Infection par le virus Win32 Virut

Charlotte* Messages postés 76 Statut Membre -  
Destrio5 Messages postés 99820 Statut Modérateur -
Bonjour,

AVG a détecté le virus "Win 32 Virut" sur mon ordinateur et ne semble pas arriver à le supprimer.

Depuis, mon ordinateur est très lent, il ouvre des pages intempestives sur Internet, et bloque encore plus quand je suis sur Outlook.
Il m'envoie également des pages d'erreurs en me disant qu'il doit fermer les fichiers "32 scr", 28 scr...

J'ai fait un scan spybot qui a détecté virtumonde(que j'ai eu il y a longtemps et que je pensais avoir supprimé) et AStakiller.

J'ai également nétoyé mon ordi avec ccleaner.

Comment faire pour régler mon problème ?

Merci de m'aider

Charlotte
A voir également:

85 réponses

Réponse 1 / 85
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
Utilité de ce programme ?
3
Réponse 2 / 85
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
Bonjour,

Ça sent mauvais, on va vérifier la présence de Virut.

--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

--> Clique sur Continue à l'écran Disclaimer.

--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit.
0
Charlotte* Messages postés 76 Statut Membre
 
Bonjour,

Merci pour ta réponse.

J'ai téléchargé le logitiel en question qui m'a envoyé le rapport suivant.

Sinon, entre temps, j'ai téléchargé Dr Web qui m'a fait supprimer deux fichiers : "backdoor" et trojan download 36229. Au redémarge de mon ordi, l'ordi m'a envoyé pls message avant l'écran windows en me demandant d'appuyer sur des touches F12, F3... j'ai cru qu'il ne redémarrait pas...

C'est grave ? J'ai comme l'impression que mon ordi est vérolé de partout. J'avais déjà eu il y a longtemps virtumonde, puis backdoor dont j'avais pu me débarasser grace à ce forum.

Merci de m'aider.

Charlotte

--------

Logfile of random's system information tool 1.06 (written by random/random)
Run by lot at 2009-05-16 14:44:39
Microsoft Windows XP Édition familiale Service Pack 1
System drive C: has 5 GB (13%) free of 35 GB
Total RAM: 511 MB (3% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:46, on 2009-05-16
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\lot\Bureau\launch.exe
C:\DOCUME~1\lot\LOCALS~1\Temp\RarSFX1\7yh9k4.exe
C:\WINDOWS\system32\ntvdm.exe
C:\DOCUME~1\lot\LOCALS~1\Temp\RarSFX1\agff4.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\system\mysmas.exe
C:\Documents and Settings\lot\Bureau\RSIT.exe
C:\Program Files\trend micro\lot.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2FCC8E53-9545-4D7A-9176-7B4364C859D3} - C:\WINDOWS\System32\pMddApmN.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezobho.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\System32\awtrOiJa.dll
O2 - BHO: {ee2cc95c-7efe-cb48-8524-a68b89f40708} - {80704f98-b86a-4258-84bc-efe7c59cc2ee} - C:\WINDOWS\System32\arfawl.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [PC-CAM 300 STI App Registration] RunDLL32.exe Pd016pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [WSSVC] C:\WINDOWS\system\smsc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\System32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - https://www.photostation.fr/?404;http://www.photostation.fr:80/aurigma/ImageUploader4.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O20 - Winlogon Notify: awtrOiJa - C:\WINDOWS\SYSTEM32\awtrOiJa.dll
O20 - Winlogon Notify: xxyvsRlj - xxyvsRlj.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: MYS Mutex Algorithm Service - Unknown owner - C:\WINDOWS\system\mysmas.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
0
Réponse 3 / 85
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
0
Réponse 4 / 85
Charlotte* Messages postés 76 Statut Membre
 
Bonsoir,

Voici donc le rapport de Combofix. J'attend mtn la suite des opérations.

Merci

ComboFix 09-05-16.05 - lot 2009-05-17 0:24.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.511.152 [GMT 2:00]
Lancé depuis: c:\documents and settings\lot\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system\lsass.exe
c:\windows\system\smsc.exe
c:\windows\system32\arfawl.dll
c:\windows\system32\awtrOiJa.dll
c:\windows\system32\cnyspnhu.ini
c:\windows\system32\ddcApoLD.dll
c:\windows\system32\efcCvWOF.dll
c:\windows\system32\fccdbYOg.dll
c:\windows\system32\itayunmj.ini
c:\windows\system32\iuifndvm.ini
c:\windows\system32\iulqidil.ini
c:\windows\system32\jkblnlsf.ini
c:\windows\system32\kgdxojob.ini
c:\windows\system32\khfCuUOE.dll
c:\windows\system32\lixprlmx.dll
c:\windows\system32\mcrh.tmp
c:\windows\system32\mevnkklc.ini
c:\windows\system32\nkxgwkyo.dll
c:\windows\system32\NmpAddMp.ini
c:\windows\SYSTEM32\NmpAddMp.ini2
c:\windows\system32\nmwahtqt.ini
c:\windows\system32\oicktymc.ini
c:\windows\system32\oqtnitxr.ini
c:\windows\system32\oummatag.ini
c:\windows\system32\pMddApmN.dll
c:\windows\system32\qvvtga.dll
c:\windows\system32\semasjey.dll
c:\windows\system32\sgqhwdjd.ini
c:\windows\system32\somovyug.ini
c:\windows\system32\syvxfolb.ini
c:\windows\system32\uvbtycue.ini
c:\windows\system32\uyvdywkw.ini
c:\windows\system32\vbknprjm.ini
c:\windows\system32\vtUnkiJa.dll
c:\windows\system32\vuixennf.ini
c:\windows\system32\vxqeehli.ini
c:\windows\system32\x.exe
c:\windows\system32\yjpextrc.ini
c:\windows\system32\yyvyllvs.ini
c:\windows\system32\zjnisn.dll
c:\windows\Temp\[u]0/u0.exe
c:\windows\Temp\34.exe
c:\windows\Temp\40.exe
c:\windows\Temp\61.exe
c:\windows\Temp\78.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-04-16 au 2009-05-16 ))))))))))))))))))))))))))))))))))))
.

