Sujet Précédent Sujet Suivant

Detection de trojan par SUPERAntiSpyware

Fermé
geoffrey - 6 avril 2009 à 19:14
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 10 avril 2009 à 17:09
Bonjour,

SUPERAntiSpyware a detecté des trojan sur mon PC, que dois faire? Les supprimer est il suffisant?
Voici le rapport SUPERAntiSpyware

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 04/06/2009 at 07:01 PM

Application Version : 4.26.1000

Core Rules Database Version : 3829
Trace Rules Database Version: 1785

Scan type : Complete Scan
Total Scan Time : 01:32:54

Memory items scanned : 479
Memory threats detected : 0
Registry items scanned : 5438
Registry threats detected : 3
File items scanned : 147983
File threats detected : 169

Adware.WhenU
HKU\S-1-5-21-484763869-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA2325ED-F9EB-4830-8FCE-0BC35B16969B}
HKCR\WUSE.1
HKCR\WUSE.1#WUSE_Id
C:\PROGRAM FILES\DAEMON TOOLS\SETUPDTSB.EXE

Adware.Tracking Cookie
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@bwincom.122.2o7[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@banner.cotedazurpalace[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@imrworldwide[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@mypornmotion[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@specificclick[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ads.allotraffic[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@zbox.zanox[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@zedo[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@doubleclick[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@content.yieldmanager[3].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@apmebf[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@wysistat[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ad2.doublepimp[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@toplist[3].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ero-advertising[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@banner.eurogrand[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ads.opensubtitles[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@xiti[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@myroitracking[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ad.yieldmanager[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@adrevolver[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@cetelem.solution.weborama[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@banner.joylandcasino[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ad3.clickhype[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@boursoramabanque.solution.weborama[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@youramateurporn[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@megaporn[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@mediastay.directtrack[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@nl.sitestat[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@mediaplex[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@partypoker[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@yieldmanager[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@fr.classic.clickintext[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@fastclick[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@weborama[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@bluestreak[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@media.adrevolver[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ehg-twi.hitbox[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@linkstat.neckermann[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@pornhost[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@estat[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@adbrite[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@media.adrevolver[3].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@adtech[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ads.multimania.lycos[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@secure.partyaccount[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@247realmedia[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@hitbox[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@nl.sitestat[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@nl.sitestat[3].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ads.clicksor[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@be.sitestat[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@rm.piximedia[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@serving-sys[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@casalemedia[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@media6degrees[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ads.widgetbucks[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@pornotube[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@clickintext[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@adserver.adreactor[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@statcounter[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@www.pornhub[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@www.pornhub[3].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@smartadserver[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@adserving.adtraktion[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@content.yieldmanager[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@bubblestat[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@atdmt[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@serv.clicksor[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@adultfriendfinder[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ads.ad4game[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@lorealparis.solution.weborama[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@bs.serving-sys[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@intermarche2009.solution.weborama[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ads.us.e-planning[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@partyaccount[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@adviva[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@stats.belgacom[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@toplist[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@pornhub[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@tradedoubler[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ads.crakmedia[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@serw.clicksor[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@yadro[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@msnportal.112.2o7[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@aimfar.solution.weborama[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@iframe.mediaplazza[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@adopt.euroclick[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@directtrack[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@autoscout24.112.2o7[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@advertising[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@servedby.onlinemediadiva[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@toplist[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ad.dragonstar.dmoglobal[2].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@yourmedia[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@mediaserver.rtbf[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@tracking.publicidees[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@track.effiliation[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@game-advertising-online[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@be.sitestat[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@www.googleadservices[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@ad.zanox[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@www.burstnet[1].txt
C:\Documents and Settings\Geoffrey\Cookies\geoffrey@burstnet[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@ad.yieldmanager[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@adfarm1.adition[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@adopt.specificclick[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@adrevolver[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@ads.benegil[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@ads.networldmedia[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@ads.revsci[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@adtech[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@adv.surinter[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@advertising[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@apmebf[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@atdmt[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@burstnet[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@clickintext[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@doubleclick[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@e-2dj6walyqhdjwhp.stats.esomniture[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@eqtracking[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@fastclick[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@fr.13.clickintext[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@fr.20.slidein.clickintext[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@imrworldwide[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@media.adrevolver[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@media.webstore-internet[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@mediaplex[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@networldmedia[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@questionmarket[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@realmedia[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@revsci[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@stats.federal-hotel[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@stats.idb.raboplus[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@stats.idb.raboplus[3].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@statse.webtrendslive[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@tradedoubler[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@tribalfusion[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@vitamine.networldmedia[2].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@www.googleadservices[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@xiti[1].txt
C:\Documents and Settings\Jean-Louis\Cookies\jean-louis@zedo[2].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@ad.yieldmanager[2].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@adtech[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@atdmt[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@banners.prod.lbigroup[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@bluestreak[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@bs.serving-sys[2].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@doubleclick[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@e-2dj6wjlieodzefo.stats.esomniture[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@ehg-bestwestern.hitbox[2].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@hitbox[2].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@hotelscom.122.2o7[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@media.hotels[2].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@msnportal.112.2o7[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@server.iad.liveperson[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@server.iad.liveperson[2].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@serving-sys[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@smartadserver[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@statcounter[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@statse.webtrendslive[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@tribalfusion[1].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@www.googleadservices[2].txt
C:\Documents and Settings\Marie-France\Cookies\marie-france@xiti[1].txt

Trojan.DNSChanger-Codec
C:\DOCUMENTS AND SETTINGS\GEOFFREY\MES DOCUMENTS\PROGRAMME\INSTALL_COMBINEDCOMMUNITYCODECPACK20080921.EXE

Trojan.Unclassified/Loader-Suspicious
C:\JEUX\CAESAR\LOADER.EXE

Trace.Known Threat Sources
C:\Documents and Settings\Geoffrey\Local Settings\Temporary Internet Files\Content.IE5\03R909UE\public_default[1].css
C:\Documents and Settings\Geoffrey\Local Settings\Temporary Internet Files\Content.IE5\03R909UE\str[1].js


Voici en plus le rapport de malwarebytes :

Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1945
Windows 5.1.2600 Service Pack 3

6/04/2009 17:15:09
mbam-log-2009-04-06 (17-15-09).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 218153
Temps écoulé: 56 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\EoRezo (Rogue.Eorezo) -> Delete on reboot.

Merci d'avance pour votre aide
A voir également:

32 réponses

Précédent
  • 1
  • 2
Réponse 21 / 32
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
7 avril 2009 à 21:27 
Je ne trouve pas de a9w7yzbm.sys sur mon ordi.


Il doit se trouver dans tes drivers ...C:\WINDOWS\system32\drivers

On va changer le fusil d'épaule :

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
Réponse 22 / 32
geoffrey
7 avril 2009 à 21:54
voila le rapport de ComboFix :

ComboFix 09-04-04.01 - Geoffrey 2009-04-07 21:42:46.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.305 [GMT 2:00]
Lancé depuis: c:\documents and settings\Geoffrey\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\AutoRun.inf
c:\windows\system32\pthreadGC2.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-07 au 2009-04-07 ))))))))))))))))))))))))))))))))))))
.

2009-04-07 21:40 . 2006-03-03 00:42 73,728 --a------ C:\pv.exe
2009-04-07 18:27 . 2009-04-07 20:44 <REP> d-------- c:\documents and settings\Geoffrey\Application Data\QuickScan
2009-04-07 18:13 . 2009-04-07 18:13 <REP> d-------- c:\windows\LastGood
2009-04-07 07:16 . 2009-04-07 07:32 <REP> d-------- c:\program files\Ad-remover
2009-04-06 21:52 . 2009-04-07 18:13 <REP> d-------- c:\program files\EsetOnlineScanner
2009-04-06 21:10 . 2009-04-06 21:10 <REP> d-------- C:\GenProc
2009-04-06 20:55 . 2009-04-06 21:25 <REP> d-------- C:\ToolBar SD
2009-04-06 20:28 . 2009-04-06 20:28 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-04-06 20:18 . 2009-04-06 20:51 <REP> d-------- C:\SDFix
2009-04-06 19:48 . 2009-04-06 20:21 <REP> d-------- C:\rsit
2009-04-06 17:24 . 2009-04-06 17:24 <REP> d-------- c:\program files\SUPERAntiSpyware
2009-04-06 17:24 . 2009-04-06 17:24 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
2009-04-06 17:24 . 2009-04-06 17:24 <REP> d-------- c:\documents and settings\Geoffrey\Application Data\SUPERAntiSpyware.com
2009-04-06 17:24 . 2009-04-06 17:24 <REP> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-04-06 16:10 . 2009-04-06 16:10 <REP> d-------- c:\documents and settings\Geoffrey\Application Data\Malwarebytes
2009-04-06 16:10 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-06 16:09 . 2009-04-06 16:10 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-04-06 16:09 . 2009-04-06 16:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-06 16:09 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-02 08:47 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\Geoffrey\workspace
2009-03-16 12:37 . 2009-03-16 12:37 <REP> d-------- c:\documents and settings\Geoffrey\Application Data\PlayFirst
2009-03-16 12:37 . 2009-03-16 12:37 <REP> d-------- c:\documents and settings\All Users\Application Data\PlayFirst

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-04 14:55 --------- d-----w c:\documents and settings\Geoffrey\Application Data\uTorrent
2009-03-31 05:02 --------- d-----w c:\program files\Notepad++
2009-03-08 16:02 --------- d-----w c:\documents and settings\Geoffrey\Application Data\codeblocks
2009-03-04 17:18 --------- d-----w c:\program files\Fichiers communs\AVSMedia
2009-03-04 17:18 --------- d-----w c:\program files\AVS4YOU
2009-03-04 17:12 --------- d-----w c:\documents and settings\Geoffrey\Application Data\Media Player Classic
2009-03-04 17:10 --------- d-----w c:\program files\K-Lite Codec Pack
2009-03-04 16:30 --------- d-----w c:\documents and settings\Geoffrey\Application Data\AVS4YOU
2009-03-04 16:30 --------- d-----w c:\documents and settings\All Users\Application Data\AVS4YOU
2009-02-26 18:27 --------- d-----w c:\program files\Microsoft Silverlight
2009-02-25 08:42 --------- d-----w c:\program files\Microsoft Games
2009-02-24 07:04 --------- d-----w c:\program files\Windows Live
2009-02-24 07:02 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-24 06:57 --------- d-----w c:\program files\HP
2009-02-24 06:57 --------- d-----w c:\documents and settings\All Users\Application Data\HP
2009-02-24 06:38 --------- d-----w c:\program files\Fichiers communs\Apple
2009-02-23 15:20 --------- d-----w c:\program files\Fichiers communs\SupportSoft
2009-02-23 15:20 --------- d-----w c:\documents and settings\All Users\Application Data\SupportSoft
2009-02-23 15:01 --------- d-----w c:\program files\ING
2009-02-23 10:11 --------- d-----w c:\program files\Common Files
2009-02-09 18:56 67,584 ----a-w c:\windows\system32\ff_vfw.dll
2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys
2006-03-15 13:19 212,992 ----a-w c:\windows\inf\WG311v3\CopyWHQLDriver.exe
2006-01-26 16:55 280,576 ----a-w c:\windows\inf\WG311v3\WG311v3.sys
2005-10-06 14:17 280,576 ----a-w c:\windows\inf\WG311v3\WG311v3XP.sys
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-10-22 18:37 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008102220081023\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-03 266497]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
NETGEAR WG311v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG311v3\wlancfg5.exe [2006-01-26 1486848]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 12:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage d'Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage d'Office.lnk
backup=c:\windows\pss\Démarrage d'Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Recherche accélérée.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Recherche accélérée.lnk
backup=c:\windows\pss\Microsoft Recherche accélérée.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner]
--a------ 2008-11-26 01:36 1406192 c:\program files\CCleaner\CCleaner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 04:33 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-10-01 18:57 289576 c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 c:\program files\Java\jre1.6.0_03\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Java\\jre1.6.0_01\\bin\\javaw.exe"=
"c:\\Program Files\\Java\\jre1.6.0_02\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Program Files\\VoipCheapCom\\VoipCheapCom.exe"=
"c:\\Program Files\\Java\\jdk1.5.0\\bin\\java.exe"=
"c:\\wamp\\bin\\apache\\apache2.2.6\\bin\\httpd.exe"=
"c:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\Microsoft Office\\Office\\winword.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Sports Interactive\\Football Manager 2009\\fm.exe"=
"c:\\Program Files\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"c:\\Program Files\\Microsoft Games\\Age of Empires II\\EMPIRES2.EXE"=
"c:\\Program Files\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:eMule
"4672:TCP"= 4672:TCP:eMule : UDP Entrant

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-03-23 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-03-23 72944]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
S1 ensqio;ensqio;c:\windows\system32\DRIVERS\ensqio.sys --> c:\windows\system32\DRIVERS\ensqio.sys [?]
S1 sbpcint4;SB AudioPCI 128;c:\windows\system32\DRIVERS\sbpcint4.sys --> c:\windows\system32\DRIVERS\sbpcint4.sys [?]
S3 Bcfilter;Jetico Personal Firewall Network Monitor;c:\windows\system32\DRIVERS\bcfilter.sys --> c:\windows\system32\DRIVERS\bcfilter.sys [?]
S3 BcfilterMP;BcfilterMP;c:\windows\system32\DRIVERS\bcfilter.sys --> c:\windows\system32\DRIVERS\bcfilter.sys [?]
S3 MPManF70;MPMan-F70;c:\windows\system32\drivers\MPManF70.sys [2007-05-24 11883]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08
.
Contenu du dossier 'Tâches planifiées'

2009-04-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2009-03-09 c:\windows\Tasks\Uniblue SpeedUpMyPC Nag.job
- c:\program files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe []

2007-10-13 c:\windows\Tasks\Uniblue SpeedUpMyPC.job
- c:\program files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe []

2009-04-07 c:\windows\Tasks\User_Feed_Synchronization-{B7F45120-5749-42FA-AF32-1FFB152F4908}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 11:58]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-EoEngine - (no file)
HKLM-Run-EoWeather - (no file)


.
------- Examen supplémentaire -------
.
mWindow Title =
IE: Add to AMV Convert Tool... - c:\program files\MP3 Player Utilities 3.79\AMVConverter\grab.html
IE: MediaManager tool grab multimedia file - c:\program files\MP3 Player Utilities 3.79\MediaManager\grab.html
Trusted Zone: sport4fun.com\www
FF - ProfilePath - c:\documents and settings\Geoffrey\Application Data\Mozilla\Firefox\Profiles\ousoaema.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.sport4fun.com/
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 21:49:23
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-484763869-861567501-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:3a,42,89,21,4b,da,68,10,5c,5a,19,19,78,4f,80,57,93,13,7a,d6,3f,30,31,
bb,a8,44,6d,5d,99,94,cd,03,32,1d,46,3f,7f,1f,95,46,c6,29,fe,e5,2b,ba,79,36,\
"??"=hex:69,dc,cc,d2,31,ed,a1,7e,e7,e1,c3,5b,c8,0f,01,89
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\MrvGINA.dll
c:\program files\SUPERAntiSpyware\SASWINLO.dll
.
Heure de fin: 2009-04-07 21:50:45
ComboFix-quarantined-files.txt 2009-04-07 19:50:43

Avant-CF: 61.779.587.072 octets libres
Après-CF: 62,436,347,904 octets libres

Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=1,2,3,4
194 --- E O F --- 2009-03-16 14:24:05
0
Réponse 23 / 32
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
7 avril 2009 à 22:35
Telecharge FindyKill sur ton bureau : http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l installation avec les parametres par default

--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 1 (Recherche)

--> Post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
0
Réponse 24 / 32
geoffrey
7 avril 2009 à 22:38
voila le rapport :


############################## [ FindyKill V4.722 ]

# User : %USERNAME% () # LA-BASE
# Update on 04/04/09 by Chiquitine29
# Start at: 22:38:17 | 7/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Intel(R) Pentium(R) 4 CPU 2.80GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 152,66 Go (58,15 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\NETGEAR\WG311v3\wlancfg5.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ]


################## [ C:\WINDOWS\System32... ]


################## [ ]


################## [ C:\Documents and Settings\Geoffrey...\Temp Files... ]


################## [ Registre / Clés infectieuses ]

Found ! HKEY_USERS\S-1-5-21-484763869-861567501-725345543-1004\Software\Local AppWizard-Generated Applications\Autorun
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\Autorun


################## [ Recherche dans supports amovibles]

# Recherche fichiers connus :


################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.722 ! ]
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 32
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
8 avril 2009 à 19:05
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 2 (Suppression)


/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

-------> ensuite post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
0
Réponse 26 / 32
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
8 avril 2009 à 22:25
Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers : C:\pv.exe


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.
0
Réponse 27 / 32
geoffrey
9 avril 2009 à 07:20
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.04.09 -
AhnLab-V3 5.0.0.2 2009.04.09 -
AntiVir 7.9.0.138 2009.04.08 -
Antiy-AVL 2.0.3.1 2009.04.08 -
Authentium 5.1.2.4 2009.04.08 -
Avast 4.8.1335.0 2009.04.08 -
AVG 8.5.0.285 2009.04.08 -
BitDefender 7.2 2009.04.09 -
CAT-QuickHeal 10.00 2009.04.08 -
ClamAV 0.94.1 2009.04.09 -
Comodo 1105 2009.04.08 -
DrWeb 4.44.0.09170 2009.04.09 -
eSafe 7.0.17.0 2009.04.07 -
eTrust-Vet 31.6.6446 2009.04.08 -
F-Prot 4.4.4.56 2009.04.08 -
F-Secure 8.0.14470.0 2009.04.09 -
Fortinet 3.117.0.0 2009.04.08 -
GData 19 2009.04.09 -
Ikarus T3.1.1.49.0 2009.04.09 -
K7AntiVirus 7.10.697 2009.04.08 -
Kaspersky 7.0.0.125 2009.04.09 -
McAfee 5578 2009.04.08 -
McAfee+Artemis 5578 2009.04.08 -
McAfee-GW-Edition 6.7.6 2009.04.08 -
Microsoft 1.4502 2009.04.08 -
NOD32 3996 2009.04.09 -
Norman 6.00.06 2009.04.08 -
nProtect 2009.1.8.0 2009.04.09 -
Panda 10.0.0.14 2009.04.08 -
PCTools 4.4.2.0 2009.04.08 -
Prevx1 V2 2009.04.09 -
Rising 21.24.30.00 2009.04.09 -
Sophos 4.40.0 2009.04.09 -
Sunbelt 3.2.1858.2 2009.04.09 -
Symantec 1.4.4.12 2009.04.09 -
TheHacker 6.3.4.0.305 2009.04.09 -
TrendMicro 8.700.0.1004 2009.04.09 -
VBA32 3.12.10.2 2009.04.09 -
ViRobot 2009.4.7.1685 2009.04.09 Spyware.Bancos.73728
VirusBuster 4.6.5.0 2009.04.08 -
Information additionnelle
File size: 73728 bytes
MD5...: 92bd80f82fe8a28385b7d9d3f215e8b3
SHA1..: e1ec40d4458b269d009d9c60344de3d187385290
SHA256: 5fc1b8e1cdd4d80b9818b854f70c009b7c182824e22c8eed7f524b4da2c60f4a
SHA512: 32a0d8551a4861f7ce40a9b4c127dfaace92eaf9d20407441714c475e1e0110c
1225f5cc508999d832458d7e940f8711dee8853e49c1c963ffb0aaa884a94a2a
ssdeep: 1536:KpopZrrT/SNCS9+GP/+PbgF2rPeuJ8gVgl:F5/6V8bzJ8Fl
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x741f
timedatestamp.....: 0x4407c93f (Fri Mar 03 04:42:39 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb41e 0xc000 6.40 157423e6206e1edbcc8e6dfcdf910263
.rdata 0xd000 0x34ae 0x4000 4.59 3921bbf4266fccfda942a7943d8f10a4
.data 0x11000 0x2da4 0x1000 1.77 32fd2c6d195740195502f09e6b5b955f

( 4 imports )
> VERSION.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> KERNEL32.dll: GetVersion, GetCurrentProcess, GetProcAddress, LoadLibraryA, CloseHandle, GetModuleHandleA, SetPriorityClass, OpenProcess, WaitForSingleObject, TerminateProcess, GetCurrentProcessId, Sleep, WaitForMultipleObjectsEx, lstrlenA, IsBadStringPtrA, GetLastError, UnmapViewOfFile, lstrcpynA, MapViewOfFile, CreateFileMappingA, CreateFileA, ReadProcessMemory, VirtualQueryEx, GetPriorityClass, QueryPerformanceCounter, lstrcpyA, GetEnvironmentVariableA, MultiByteToWideChar, WideCharToMultiByte, GetSystemTimeAsFileTime, GetTimeFormatA, GetDateFormatA, FileTimeToSystemTime, FileTimeToLocalFileTime, GetFileTime, VerLanguageNameA, GetACP, HeapSize, SetStdHandle, SetFilePointer, ReadFile, GetSystemInfo, VirtualProtect, GetCPInfo, GetOEMCP, GetLocaleInfoA, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, GetTickCount, GetCurrentThreadId, lstrcmpiA, SetEndOfFile, HeapAlloc, ExitProcess, HeapFree, HeapReAlloc, RtlUnwind, GetCommandLineA, GetVersionExA, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, LCMapStringA, LCMapStringW, WriteFile, FlushFileBuffers, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, GetStringTypeA, GetStringTypeW, InterlockedExchange, VirtualQuery, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA
> USER32.dll: GetDlgItem, SetWindowTextA, wsprintfW, GetWindowTextA, GetDesktopWindow, SendMessageA, SetForegroundWindow, GetWindow, GetWindowThreadProcessId, GetWindowLongA, CharNextExA, wsprintfA
> ADVAPI32.dll: RegQueryValueExW, RegQueryValueExA, GetSecurityDescriptorOwner

( 0 exports )
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=92bd80f82fe8a28385b7d9d3f215e8b3' target='_blank'>https://www.symantec.com?md5=92bd80f82fe8a28385b7d9d3f215e8b3</a>
0
Réponse 28 / 32
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
9 avril 2009 à 20:03
Telecharge et install UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisi l option 1 ( Recherche )

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 29 / 32
geoffrey
9 avril 2009 à 20:24
Bonjour jfkpresident,

Voila le rapport :


############################## [ UsbFix V3.005 ]

# User : Geoffrey (Administrateurs) # LA-BASE
# Update on 08/04/09 by C_XX & Chiquitine29
# Start at: 20:22:00 | 9/04/2009

# Intel(R) Pentium(R) 4 CPU 2.80GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 152,66 Go (58,09 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 967,22 Mo (264,94 Mo free) # FAT
# G:\ # Disque fixe local # 98,57 Go (98,49 Go free) [Mes Documents] # NTFS
# H:\ # Disque fixe local # 367,19 Go (94,58 Go free) [Film] # NTFS

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\NETGEAR\WG311v3\wlancfg5.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="https://www.msn.com/fr-fr/"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_Run: SoundMan=SOUNDMAN.EXE
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
HKLM_Run: iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\AutorunsDisabled=
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: SUPERAntiSpyware=C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
HKCU_Run: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AutorunsDisabled=
HKLM_System: "DisableRegistryTools"=dword:00000000
HKCU_plorer: "NoDriveTypeAutoRun"=dword:00000143
HKCU_plorer: "NoDriveAutoRun"=dword:03ffffff
HKCU_plorer: "NoDrives"=dword:00000000
HKLM_plorer: "HonorAutoRunSetting"=dword:00000001
HKLM_plorer: "NoDriveTypeAutoRun"=dword:00000143
HKLM_plorer: "NoDriveAutoRun"=dword:03ffffff
HKLM_plorer: "NoDrives"=dword:00000000

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]

Found ! F:\MS32DLL.dll.vbs
Found ! F:\msvcr71.dll

################## [ Registre # Clés infectieuses ]

# -> Not Found !

################## [ Registre # Mountpoint2 ]

# -> Not Found !

################## [ ! Fin du rapport # UsbFix V3.005 ! ]
0
Réponse 30 / 32
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
9 avril 2009 à 20:44
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisi l option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Dis moi ensuite comment va ton pc ?
0
Réponse 31 / 32
geoffrey
10 avril 2009 à 16:38
Bonjour,

Après avoir supprimer, mon PC fonctionne normalement, je n'ai rein remarqué de gênant ou quoi que ce soit.

Voici le rapport :


############################## [ UsbFix V3.005 ]

# User : Geoffrey (Administrateurs) # LA-BASE
# Update on 08/04/09 by C_XX & Chiquitine29
# Start at: 7:37:54 | 10/04/2009

# Intel(R) Pentium(R) 4 CPU 2.80GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 152,66 Go (58,06 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# G:\ # Disque amovible # 967,22 Mo (264,94 Mo free) # FAT
# H:\ # Disque fixe local # 98,57 Go (98,49 Go free) [Mes Documents] # NTFS
# I:\ # Disque fixe local # 367,19 Go (94,58 Go free) [Film] # NTFS

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Supportsoft\bin\ssrc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! G:\MS32DLL.dll.vbs
Deleted ! G:\msvcr71.dll

################## [ Registre # Clés infectieuses ]

# -> Not Found !

################## [ Registre # Mountpoint2 ]

# -> Not Found !

################## [ Listing des fichiers présent ]

C:\AUTOEXEC.BAT
C:\NTDETECT.COM
C:\pv.exe
C:\boot.ini
G:\Decompression.exe
G:\VirtualExpander.exe
G:\ccsetup200.exe
G:\HijackThis.exe
G:\klcodec470f.exe
G:\java.exe

################## [ ! Fin du rapport # UsbFix V3.005 ! ]
0
Réponse 32 / 32
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
10 avril 2009 à 17:09
Juste avant de conclure ,je voudrais que tu fasses ce scan en ligne :

Fais un scan en ligne kaspersky on line Kaspersky avec Internet Explorer.
- Clique sur Démarrer Online-Scanner

- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses