temp\~DFFC1C.tmp not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.

DeNisCoOl · Answer

salut,

Merci pour le rapport OTMoveIT.

Pour ce qui est de SDFix et le redémarrage en mode sans échec?

Par rapport à ton rapport MSNFix je voulais avoir le début et la fin du rapport avec la date tous les détails...

A+

teddy974 · Answer

SDFix me fait toujours la même chose mais ma connexion internet est revenue mais je pense toujours avoir des virus car il rame encore

DeNisCoOl · Answer

Re,

avais tu cocher et fixer toutes les lignes avec HJThis?
Renvoyer un autre rapport HJThis.

A+

teddy974 · Answer

oups, j'ai parlé un peu trop vite quand j'essai de me connecter mon pc redémarre

teddy974 · Answer

Voici le rapport SDFix :

[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-20 14:13:59
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Famille
tuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\qnxblnis.exe"="C:\WINDOWS\system32\qnxblnis.exe:*:Enabled:Ultimate Tool"
"C:\WINDOWS\system32\bzqixt.exe"="C:\WINDOWS\system32\bzqixt.exe:*:Enabled:Ultimate Tool"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Mon 15 Sep 2008     1,562,960 A.SHR --- "C:\Program Files\SDHelper (Spybot - Search & Destroy)\SDHelper.dll"
Tue 16 Sep 2008     1,833,296 A.SHR --- "C:\Program Files\TeaTimer (Spybot - Search & Destroy)\TeaTimer.exe"
Sat 26 Apr 2008             8 ..SHR --- "C:\WINDOWS\system32\A921985DAC.sys"
Sat 26 Apr 2008           952 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Wed  1 Mar 2006         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 30 Dec 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Mon 16 Feb 2009     1,871,728 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\387739137f433dd071c5ff675ac9f3eb\BITE5.tmp"
Tue 24 Feb 2009     4,753,264 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4c3ddd30185c6fe6697b7eaa131613d6\BITE6.tmp"
Mon 16 Feb 2009   128,704,971 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6ff23a5d87bf971de963d811b960e513\BIT11.tmp"
Mon 23 Feb 2009   128,704,971 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6ff23a5d87bf971de963d811b960e513\BITE5A.tmp"
Tue 13 Jan 2009     3,139,370 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9148aa9f2096f28370f2b03d39682ef8\BIT17.tmp"
Thu 16 Oct 2008     5,379,284 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\93ec224ff6e1dccf4c4dda1c5a84b777\BITE59.tmp"
Mon 16 Feb 2009    14,771,744 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9a57e2a6d580705a96ff50eb33fc9c65\BITC4.tmp"
Tue 24 Feb 2009     3,552,839 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bd64172cd2143fb5d6d9c864a6da8395\BITF0.tmp"
Wed 11 Feb 2009    25,839,664 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c06ee28d8d3322676c2cd7acbad74c37\BITB7.tmp"
Wed  1 Mar 2006         4,348 A..H. --- "C:\Documents and Settings\Famille\Mes documents\Ma musique1\Sauvegarde de la licence\drmv1key.bak"
Sat 30 Aug 2008            20 A..H. --- "C:\Documents and Settings\Famille\Mes documents\Ma musique1\Sauvegarde de la licence\drmv1lic.bak"
Fri 20 Jun 2008           400 A.SH. --- "C:\Documents and Settings\Famille\Mes documents\Ma musique1\Sauvegarde de la licence\drmv2key.bak"
Fri 20 Mar 2009   111,313,006 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\405ae8e48aa46e265982686e1678047b\download\BIT1A7.tmp"
Mon 16 Feb 2009   111,098,142 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fd5e26e3a7ede81f048660cd4c951a66\download\BITC0.tmp"

[b]Finished![/b]

gen-hackman · Answer

bonjour a tous 

Denis essaie le OT en MSE des fois ca marche  :)

DeNisCoOl · Answer

salut gen,

merci.

teddy974,

Recommences la manip OTMoveIT du message 10 mais cette fois ci en mode dans échec:
http://www.commentcamarche.net/forum/affich 11169931 super gros virus?#10

Et je répètes il faut envoyer la totalité du rapport en tête et fin compris (tout sélectionner ctrl+A, puis copier ctrl+C, coller ctrl+V).

Renvois un rapport HJThis ensuite, merci.

A+

teddy974 · Answer

========== PROCESSES ==========
Process Explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\WINDOWS\services.exe not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Famille\LOCALS~1\Temp\~DF44B6.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Famille\LOCALS~1\Temp\~DF59FD.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03262009_173627

Files moved on Reboot...
File C:\DOCUME~1\Famille\LOCALS~1\Temp\~DF44B6.tmp not found!
File C:\DOCUME~1\Famille\LOCALS~1\Temp\~DF59FD.tmp not found!

teddy974 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:43:36, on 26/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VIA\RAIDaid_tool.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Eset
od32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Documents and Settings\Famille\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Documents and Settings\Famille\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SOS Connexion - Le web en toute simplicité
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAIDaid_tool.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Famille\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: mwisbb.dll
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

DeNisCoOl · Answer

salut,

Ton dernier rapport fait apparaitre un fichier totalement inconnu mwisbb.dll donc surement une infection.
Pourrais tu faire une recherche dans ton disque, mais il risque d'être caché.
http://www.commentcamarche.net/faq/sujet 825 afficher les extensions et les fichiers caches sous windows#pour afficher les fichiers et les dossiers caches

Il est important d'avoir le chemin complet pour pouvoir le supprimer.
Ensuite faire analyser ce fichier dans ce site: https://www.virustotal.com/gui/

Une fois dans le site, cliquer sur le bouton Parcourir...

Et rechercher le fichier mwisbb.dll ou copier et coller le chemin complet du fichier

Ensuite cliquer sur le bouton Envoyer le fichier

Le fichier va être examiner par environ 40 moteur anti virus, il va être mis en file d’attente dans un premier temps, soyez patient, laisser tourner.
Le rapport ne sera complet que si la mention "Terminé" apparaît sur la droite. 

Coller le rapport dans le prochain message.


A+

gen-hackman · Answer

Salut Denis , salut Teddy947.

 SuperAntispyware vient de recevoir une énorme mise à jour quant aux rootkits et il est passé a la version 4.26 donc :

teddy947 :

une fois le virus total demandé par Denis éffectué ,

Télécharge Superantispyware (SAS) 

Choisis "enregistrer" et enregistre-le sur ton bureau. 

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions. 

Créé une icône sur le bureau. 

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer. 

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes. 
- Sous Configuration and Preferences, clique sur le bouton "Preferences" 
- Clique sur l'onglet "Scanning Control " 
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée : 

Close browsers before scanning 
Scan for tracking cookies 
Terminate memory threats before quarantining 
- Laisse les autres lignes décochées. 

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle. 

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer". 

Dans la colonne de gauche, coche C:\Fixed Drive. 

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan" 

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan. 

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK. 

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next". 

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes. 

Pour recopier les informations sur le forum, fais ceci : 

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS. 
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ". 
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log. 

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut. 

- Copie son contenu dans ta réponse. 


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.

teddy974 · Answer

Je ne peux pas me connecter avec mon PC alors le site virustotal, parcourir? comment faire? CAR je suis sur un autre PC

gen-hackman · Answer

ok on  fera sans je ne veux pas te faire prendre le risque d'infecter celui-ci :)

teddy974 · Answer

Bizzare, j'ai installé Internet 8 et j'ai une connexion internet impecable donc j vais essayer.

teddy974 · Answer

Mais maintenant j'ai des pages internet qui s'ouvrent toutes seules du genre "vous êtes infecté, cliquer ici pour effacer les virus et spywares..."

teddy974 · Answer

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.28 Trojan.Win32.Monderb!IK
AhnLab-V3 5.0.0.2 2009.03.28 Win-Trojan/Vundo.103936.AG
AntiVir 7.9.0.129 2009.03.27 TR/Vundo.Gen
Antiy-AVL 2.0.3.1 2009.03.28 -
Authentium 5.1.2.4 2009.03.27 -
Avast 4.8.1335.0 2009.03.27 -
AVG 8.5.0.285 2009.03.28 Generic13.IQX
BitDefender 7.2 2009.03.28 Trojan.Vundo.GKB
CAT-QuickHeal 10.00 2009.03.28 -
ClamAV 0.94.1 2009.03.28 -
Comodo 1087 2009.03.28 -
DrWeb 4.44.0.09170 2009.03.28 Trojan.Juan.86
eSafe 7.0.17.0 2009.03.27 Suspicious File
eTrust-Vet 31.6.6421 2009.03.27 -
F-Prot 4.4.4.56 2009.03.27 -
F-Secure 8.0.14470.0 2009.03.28 -
Fortinet 3.117.0.0 2009.03.28 W32/Vundo.W!tr
GData 19 2009.03.28 Trojan.Vundo.GKB
Ikarus T3.1.1.48.0 2009.03.28 Trojan.Win32.Monderb
K7AntiVirus 7.10.684 2009.03.28 Trojan.Win32.Malware.3
Kaspersky 7.0.0.125 2009.03.28 -
McAfee 5566 2009.03.27 Vundo.gen.w
McAfee+Artemis 5566 2009.03.27 Vundo.gen.w
McAfee-GW-Edition 6.7.6 2009.03.28 Trojan.Vundo.Gen
Microsoft 1.4502 2009.03.28 Trojan:Win32/Vundo.gen!BB
NOD32 3972 2009.03.28 -
Norman 6.00.06 2009.03.27 W32/Virtumonde.ATBD
nProtect 2009.1.8.0 2009.03.28 -
Panda 10.0.0.10 2009.03.27 Spyware/Virtumonde
PCTools 4.4.2.0 2009.03.28 -
Prevx1 V2 2009.03.28 High Risk Fraudulent Security Program
Rising 21.22.52.00 2009.03.28 Trojan.Win32.Nodef.gjs
Sophos 4.40.0 2009.03.28 Troj/Virtum-Gen
Sunbelt 3.2.1858.2 2009.03.28 Virtumonde
Symantec 1.4.4.12 2009.03.28 Trojan Horse
TheHacker 6.3.3.8.294 2009.03.28 -
TrendMicro 8.700.0.1004 2009.03.28 PAK_Generic.001
VBA32 3.12.10.1 2009.03.27 -
ViRobot 2009.3.27.1666 2009.03.27 -
Information additionnelle
File size: 103936 bytes
MD5...: afd8ff94dc96d28c4351976f3723d6ed
SHA1..: bc62104cc1dc58420342895995395cb93bd55276
SHA256: 027b0a910d35e64557147bde0402635177ce488045b5b5537761eaa417bdb28d
SHA512: f131b78c946b0981abe4fbeab6a3cca021877a9ba765a797710877318cd146d5
3887238cb3334d9c2adcb214394d804110e9feda9d88e0c1410785d24fc14361
ssdeep: 3072:mgUCTEnuOUqcM98ilwSsGnbtxzxmWDJm6MWZbG:mghESqb99l3sGbtxFZm0

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1141
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x12000 0x11600 7.98 49faf8b82c6fb39836219071dbefc8bd
.data 0x13000 0x1000 0x400 2.99 e1732835d43bd5f10c669ba748f018ae
.rdata 0x14000 0x2e000 0x7400 7.97 c7e1dea8329c31b61f0da85c6a4300f0
.bss 0x42000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x43000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b

( 3 imports )
> KERNEL32.dll: FlushFileBuffers, GetCommandLineA, GetModuleHandleA, InitializeCriticalSection, ExitThread, SetEndOfFile, Sleep, SleepEx, lstrcpynA, MapViewOfFile, ExitProcess
> USER32.dll: OemToCharA, CharToOemBuffA, MessageBoxA, DeleteMenu
> ADVAPI32.dll: RegOpenKeyExA

( 0 exports )

RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=89081FC400A5605C9627017C97A44300340C99A7' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=89081FC400A5605C9627017C97A44300340C99A7</a>

DeNisCoOl · Answer

salut teddy,

j'ai installé Internet 8 et j'ai une connexion internet impecable donc j vais essayer.
Un pas en avant c'est bien, des fichiers avait du être endommagé par une infection.


"vous êtes infecté, cliquer ici pour effacer les virus et spywares..."
C'est une infection de type Rogue, exécutes la procédure Superantispyware que gen à proposé.


A+

Denis

gen-hackman · Answer

salut a tous oui normalement cette dll de vundo devrait saute avec SAS

teddy974 · Answer

Dac' je vais essayer

teddy974 · Answer

quand je cique sur le lien y a ça : SUPERAntiSpyware.com - Site Momentarily Unavailable

We are currently experiencing a high server load with our site. Our system administrators are working to resolve this issue and the site should be back up in a few moments. We apologize for the inconvenience.
 


J vais voir sur google

gen-hackman · Answer

ok tiens prends celu-ci

SUPERAntiSpyware

teddy974 · Answer

Je ne peut plus ouvrir de page web avec intenet explorer 8
Je peux les ouvrir qu'avec Netscape 7.0 et c'est super lent en +  de ma connexion bas débit

gen-hackman · Answer

oui fais superantispyware stp

DeNisCoOl · Answer

Si tu ne peux toujours pas télécharger SUPERAntispyware
Essayes d'utiliser Firefox

A+

Super gros virus

34 réponses

Votre réponse

Discussions similaires

Newsletters