2009-05-16 12:45 . 2009-05-16 12:46 -------- d-----w c:\program files\trend micro
2009-05-16 12:44 . 2009-05-16 12:47 -------- d-----w C:\rsit
2009-05-16 12:36 . 2009-05-16 12:36 74752 --sh--r c:\windows\system\mysmas.exe
2009-05-16 10:47 . 2009-05-16 10:47 -------- d-----w c:\documents and settings\lot\DoctorWeb
2009-05-16 10:21 . 2009-05-16 10:21 81920 ----a-w c:\windows\system32\51.scr
2009-05-16 10:16 . 2009-05-16 10:16 74752 ----a-w c:\windows\system32\31.scr
2009-05-16 10:12 . 2009-05-16 10:12 74752 ----a-w c:\windows\system32\21.scr
2009-05-16 09:32 . 2009-05-16 10:19 81920 ----a-w c:\windows\system32\26.scr
2009-05-16 08:15 . 2009-05-16 08:15 81920 ----a-w c:\windows\system32\15.scr
2009-05-16 08:01 . 2009-05-16 08:01 81920 ----a-w c:\windows\system32\84.scr
2009-05-15 21:59 . 2009-05-15 21:59 81920 ----a-w c:\windows\system32\32.scr
2009-05-15 21:58 . 2009-05-15 21:58 81920 ----a-w c:\windows\system32\28.scr
2009-05-15 21:47 . 2009-05-15 21:47 81920 ----a-w c:\windows\system32\88.scr
2009-05-14 23:10 . 2009-05-16 08:13 81920 ----a-w c:\windows\system32\23.scr
2009-05-14 23:10 . 2009-05-16 08:14 81920 ----a-w c:\windows\system32\[u]0/u7.scr
2009-05-14 23:09 . 2009-05-14 23:09 23552 ----a-w c:\windows\system32\22.scr
2009-05-14 23:07 . 2009-05-14 23:07 23552 ----a-w c:\windows\system32\64.scr
2009-05-14 23:06 . 2009-05-14 23:06 23552 ----a-w c:\windows\system32\66.scr
2009-05-14 23:02 . 2009-05-14 23:02 23552 ----a-w c:\windows\system32\44.scr
2009-05-14 22:59 . 2009-05-14 23:11 23552 ----a-w c:\windows\system32\52.scr
2009-05-14 22:59 . 2009-05-14 22:59 23552 ----a-w c:\windows\system32\81.scr
2009-05-14 22:56 . 2009-05-14 22:56 23552 ----a-w c:\windows\system32\[u]0/u4.scr
2009-05-14 22:51 . 2009-05-14 23:03 23552 ----a-w c:\windows\system32\[u]0/u3.scr
2009-05-14 22:50 . 2009-05-14 22:50 23552 ----a-w c:\windows\system32\67.scr
2009-05-14 22:47 . 2009-05-16 08:08 74752 ----a-w c:\windows\system32\[u]0/u5.scr
2009-05-14 22:43 . 2009-05-14 22:43 23552 ----a-w c:\windows\system32\78.scr
2009-05-14 22:41 . 2009-05-16 10:10 81920 ----a-w c:\windows\system32\74.scr
2009-05-14 22:41 . 2009-05-16 08:13 81920 ----a-w c:\windows\system32\83.scr
2009-05-14 22:40 . 2009-05-14 22:57 23552 ----a-w c:\windows\system32\[u]0/u8.scr
2009-05-14 22:39 . 2009-05-16 10:13 23552 ----a-w c:\windows\system32\[u]0/u2.scr
2009-05-14 22:36 . 2009-05-14 22:36 23552 ----a-w c:\windows\system32\41.scr
2009-05-14 22:36 . 2009-05-14 22:52 23552 ----a-w c:\windows\system32\18.scr
2009-05-14 22:29 . 2009-05-14 22:57 23552 ----a-w c:\windows\system32\71.scr
2009-05-14 22:29 . 2009-05-14 22:29 23552 ----a-w c:\windows\system32\30.scr
2009-05-14 22:26 . 2009-05-14 22:26 23552 ----a-w c:\windows\system32\27.scr
2009-05-14 22:25 . 2009-05-16 10:08 23552 ----a-w c:\windows\system32\55.scr
2009-05-14 22:24 . 2009-05-16 08:00 81920 ----a-w c:\windows\system32\65.scr
2009-05-14 22:23 . 2009-05-14 23:09 23552 ----a-w c:\windows\system32\73.scr
2009-05-14 22:22 . 2009-05-16 22:27 81920 ----a-w c:\windows\system32\40.scr
2009-05-14 22:21 . 2009-05-14 22:21 23552 ----a-w c:\windows\system32\48.scr
2009-05-14 22:20 . 2009-05-14 22:20 23552 ----a-w c:\windows\system32\14.scr
2009-05-14 22:19 . 2009-05-16 12:36 23552 ----a-w c:\windows\system32\[u]0/u6.scr
2009-05-14 22:15 . 2009-05-16 10:17 74752 ----a-w c:\windows\system32\10.scr
2009-05-14 22:13 . 2009-05-14 22:13 23552 ----a-w c:\windows\system32\17.scr
2009-05-14 22:12 . 2009-05-16 22:22 81920 ----a-w c:\windows\system32\58.scr
2009-05-14 22:12 . 2009-05-14 22:12 23552 ----a-w c:\windows\system32\62.scr
2009-05-14 22:10 . 2009-05-14 22:10 23552 ----a-w c:\windows\system32\[u]0/u0.scr
2009-05-14 22:09 . 2009-05-14 22:09 23552 ----a-w c:\windows\system32\12.scr
2009-05-14 22:07 . 2009-05-14 22:20 23552 ----a-w c:\windows\system32\61.scr
2009-05-14 22:06 . 2009-05-14 22:59 23552 ----a-w c:\windows\system32\60.scr
2009-05-14 22:02 . 2009-05-16 08:27 23552 ----a-w c:\windows\system32\77.scr
2009-05-14 22:01 . 2009-05-14 22:28 23552 ----a-w c:\windows\system32\38.scr
2009-05-14 22:01 . 2009-05-16 07:59 23552 ----a-w c:\windows\system32\85.scr
2009-05-14 22:00 . 2009-05-14 22:25 23552 ----a-w c:\windows\system32\54.scr
2009-05-14 22:00 . 2009-05-16 22:23 81920 ----a-w c:\windows\system32\37.scr
2009-05-14 22:00 . 2009-05-16 12:49 74752 ----a-w c:\windows\system32\[u]0/u1.scr
2009-05-14 21:57 . 2009-05-14 21:57 102413 ----a-w c:\windows\system32\msvcrt2.dll
2009-05-14 21:57 . 2009-05-14 21:57 23552 ----a-w c:\windows\system32\82.scr

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-16 22:17 . 2008-11-14 09:11 -------- d-----w c:\program files\SPAMfighter
2009-05-08 12:47 . 2004-09-27 15:26 -------- d-----w c:\program files\Wanadoo
2009-04-13 16:25 . 2006-02-26 20:32 -------- d-----w c:\program files\MagicDVDRipper
2009-04-04 15:35 . 2004-09-27 15:20 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-04 15:34 . 2006-02-23 22:24 -------- d-----w c:\program files\Macromedia
2009-04-04 15:32 . 2004-10-03 18:03 -------- d-----w c:\program files\Creative
2009-03-29 11:16 . 2004-09-27 15:05 64922 ----a-w c:\windows\system32\perfc00C.dat
2009-03-29 11:16 . 2004-09-27 15:05 447222 ----a-w c:\windows\system32\perfh00C.dat
2009-03-18 13:01 . 2007-05-17 12:42 -------- d-----w c:\program files\Google
2006-11-20 21:04 . 2006-11-20 21:04 1025896 ----a-w c:\program files\spamfighter_web.exe
2006-04-24 18:15 . 2006-02-26 20:35 11270 --sha-w c:\windows\SYSTEM32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-30 13312]
"WOOKIT"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-13 24576]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-27 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2004-02-02 155648]
"PRONoMgr.exe"="c:\program files\Intel\NCS\PROSet\PRONoMgr.exe" [2003-05-28 86016]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-03-15 122933]
"PCMService"="c:\program files\Dell\Media Experience\PCMService.exe" [2004-04-11 290816]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-10-13 24576]
"EPSON Stylus C66 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE" [2003-11-26 99840]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\TaskbarIcon.exe" [2004-10-13 49152]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-07-02 185896]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"AVG7_CC"="c:\progra~1\Grisoft\AVG7\avgcc.exe" [2009-05-14 590848]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-10-26 4632576]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2008-10-22 325768]
"BCMSMMSG"="BCMSMMSG.exe" - c:\windows\BCMSMMSG.exe [2003-08-29 122880]
"PC-CAM 300 STI App Registration"="Pd016pin.dll" - c:\windows\SYSTEM32\PD016Pin.dll [2002-06-06 28672]
"nwiz"="nwiz.exe" - c:\windows\SYSTEM32\nwiz.exe [2004-10-26 921600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-30 13312]
"AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2008-01-06 219136]

c:\documents and settings\lot\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-10-9 110592]
Outil de détection de support Picture Motion Browser.lnk - c:\program files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2007-7-12 200704]

c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2006-11-25 962661]
EPSON Status Monitor 3 Environment Check(2).lnk - c:\windows\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE [2006-10-12 131584]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2004-01-12 05:55 110592 ----a-w c:\windows\SYSTEM32\LgNotify.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MYS Mutex Algorithm Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe"
"NvCplDaemon"=RUNDLL32.EXE c:\windows\System32\NvCpl.dll,NvStartup
"nwiz"=nwiz.exe /installquiet
"SunJavaUpdateSched"=c:\program files\Java\j2re1.4.2_03\bin\jusched.exe
"bacstray"=BacsTray.exe
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
"UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [2008-10-22 184968]
S2 MYS Mutex Algorithm Service;MYS Mutex Algorithm Service;c:\windows\SYSTEM\mysmas.exe [2009-05-16 74752]
S3 PD016BLK;Creative PC-CAM 300 (Still Image);c:\windows\SYSTEM32\DRIVERS\PD016blk.sys [2004-10-03 28377]
S3 PD016VID;Creative PC-CAM 300 (Video);c:\windows\SYSTEM32\DRIVERS\PD016vid.sys [2004-10-03 433408]
.
Contenu du dossier 'Tâches planifiées'

2009-04-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 12:42]

2004-10-01 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job
- c:\windows\System32\OOBE\OOBEBALN.EXE [2002-08-30 06:00]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{34A3DDED-202E-41D3-87B0-1940B754F866} - c:\windows\System32\pMddApmN.dll
BHO-{3a9ccf3a-c655-4d1a-8335-163de9530a4a} - c:\windows\System32\zjnisn.dll
HKCU-Run-Yahoo! Pager - c:\program files\Yahoo!\Messenger\ypager.exe
HKCU-Run-updateMgr - c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-Sonic RecordNow! - (no file)
HKLM-Run-WSSVC - c:\windows\system\smsc.exe
HKLM-Run-ilasss - c:\windows\system\lsass.exe
HKLM-Run-adiras - adiras.exe
HKLM-Run-EoEngine - (no file)
HKLM-Run-EoWeather - (no file)
ShellExecuteHooks-{8404028c-cebf-4dfd-8e9a-ab6fa8b2c375} - c:\windows\System32\zjnisn.dll
Notify-xxyvsRlj - xxyvsRlj.dll
SafeBoot-lsass
SafeBoot-SVCWINSPOOL


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mStart Page = hxxp://www.euro.dell.com/countries/fr/fra/gen/default.htm
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\System32\GPhotos.scr/200
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-17 00:37
Windows 5.1.2600 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(824)
c:\windows\system32\ODBC32.dll
c:\windows\System32\msctfime.ime
c:\windows\System32\LgNotify.dll

- - - - - - - > 'lsass.exe'(880)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(3872)
c:\windows\System32\msctfime.ime
c:\windows\System32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\SYSTEM32\S24EvMon.exe
c:\program files\Fichiers communs\EPSON\eEBAPI\eEBSvc.exe
c:\progra~1\Grisoft\AVG7\avgamsvr.exe
c:\progra~1\Grisoft\AVG7\avgupsvc.exe
c:\progra~1\Grisoft\AVG7\avgemc.exe
c:\windows\SYSTEM32\DRIVERS\CDAC11BA.EXE
c:\windows\SYSTEM32\FTRTSVC.exe
c:\windows\SYSTEM32\nvsvc32.exe
c:\windows\SYSTEM32\RegSrvc.exe
c:\windows\SYSTEM32\ZCfgSvc.exe
c:\windows\SYSTEM32\1XConfig.exe
c:\program files\Apoint\ApntEx.exe
c:\windows\SYSTEM32\msiexec.exe
.
**************************************************************************
.
Heure de fin: 2009-05-16 0:40 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-05-16 22:39

Avant-CF: 4,788,731,904 octets libres
Après-CF: 4,888,682,496 octets libres

262 --- E O F --- 2008-01-20 12:53
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 85
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
--> Fais analyser ce fichier : c:\windows\SYSTEM\mysmas.exe

--> Sur VirusTotal et poste le lien de l'analyse.
0
Réponse 6 / 85
Charlotte* Messages postés 76 Statut Membre
 
Fichier hue.exe reçu le 2009.05.15 00:44:02 (CET)
Situation actuelle: terminé

Résultat: 8/40 (20.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.14 Trojan.Vundo!IK
AhnLab-V3 5.0.0.2 2009.05.14 -
AntiVir 7.9.0.166 2009.05.14 -
Antiy-AVL 2.0.3.1 2009.05.14 -
Authentium 5.1.2.4 2009.05.14 -
Avast 4.8.1335.0 2009.05.13 -
AVG 8.5.0.327 2009.05.14 -
BitDefender 7.2 2009.05.14 -
CAT-QuickHeal 10.00 2009.05.14 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.14 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.14 -
eSafe 7.0.17.0 2009.05.14 Suspicious File
eTrust-Vet 31.6.6505 2009.05.14 -
F-Prot 4.4.4.56 2009.05.14 -
F-Secure 8.0.14470.0 2009.05.14 -
Fortinet 3.117.0.0 2009.05.14 -
GData 19 2009.05.14 -
Ikarus T3.1.1.49.0 2009.05.14 Trojan.Vundo
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.14 -
McAfee 5615 2009.05.14 -
McAfee+Artemis 5615 2009.05.14 -
McAfee-GW-Edition 6.7.6 2009.05.14 -
Microsoft 1.4602 2009.05.14 VirTool:Win32/DelfInject.gen!J
NOD32 4076 2009.05.14 a variant of Win32/Injector.OI
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.14 -
Panda 10.0.0.14 2009.05.14 -
PCTools 4.4.2.0 2009.05.13 -
Prevx 3.0 2009.05.15 -
Rising 21.29.34.00 2009.05.14 -
Sophos 4.41.0 2009.05.14 -
Sunbelt 3.2.1858.2 2009.05.14 -
Symantec 1.4.4.12 2009.05.14 -
TheHacker 6.3.4.1.326 2009.05.14 -
TrendMicro 8.950.0.1092 2009.05.14 -
VBA32 3.12.10.5 2009.05.14 -
ViRobot 2009.5.14.1735 2009.05.14 Worm.Win32.P2P-Palevo.96768
VirusBuster 4.6.5.0 2009.05.14 Trojan.Inject.Gen.5
Information additionnelle
File size: 74752 bytes
MD5...: c4098c3b08874f6915fa14a9278f31b3
SHA1..: 83091f16782bd82b9010b1c8d3399dee3f41cea6
SHA256: d406d350fc261313d4fed434600f7ba490f78c3744ac3a0f9a479d7fde4f94db
SHA512: 59745cdd8d1772c15d82b873493463775fe43d9ce8f73ae159f4a67db6638a35
6abd585731e4d789e44e08b192e44459d4e30090e52356f70ce8f4d9b7da2ef0
ssdeep: 1536:9Ybom7Ypo9tv0cZ/VJIlrYPsETSMeMjT:wrV9tvtIlrYPsETS

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3346
timedatestamp.....: 0x4a0896d5 (Mon May 11 21:21:25 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6394 0x6400 6.53 fca9fdc952b536eb21fe4a243edaa725
.rdata 0x8000 0x93c 0xa00 5.15 d113629e51ae0a4fcc755612289ff002
.data 0x9000 0x41a0 0x2c00 1.17 6314549d7b99e77a0283558c401dd45a
.tls 0xe000 0x0 0x8600 7.98 991d6a3d78e6910e2ae03f0203104d29

( 2 imports )
> KERNEL32.dll: OpenProcess, GetModuleHandleA, CopyFileA, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, GetLastError, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, SetStdHandle, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, FlushFileBuffers, CloseHandle
> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegCloseKey

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-
0
Réponse 7 / 85
Charlotte* Messages postés 76 Statut Membre
 
Fichier hue.exe reçu le 2009.05.15 00:44:02 (CET)
Situation actuelle: terminé

Résultat: 8/40 (20.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.14 Trojan.Vundo!IK
AhnLab-V3 5.0.0.2 2009.05.14 -
AntiVir 7.9.0.166 2009.05.14 -
Antiy-AVL 2.0.3.1 2009.05.14 -
Authentium 5.1.2.4 2009.05.14 -
Avast 4.8.1335.0 2009.05.13 -
AVG 8.5.0.327 2009.05.14 -
BitDefender 7.2 2009.05.14 -
CAT-QuickHeal 10.00 2009.05.14 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.14 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.14 -
eSafe 7.0.17.0 2009.05.14 Suspicious File
eTrust-Vet 31.6.6505 2009.05.14 -
F-Prot 4.4.4.56 2009.05.14 -
F-Secure 8.0.14470.0 2009.05.14 -
Fortinet 3.117.0.0 2009.05.14 -
GData 19 2009.05.14 -
Ikarus T3.1.1.49.0 2009.05.14 Trojan.Vundo
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.14 -
McAfee 5615 2009.05.14 -
McAfee+Artemis 5615 2009.05.14 -
McAfee-GW-Edition 6.7.6 2009.05.14 -
Microsoft 1.4602 2009.05.14 VirTool:Win32/DelfInject.gen!J
NOD32 4076 2009.05.14 a variant of Win32/Injector.OI
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.14 -
Panda 10.0.0.14 2009.05.14 -
PCTools 4.4.2.0 2009.05.13 -
Prevx 3.0 2009.05.15 -
Rising 21.29.34.00 2009.05.14 -
Sophos 4.41.0 2009.05.14 -
Sunbelt 3.2.1858.2 2009.05.14 -
Symantec 1.4.4.12 2009.05.14 -
TheHacker 6.3.4.1.326 2009.05.14 -
TrendMicro 8.950.0.1092 2009.05.14 -
VBA32 3.12.10.5 2009.05.14 -
ViRobot 2009.5.14.1735 2009.05.14 Worm.Win32.P2P-Palevo.96768
VirusBuster 4.6.5.0 2009.05.14 Trojan.Inject.Gen.5
Information additionnelle
File size: 74752 bytes
MD5...: c4098c3b08874f6915fa14a9278f31b3
SHA1..: 83091f16782bd82b9010b1c8d3399dee3f41cea6
SHA256: d406d350fc261313d4fed434600f7ba490f78c3744ac3a0f9a479d7fde4f94db
SHA512: 59745cdd8d1772c15d82b873493463775fe43d9ce8f73ae159f4a67db6638a35
6abd585731e4d789e44e08b192e44459d4e30090e52356f70ce8f4d9b7da2ef0
ssdeep: 1536:9Ybom7Ypo9tv0cZ/VJIlrYPsETSMeMjT:wrV9tvtIlrYPsETS

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3346
timedatestamp.....: 0x4a0896d5 (Mon May 11 21:21:25 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6394 0x6400 6.53 fca9fdc952b536eb21fe4a243edaa725
.rdata 0x8000 0x93c 0xa00 5.15 d113629e51ae0a4fcc755612289ff002
.data 0x9000 0x41a0 0x2c00 1.17 6314549d7b99e77a0283558c401dd45a
.tls 0xe000 0x0 0x8600 7.98 991d6a3d78e6910e2ae03f0203104d29

( 2 imports )
> KERNEL32.dll: OpenProcess, GetModuleHandleA, CopyFileA, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, GetLastError, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, SetStdHandle, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, FlushFileBuffers, CloseHandle
> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegCloseKey

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-
0
Réponse 8 / 85
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
Ce n'est pas bon.
0
Charlotte* Messages postés 76 Statut Membre
 
ha!????

C'est à dire ?

C'est grave ?
0
Réponse 9 / 85
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
D'après le rapport, c'est un fichier hue.exe et non mysmas.exe qui a été analysé.
0
Réponse 10 / 85
Charlotte* Messages postés 76 Statut Membre
 
Oups... désolée.

Fichier mysmas.exe reçu le 2009.05.17 00:56:52 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 17/40 (42.5%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 49 et 70 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.16 Trojan.Vundo!IK
AhnLab-V3 5.0.0.2 2009.05.16 -
AntiVir 7.9.0.168 2009.05.15 -
Antiy-AVL 2.0.3.1 2009.05.15 -
Authentium 5.1.2.4 2009.05.16 -
Avast 4.8.1335.0 2009.05.16 Win32:Inject-SV
AVG 8.5.0.336 2009.05.16 SHeur2.AFUL
BitDefender 7.2 2009.05.17 -
CAT-QuickHeal 10.00 2009.05.15 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.16 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.17 -
eSafe 7.0.17.0 2009.05.14 Suspicious File
eTrust-Vet 31.6.6508 2009.05.16 -
F-Prot 4.4.4.56 2009.05.16 -
F-Secure 8.0.14470.0 2009.05.16 -
Fortinet 3.117.0.0 2009.05.16 PossibleThreat
GData 19 2009.05.17 Win32:Inject-SV
Ikarus T3.1.1.49.0 2009.05.16 Trojan.Vundo
K7AntiVirus 7.10.737 2009.05.16 -
Kaspersky 7.0.0.125 2009.05.16 -
McAfee 5617 2009.05.16 -
McAfee+Artemis 5617 2009.05.16 Artemis!C4098C3B0887
McAfee-GW-Edition 6.7.6 2009.05.15 -
Microsoft 1.4602 2009.05.16 VirTool:Win32/DelfInject.gen!J
NOD32 4080 2009.05.15 a variant of Win32/Injector.OI
Norman 6.01.05 2009.05.16 -
nProtect 2009.1.8.0 2009.05.16 -
Panda 10.0.0.14 2009.05.16 -
PCTools 4.4.2.0 2009.05.16 -
Prevx 3.0 2009.05.17 High Risk Cloaked Malware
Rising 21.29.52.00 2009.05.16 Trojan.DL.Win32.Undef.ekx
Sophos 4.41.0 2009.05.16 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.05.16 VirTool-Win32/DelfInject.gen!J
Symantec 1.4.4.12 2009.05.17 -
TheHacker 6.3.4.1.326 2009.05.15 -
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.16 -
ViRobot 2009.5.15.1737 2009.05.15 Worm.Win32.P2P-Palevo.96768
VirusBuster 4.6.5.0 2009.05.16 Trojan.Inject.Gen.5
Information additionnelle
File size: 74752 bytes
MD5...: c4098c3b08874f6915fa14a9278f31b3
SHA1..: 83091f16782bd82b9010b1c8d3399dee3f41cea6
SHA256: d406d350fc261313d4fed434600f7ba490f78c3744ac3a0f9a479d7fde4f94db
SHA512: 59745cdd8d1772c15d82b873493463775fe43d9ce8f73ae159f4a67db6638a35
6abd585731e4d789e44e08b192e44459d4e30090e52356f70ce8f4d9b7da2ef0
ssdeep: 1536:9Ybom7Ypo9tv0cZ/VJIlrYPsETSMeMjT:wrV9tvtIlrYPsETS

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3346
timedatestamp.....: 0x4a0896d5 (Mon May 11 21:21:25 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6394 0x6400 6.53 fca9fdc952b536eb21fe4a243edaa725
.rdata 0x8000 0x93c 0xa00 5.15 d113629e51ae0a4fcc755612289ff002
.data 0x9000 0x41a0 0x2c00 1.17 6314549d7b99e77a0283558c401dd45a
.tls 0xe000 0x0 0x8600 7.98 991d6a3d78e6910e2ae03f0203104d29

( 2 imports )
> KERNEL32.dll: OpenProcess, GetModuleHandleA, CopyFileA, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, GetLastError, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, SetStdHandle, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, FlushFileBuffers, CloseHandle
> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegCloseKey

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=5B247D17004CF6F3246E015C99FF5F00DC0C7961' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=5B247D17004CF6F3246E015C99FF5F00DC0C7961</a>
0
Réponse 11 / 85
Charlotte* Messages postés 76 Statut Membre
 
Fichier hue.exe reçu le 2009.05.15 00:44:02 (CET)
Situation actuelle: terminé

Résultat: 8/40 (20.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.14 Trojan.Vundo!IK
AhnLab-V3 5.0.0.2 2009.05.14 -
AntiVir 7.9.0.166 2009.05.14 -
Antiy-AVL 2.0.3.1 2009.05.14 -
Authentium 5.1.2.4 2009.05.14 -
Avast 4.8.1335.0 2009.05.13 -
AVG 8.5.0.327 2009.05.14 -
BitDefender 7.2 2009.05.14 -
CAT-QuickHeal 10.00 2009.05.14 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.14 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.14 -
eSafe 7.0.17.0 2009.05.14 Suspicious File
eTrust-Vet 31.6.6505 2009.05.14 -
F-Prot 4.4.4.56 2009.05.14 -
F-Secure 8.0.14470.0 2009.05.14 -
Fortinet 3.117.0.0 2009.05.14 -
GData 19 2009.05.14 -
Ikarus T3.1.1.49.0 2009.05.14 Trojan.Vundo
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.14 -
McAfee 5615 2009.05.14 -
McAfee+Artemis 5615 2009.05.14 -
McAfee-GW-Edition 6.7.6 2009.05.14 -
Microsoft 1.4602 2009.05.14 VirTool:Win32/DelfInject.gen!J
NOD32 4076 2009.05.14 a variant of Win32/Injector.OI
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.14 -
Panda 10.0.0.14 2009.05.14 -
PCTools 4.4.2.0 2009.05.13 -
Prevx 3.0 2009.05.15 -
Rising 21.29.34.00 2009.05.14 -
Sophos 4.41.0 2009.05.14 -
Sunbelt 3.2.1858.2 2009.05.14 -
Symantec 1.4.4.12 2009.05.14 -
TheHacker 6.3.4.1.326 2009.05.14 -
TrendMicro 8.950.0.1092 2009.05.14 -
VBA32 3.12.10.5 2009.05.14 -
ViRobot 2009.5.14.1735 2009.05.14 Worm.Win32.P2P-Palevo.96768
VirusBuster 4.6.5.0 2009.05.14 Trojan.Inject.Gen.5
Information additionnelle
File size: 74752 bytes
MD5...: c4098c3b08874f6915fa14a9278f31b3
SHA1..: 83091f16782bd82b9010b1c8d3399dee3f41cea6
SHA256: d406d350fc261313d4fed434600f7ba490f78c3744ac3a0f9a479d7fde4f94db
SHA512: 59745cdd8d1772c15d82b873493463775fe43d9ce8f73ae159f4a67db6638a35
6abd585731e4d789e44e08b192e44459d4e30090e52356f70ce8f4d9b7da2ef0
ssdeep: 1536:9Ybom7Ypo9tv0cZ/VJIlrYPsETSMeMjT:wrV9tvtIlrYPsETS

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3346
timedatestamp.....: 0x4a0896d5 (Mon May 11 21:21:25 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6394 0x6400 6.53 fca9fdc952b536eb21fe4a243edaa725
.rdata 0x8000 0x93c 0xa00 5.15 d113629e51ae0a4fcc755612289ff002
.data 0x9000 0x41a0 0x2c00 1.17 6314549d7b99e77a0283558c401dd45a
.tls 0xe000 0x0 0x8600 7.98 991d6a3d78e6910e2ae03f0203104d29

( 2 imports )
> KERNEL32.dll: OpenProcess, GetModuleHandleA, CopyFileA, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, GetLastError, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, SetStdHandle, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, FlushFileBuffers, CloseHandle
> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegCloseKey

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-
0
Réponse 12 / 85
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau.

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :





:processes
explorer.exe

:services
MYS Mutex Algorithm Service

:files
c:\windows\system\mysmas.exe
c:\windows\system32\??.scr
c:\windows\system32\msvcrt2.dll

:commands
[purity]
[emptytemp]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0
Réponse 13 / 85
Charlotte* Messages postés 76 Statut Membre
 
Voici le rapport en question.

Je pars me coucher mais serais d'attaque à nouveau demain soir si le virus est toujours là.

Combofix disait "LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE ". Est ce embettant ? A quoi cela sert-il ? Je peux rarement éteindre mon ordi du premier coup et ait souvent des messages d'erreur avant de le fermer. Cela a t-il un lien?

bonne nuit et merci pour ta disponibilité.

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========

Service\Driver MYS Mutex Algorithm Service deleted successfully.
========== FILES ==========
c:\windows\system\mysmas.exe moved successfully.
c:\windows\system32\00.scr moved successfully.
c:\windows\system32\01.scr moved successfully.
c:\windows\system32\02.scr moved successfully.
c:\windows\system32\03.scr moved successfully.
c:\windows\system32\04.scr moved successfully.
c:\windows\system32\05.scr moved successfully.
c:\windows\system32\06.scr moved successfully.
c:\windows\system32\07.scr moved successfully.
c:\windows\system32\08.scr moved successfully.
c:\windows\system32\10.scr moved successfully.
c:\windows\system32\12.scr moved successfully.
c:\windows\system32\14.scr moved successfully.
c:\windows\system32\15.scr moved successfully.
c:\windows\system32\17.scr moved successfully.
c:\windows\system32\18.scr moved successfully.
c:\windows\system32\21.scr moved successfully.
c:\windows\system32\22.scr moved successfully.
c:\windows\system32\23.scr moved successfully.
c:\windows\system32\26.scr moved successfully.
c:\windows\system32\27.scr moved successfully.
c:\windows\system32\28.scr moved successfully.
c:\windows\system32\30.scr moved successfully.
c:\windows\system32\31.scr moved successfully.
c:\windows\system32\32.scr moved successfully.
c:\windows\system32\37.scr moved successfully.
c:\windows\system32\38.scr moved successfully.
c:\windows\system32\40.scr moved successfully.
c:\windows\system32\41.scr moved successfully.
c:\windows\system32\44.scr moved successfully.
c:\windows\system32\48.scr moved successfully.
c:\windows\system32\51.scr moved successfully.
c:\windows\system32\52.scr moved successfully.
c:\windows\system32\54.scr moved successfully.
c:\windows\system32\55.scr moved successfully.
c:\windows\system32\58.scr moved successfully.
c:\windows\system32\60.scr moved successfully.
c:\windows\system32\61.scr moved successfully.
c:\windows\system32\62.scr moved successfully.
c:\windows\system32\64.scr moved successfully.
c:\windows\system32\65.scr moved successfully.
c:\windows\system32\66.scr moved successfully.
c:\windows\system32\67.scr moved successfully.
c:\windows\system32\71.scr moved successfully.
c:\windows\system32\73.scr moved successfully.
c:\windows\system32\74.scr moved successfully.
c:\windows\system32\77.scr moved successfully.
c:\windows\system32\78.scr moved successfully.
c:\windows\system32\81.scr moved successfully.
c:\windows\system32\82.scr moved successfully.
c:\windows\system32\83.scr moved successfully.
c:\windows\system32\84.scr moved successfully.
c:\windows\system32\85.scr moved successfully.
c:\windows\system32\88.scr moved successfully.
LoadLibrary failed for c:\windows\system32\msvcrt2.dll
c:\windows\system32\msvcrt2.dll NOT unregistered.
c:\windows\system32\msvcrt2.dll moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\lot\LOCALS~1\Temp\JET5350.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\lot\Local Settings\Temporary Internet Files\Content.IE5\HIY8LYKC\affich-12475334-infection-par-le-virus-win32-virut[2] scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\lot\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\INDEX.DAT scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05172009_011019

Files moved on Reboot...
File C:\DOCUME~1\lot\LOCALS~1\Temp\JET5350.tmp not found!
C:\Documents and Settings\lot\Local Settings\Temporary Internet Files\Content.IE5\HIY8LYKC\affich-12475334-infection-par-le-virus-win32-virut[2] moved successfully.
0
Réponse 14 / 85
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
"Combofix disait "LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE ". Est ce embettant ? A quoi cela sert-il ?"
---> Si le PC aurait planté, la console aurait été pratique.

"Je peux rarement éteindre mon ordi du premier coup et ait souvent des messages d'erreur avant de le fermer. Cela a t-il un lien?"
---> Nous n'avons pas fini de le désinfecter même si on a supprimé pas mal d'infections.

---> Menu Démarrer > Exécuter > Tape combofix /u et valide.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
0
Réponse 15 / 85
Charlotte* Messages postés 76 Statut Membre
 
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2145
Windows 5.1.2600 Service Pack 1

17/05/2009 21:39:41
mbam-log-2009-05-17 (21-39-41).txt

Type de recherche: Examen rapide
Eléments examinés: 79199
Temps écoulé: 6 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Bonjour,

Voici le nouveau rapport...

Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MYS Mutex Algorithm Service (Backdoor.IRCBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MYS Mutex Algorithm Service (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\SYSTEM32\x.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo (Rogue.Eorezo) -> Delete on reboot.
C:\WINDOWS\SYSTEM\mysmas.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
0
Réponse 16 / 85
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
● Relance MBAM, va dans Quarantaine et supprime tout.

● Télécharge Ad-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

● Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
● Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
● Au menu principal, choisis l'option A.
● Poste le rapport généré (C:\Ad-Report-Scan-(date).log).

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
0
Réponse 17 / 85
Charlotte* Messages postés 76 Statut Membre
 
+-----------------| Added Scan:
.

---- Internet Explorer Version 6.0.2800.1106 ----

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start Page: hxxp://www.google.fr/

[HKEY_USERS\S-1-5-21-199171104-647130974-2077177671-1006\..\Internet Explorer\Main]

Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start Page: hxxp://www.google.fr/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.euro.dell.com/countries/fr/fra/gen/default.htm

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]


=========== Suspicious ==========


+---------------------------------------------------------------------------+

2537 Byte(s) - C:\Ad-Report-Scan-17.05.2009.log

1 File(s) - C:\Program Files\Ad-remover\BACKUP
0 File(s) - C:\Program Files\Ad-remover\QUARANTINE

End at: 22:44:20 | 17/05/2009
.
+-----------------| E.O.F
.
0
Réponse 18 / 85
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
Le rapport est incomplet.
0
Réponse 19 / 85
Charlotte* Messages postés 76 Statut Membre
 
------- LOGFILE OF AD-REMOVER 1.1.4.0 | ONLY XP/VISTA -------

Updated by C_XX on 17/05/2009 at 19:30
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html

Start at: 22:37:36, 17/05/2009 | Boot mode: Normal Boot
Option: Scan | Executed from: C:\Program Files\Ad-remover\
Operating System: Microsoft® Windows XP™ Service Pack 1 v5.1.2600
Computer Name: CHARLOTTE
Current User: lot - Administrator


============ Known Adwares Found ============

.
.
C:\Documents and Settings\lot\Cookies\lot@atdmt[1].txt
C:\Documents and Settings\lot\Cookies\lot@bs.serving-sys[2].txt

+-----------------| Eorezo Elements Found:

HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\Software\EoRezo
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKU\S-1-5-21-199171104-647130974-2077177671-1006\Software\Eorezo
.
C:\Program Files\EoRezo
C:\Documents and Settings\lot\Application Data\EoRezo

+-----------------| It's TV Elements Found:

HKLM\Software\ItsLabel
.

+-----------------| Sweetim Elements Found:

.

+-----------------| Added Scan:
.

---- Internet Explorer Version 6.0.2800.1106 ----

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start Page: hxxp://www.google.fr/

[HKEY_USERS\S-1-5-21-199171104-647130974-2077177671-1006\..\Internet Explorer\Main]

Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start Page: hxxp://www.google.fr/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.euro.dell.com/countries/fr/fra/gen/default.htm

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]


=========== Suspicious ==========


+---------------------------------------------------------------------------+

2537 Byte(s) - C:\Ad-Report-Scan-17.05.2009.log

1 File(s) - C:\Program Files\Ad-remover\BACKUP
0 File(s) - C:\Program Files\Ad-remover\QUARANTINE

End at: 22:44:20 | 17/05/2009
.
+-----------------| E.O.F
.
0
Réponse 20 / 85
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
/!\ Déconnecte-toi et ferme toutes applications en cours /!\

● Double-clique sur AD-Remover pour le lancer : au menu principal, choisis l'option B.

● Coche A à l'écran de sélection :
http://sd-1.archive-host.com/membres/up/16506160323759868/Capturer-ADR.JPG

● Puis choisis S, le programme va travailler.

● Poste le rapport qui apparaît à la fin (C:\Ad-Report-Clean-(date).log).

/!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide /!\
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
win32:virut
mathieu12345 -
Destrio5 -

19 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses