Cheval de troie help me
BdBase_06
Messages postés
51
Statut
Membre
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
J'ai un pc infecté de cheval(s) ou chevaux de troie, antivir avira que je viens d'isntaller trouve sur ce pc, TR/Crypt.XDR.gen, TR/Dropper.Gen et le pire TR/Rabbit.EG.
Impossible de les supprimer ou de les mettre en quarantaine ils reviennents constament. Je vous remercie d'avance de bien vouloir m'aider à nettoayer tout ça, voici le rapport de Hijackthis, j'ai cru comprendre en lisant les autres topics qu'il est nécessaire ....merci à tous;
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:41:49, on 07/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Lexmark 4300 Series\lxcemon.exe
C:\Program Files\Lexmark 4300 Series\ezprint.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\documents and settings\administrateur.titanium\local settings\application data\mwsiu.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\msmacro32.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Administrateur.TITANIUM\Administrateur.exe
C:\Documents and Settings\Administrateur.TITANIUM\Administrateur.exe
C:\WINDOWS\system\msdct.exe
C:\WINDOWS\system\msdct.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\lxcecoms.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Program Files\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msmacro32] C:\WINDOWS\msmacro32.exe
O4 - HKCU\..\Run: [Administrateur] C:\Documents and Settings\Administrateur.TITANIUM\Administrateur.exe /i
O4 - HKCU\..\Run: [mwsiu] "c:\documents and settings\administrateur.titanium\local settings\application data\mwsiu.exe" mwsiu
O4 - HKCU\..\Run: [] C:\Documents and Settings\LocalService.AUTORITE NT\.exe /i
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: WM System Decode Application - Unknown owner - C:\WINDOWS\system\msdct.exe
J'ai un pc infecté de cheval(s) ou chevaux de troie, antivir avira que je viens d'isntaller trouve sur ce pc, TR/Crypt.XDR.gen, TR/Dropper.Gen et le pire TR/Rabbit.EG.
Impossible de les supprimer ou de les mettre en quarantaine ils reviennents constament. Je vous remercie d'avance de bien vouloir m'aider à nettoayer tout ça, voici le rapport de Hijackthis, j'ai cru comprendre en lisant les autres topics qu'il est nécessaire ....merci à tous;
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:41:49, on 07/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Lexmark 4300 Series\lxcemon.exe
C:\Program Files\Lexmark 4300 Series\ezprint.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\documents and settings\administrateur.titanium\local settings\application data\mwsiu.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\msmacro32.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Administrateur.TITANIUM\Administrateur.exe
C:\Documents and Settings\Administrateur.TITANIUM\Administrateur.exe
C:\WINDOWS\system\msdct.exe
C:\WINDOWS\system\msdct.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\lxcecoms.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Program Files\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msmacro32] C:\WINDOWS\msmacro32.exe
O4 - HKCU\..\Run: [Administrateur] C:\Documents and Settings\Administrateur.TITANIUM\Administrateur.exe /i
O4 - HKCU\..\Run: [mwsiu] "c:\documents and settings\administrateur.titanium\local settings\application data\mwsiu.exe" mwsiu
O4 - HKCU\..\Run: [] C:\Documents and Settings\LocalService.AUTORITE NT\.exe /i
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: WM System Decode Application - Unknown owner - C:\WINDOWS\system\msdct.exe
A voir également:
- Cheval de troie help me
- Comment supprimer cheval de troie gratuitement - Télécharger - Antivirus & Antimalwares
- Ordinateur bloqué cheval de troie - Accueil - Arnaque
- Jeux de petit chevaux gratuit à télécharger - Télécharger - Jeux vidéo
- Cheval au poker - Forum Virus
- Cheval de troie virus - Accueil - Virus
87 réponses
Lyonnais90 je vois ke mes messages ne ce poste plus...peut etre trop long?? comme je peux te les transmettre?
Puis autre Pb en allant sur facebook dans l'application de jeu de poker le PC c'est arrêté puis redémarré tout seul, cela me l'a fait à deux repris. Puis en recevant un message sur le chat de windows live pareil..ca ma fait la m chose...Oups je flippe là lol
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
il vaudrait mieux ne pas utiliser l'ordi sur le Net en dehors de la désinfection.
Pour le lien, c'est à toi de le créer. Je te redonne la procédure.
Pour me transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
il vaudrait mieux ne pas utiliser l'ordi sur le Net en dehors de la désinfection.
Pour le lien, c'est à toi de le créer. Je te redonne la procédure.
Pour me transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
re, voici le lein du dernier rapport OTL mais comme il n' y a pas eu de poster mes derniers messages quelque résumé:
- retour du bureau après installation de windows sp3 (tout re fonctione correstement)
- installation de online Armor en anglais donc j'ai tout installé par défaut
- lors du lancement de OTL, Armor boqué OTL donc j'ai cliqué sur allow pour Armor
le lien:
http://www.cijoint.fr/cjlink.php?file=cj200906/cijxUCWqhQ.txt
- retour du bureau après installation de windows sp3 (tout re fonctione correstement)
- installation de online Armor en anglais donc j'ai tout installé par défaut
- lors du lancement de OTL, Armor boqué OTL donc j'ai cliqué sur allow pour Armor
le lien:
http://www.cijoint.fr/cjlink.php?file=cj200906/cijxUCWqhQ.txt
J'ai oublié de t'informer qu'après l'installation de win SP3 quand j'ai relancé windows live messenger une fenêtre s'est ouverte et a lancé une réparation...@++
Re,
il a été lancé une réparation de quoi ?
==
plus grand chose.
On va contrôler un fichier :
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\DRIVERS\secdrv.sys
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
====
On va continuer à sécuriser l'ordi.
Fais de Firefox le navigateur par défaut.
Ajoute l'add-on WOT qui protège des sites à risques :
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
il a été lancé une réparation de quoi ?
==
plus grand chose.
On va contrôler un fichier :
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\DRIVERS\secdrv.sys
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
====
On va continuer à sécuriser l'ordi.
Fais de Firefox le navigateur par défaut.
Ajoute l'add-on WOT qui protège des sites à risques :
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Re, la réparation était fait par windows live messenger...je n'ai pas d'installer fiferfox tu veux que je l'installe?
Voici le rapport de virustotal:
Fichier secdrv.sys reçu le 2009.06.09 21:38:05 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/39 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 26.
L'heure estimée de démarrage est entre 3 et 5 minutes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.09 -
AhnLab-V3 5.0.0.2 2009.06.09 -
AntiVir 7.9.0.183 2009.06.09 -
Antiy-AVL 2.0.3.1 2009.06.09 -
Authentium 5.1.2.4 2009.06.09 -
Avast 4.8.1335.0 2009.06.09 -
AVG 8.5.0.339 2009.06.09 -
BitDefender 7.2 2009.06.09 -
CAT-QuickHeal 10.00 2009.06.09 -
ClamAV 0.94.1 2009.06.09 -
Comodo 1297 2009.06.09 -
DrWeb 5.0.0.12182 2009.06.09 -
eSafe 7.0.17.0 2009.06.09 -
eTrust-Vet 31.6.6549 2009.06.09 -
F-Prot 4.4.4.56 2009.06.08 -
F-Secure 8.0.14470.0 2009.06.09 -
Fortinet 3.117.0.0 2009.06.09 -
GData 19 2009.06.09 -
Ikarus T3.1.1.59.0 2009.06.09 -
K7AntiVirus 7.10.757 2009.06.08 -
Kaspersky 7.0.0.125 2009.06.09 -
McAfee 5641 2009.06.09 -
McAfee+Artemis 5641 2009.06.09 -
McAfee-GW-Edition 6.7.6 2009.06.09 -
Microsoft 1.4701 2009.06.09 -
NOD32 4142 2009.06.09 -
Norman 6.01.09 2009.06.09 -
nProtect 2009.1.8.0 2009.06.09 -
Panda 10.0.0.14 2009.06.09 -
PCTools 4.4.2.0 2009.06.09 -
Prevx 3.0 2009.06.09 -
Rising 21.33.14.00 2009.06.09 -
Sophos 4.42.0 2009.06.09 -
Sunbelt 3.2.1858.2 2009.06.09 -
Symantec 1.4.4.12 2009.06.09 -
TheHacker 6.3.4.3.342 2009.06.08 -
TrendMicro 8.950.0.1092 2009.06.09 -
VBA32 3.12.10.6 2009.06.08 -
ViRobot 2009.6.9.1775 2009.06.09 -
Information additionnelle
File size: 20480 bytes
MD5...: 90a3935d05b494a5a39d37e71f09a677
SHA1..: 51613026e706f9bdcbc0c94cf2014bc9fb58a3e8
SHA256: f72733a69bc6e1a2bb91d7632ff3463c12563f60fdcc00a2cdd67ff20d479952
ssdeep: -
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (95.5%)
Generic Win/DOS Executable (2.2%)
DOS Executable Generic (2.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x705f
timedatestamp.....: 0x45080528 (Wed Sep 13 13:18:32 2006)
machinetype.......: 0x14c (I386)
( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a22 0x1c00 5.99 1f3cfd0d97a35c6986f10ac8103d0310
.rdata 0x3000 0x490 0x600 3.07 f47902e1bb24778b32243dfdc376ea53
.data 0x4000 0x754 0x600 2.23 f1c5efdc7342a6818f0406dcca9d0152
PAGE 0x5000 0x1337 0x1400 6.14 d900097a1bca84718cb1431d385b8cee
INIT 0x7000 0x53e 0x600 5.10 312aa51a35f027f741d09412efcbf740
.rsrc 0x8000 0x490 0x600 2.72 84ee54ba64e50685d8dc6d8b03a3a527
.reloc 0x9000 0x31e 0x400 4.72 96a88be6de5eee91e4dae7e352fe7785
( 1 imports )
> ntoskrnl.exe: RtlQueryRegistryValues, memset, PsGetVersion, RtlEqualUnicodeString, RtlInitUnicodeString, NtBuildNumber, ProbeForWrite, ProbeForRead, IoDeleteDevice, IoDeleteSymbolicLink, IoCreateSymbolicLink, KeTickCount, memcpy, ExAllocatePoolWithTag, ExFreePoolWithTag, IofCompleteRequest, KeBugCheckEx, RtlUnwind, MmGetSystemRoutineAddress, ZwClose, ZwSetSecurityObject, ObOpenObjectByPointer, IoDeviceObjectType, IoCreateDevice, RtlGetDaclSecurityDescriptor, RtlGetSaclSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, _snwprintf, RtlLengthSecurityDescriptor, SeCaptureSecurityDescriptor, SeExports, IoIsWdmVersionAvailable, _wcsnicmp, RtlAddAccessAllowedAce, RtlLengthSid, wcschr, RtlAbsoluteToSelfRelativeSD, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, ZwOpenKey, ZwCreateKey, ZwQueryValueKey, ZwSetValueKey, RtlFreeUnicodeString
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
( Microsoft )
> Installed Vista Ultimate: secdrv.sys
packers (Kaspersky): PE_Patch
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=90a3935d05b494a5a39d37e71f09a677' target='_blank'>https://www.symantec.com?md5=90a3935d05b494a5a39d37e71f09a677</a>
Voici le rapport de virustotal:
Fichier secdrv.sys reçu le 2009.06.09 21:38:05 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/39 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 26.
L'heure estimée de démarrage est entre 3 et 5 minutes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.09 -
AhnLab-V3 5.0.0.2 2009.06.09 -
AntiVir 7.9.0.183 2009.06.09 -
Antiy-AVL 2.0.3.1 2009.06.09 -
Authentium 5.1.2.4 2009.06.09 -
Avast 4.8.1335.0 2009.06.09 -
AVG 8.5.0.339 2009.06.09 -
BitDefender 7.2 2009.06.09 -
CAT-QuickHeal 10.00 2009.06.09 -
ClamAV 0.94.1 2009.06.09 -
Comodo 1297 2009.06.09 -
DrWeb 5.0.0.12182 2009.06.09 -
eSafe 7.0.17.0 2009.06.09 -
eTrust-Vet 31.6.6549 2009.06.09 -
F-Prot 4.4.4.56 2009.06.08 -
F-Secure 8.0.14470.0 2009.06.09 -
Fortinet 3.117.0.0 2009.06.09 -
GData 19 2009.06.09 -
Ikarus T3.1.1.59.0 2009.06.09 -
K7AntiVirus 7.10.757 2009.06.08 -
Kaspersky 7.0.0.125 2009.06.09 -
McAfee 5641 2009.06.09 -
McAfee+Artemis 5641 2009.06.09 -
McAfee-GW-Edition 6.7.6 2009.06.09 -
Microsoft 1.4701 2009.06.09 -
NOD32 4142 2009.06.09 -
Norman 6.01.09 2009.06.09 -
nProtect 2009.1.8.0 2009.06.09 -
Panda 10.0.0.14 2009.06.09 -
PCTools 4.4.2.0 2009.06.09 -
Prevx 3.0 2009.06.09 -
Rising 21.33.14.00 2009.06.09 -
Sophos 4.42.0 2009.06.09 -
Sunbelt 3.2.1858.2 2009.06.09 -
Symantec 1.4.4.12 2009.06.09 -
TheHacker 6.3.4.3.342 2009.06.08 -
TrendMicro 8.950.0.1092 2009.06.09 -
VBA32 3.12.10.6 2009.06.08 -
ViRobot 2009.6.9.1775 2009.06.09 -
Information additionnelle
File size: 20480 bytes
MD5...: 90a3935d05b494a5a39d37e71f09a677
SHA1..: 51613026e706f9bdcbc0c94cf2014bc9fb58a3e8
SHA256: f72733a69bc6e1a2bb91d7632ff3463c12563f60fdcc00a2cdd67ff20d479952
ssdeep: -
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (95.5%)
Generic Win/DOS Executable (2.2%)
DOS Executable Generic (2.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x705f
timedatestamp.....: 0x45080528 (Wed Sep 13 13:18:32 2006)
machinetype.......: 0x14c (I386)
( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a22 0x1c00 5.99 1f3cfd0d97a35c6986f10ac8103d0310
.rdata 0x3000 0x490 0x600 3.07 f47902e1bb24778b32243dfdc376ea53
.data 0x4000 0x754 0x600 2.23 f1c5efdc7342a6818f0406dcca9d0152
PAGE 0x5000 0x1337 0x1400 6.14 d900097a1bca84718cb1431d385b8cee
INIT 0x7000 0x53e 0x600 5.10 312aa51a35f027f741d09412efcbf740
.rsrc 0x8000 0x490 0x600 2.72 84ee54ba64e50685d8dc6d8b03a3a527
.reloc 0x9000 0x31e 0x400 4.72 96a88be6de5eee91e4dae7e352fe7785
( 1 imports )
> ntoskrnl.exe: RtlQueryRegistryValues, memset, PsGetVersion, RtlEqualUnicodeString, RtlInitUnicodeString, NtBuildNumber, ProbeForWrite, ProbeForRead, IoDeleteDevice, IoDeleteSymbolicLink, IoCreateSymbolicLink, KeTickCount, memcpy, ExAllocatePoolWithTag, ExFreePoolWithTag, IofCompleteRequest, KeBugCheckEx, RtlUnwind, MmGetSystemRoutineAddress, ZwClose, ZwSetSecurityObject, ObOpenObjectByPointer, IoDeviceObjectType, IoCreateDevice, RtlGetDaclSecurityDescriptor, RtlGetSaclSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, _snwprintf, RtlLengthSecurityDescriptor, SeCaptureSecurityDescriptor, SeExports, IoIsWdmVersionAvailable, _wcsnicmp, RtlAddAccessAllowedAce, RtlLengthSid, wcschr, RtlAbsoluteToSelfRelativeSD, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, ZwOpenKey, ZwCreateKey, ZwQueryValueKey, ZwSetValueKey, RtlFreeUnicodeString
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
( Microsoft )
> Installed Vista Ultimate: secdrv.sys
packers (Kaspersky): PE_Patch
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=90a3935d05b494a5a39d37e71f09a677' target='_blank'>https://www.symantec.com?md5=90a3935d05b494a5a39d37e71f09a677</a>
Re,
oui, télécharge et installe Firefox :
http://www.commentcamarche.net/telecharger/telecharger 111 firefox
Puis ajoute WOT dans la foulée.
Comment se porte l'ordi ?
===
Je lirai la réponse demain matin.
oui, télécharge et installe Firefox :
http://www.commentcamarche.net/telecharger/telecharger 111 firefox
Puis ajoute WOT dans la foulée.
Comment se porte l'ordi ?
===
Je lirai la réponse demain matin.
Alors, firefox en place avec WOT, rien à signaler de particulier, Antivir et Armor ne se manifestent pas.
En restant sur le bureau sans application .....il y a 26 processus, UC à 0% avec de très légère variation (durée 1seconde toutes les 10 secondes environ) jusqu'à 4% par les processus "oaui.exe (2,3fois) et surtout alternance entre svchost.exe (system) et explorer.exe (administrateur), Util du fichier à 234Mo c'est quand même assez stable.
Seule demeure les arrêt et redémarrage du PC dès que quelqu'un tente de me contacter via msn (windows live), je le laisse fermer et j'attends tes consignes.
Bonne nuit à demain
En restant sur le bureau sans application .....il y a 26 processus, UC à 0% avec de très légère variation (durée 1seconde toutes les 10 secondes environ) jusqu'à 4% par les processus "oaui.exe (2,3fois) et surtout alternance entre svchost.exe (system) et explorer.exe (administrateur), Util du fichier à 234Mo c'est quand même assez stable.
Seule demeure les arrêt et redémarrage du PC dès que quelqu'un tente de me contacter via msn (windows live), je le laisse fermer et j'attends tes consignes.
Bonne nuit à demain
Bonjour,
suite et fin des opérations de sécurisation :
- Sécurise Internet Explorer
* Clique sur Démarrer puis Exécuter
* Tape Inetcpl.cpl dans la zone de saisie puis OK
* Clique sur l'onglet Sécurité
* Clique sur "Rétablir toutes les zones au niveau par défaut"
* Sélectionne Zone Internet et clique sur "Personaliser le niveau"
* Dans la section sur les ActiveX, règle sur "Demander" les téléchargements des ActiveX signés et non signés et règle sur "Désactivé" "Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés"
- Noscript est un "Addon" pour Firefox qui empêche l'exécution de scripts en provenance des sites Web. il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
- SpywareBlaster protège des ActiveX malicieux : http://www.commentcamarche.net/telecharger/telecharger 226 spyware blaster
un tutoriel :
https://www.malekal.com/tutorial-spywareblaster/
- SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares. Prends garde à n'avoir qu'un seul anti-spyware en garde active pour éviter les risques de conflit : http://www.commentcamarche.net/telecharger/telecharger 34055277 spywareguard .
(désinstalle Spybot S&D)
- MVPS Hosts replace le fichier Hosts par un fichier contenantles sites de pub et autres sites dangereux. Fondamentalement, cela empêche l'ordi de se connecter à ces sites en redirigeant l'appel vers 127.0.0.1 qui correspond à ton ordi. Ceci rend plus difficile d'infecter l'ordi.
https://winhelp2002.mvps.org/hosts.htm
======
Quand tu as tout fait, tu purges la restauration système :
Ouvre ce lien :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
dans un premier temps tu le suis pour désactiver la restauration système.
Tu fermes la fenêtre.
Dans un deuxième temps, tu le suis pour réactiver la restauration.
Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.
Tu vides la Corbeille.
Tu nettoies les fichiers temporaires avec ATF-Cleaner.
Tu défragmentes les partitions (démarrer, tous les programmes, accessoires, outils système, défragmenteur) (ça peut être assez long, tu laisses tourner).
Tu me dis quand c'est fait.
suite et fin des opérations de sécurisation :
- Sécurise Internet Explorer
* Clique sur Démarrer puis Exécuter
* Tape Inetcpl.cpl dans la zone de saisie puis OK
* Clique sur l'onglet Sécurité
* Clique sur "Rétablir toutes les zones au niveau par défaut"
* Sélectionne Zone Internet et clique sur "Personaliser le niveau"
* Dans la section sur les ActiveX, règle sur "Demander" les téléchargements des ActiveX signés et non signés et règle sur "Désactivé" "Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés"
- Noscript est un "Addon" pour Firefox qui empêche l'exécution de scripts en provenance des sites Web. il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
- SpywareBlaster protège des ActiveX malicieux : http://www.commentcamarche.net/telecharger/telecharger 226 spyware blaster
un tutoriel :
https://www.malekal.com/tutorial-spywareblaster/
- SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares. Prends garde à n'avoir qu'un seul anti-spyware en garde active pour éviter les risques de conflit : http://www.commentcamarche.net/telecharger/telecharger 34055277 spywareguard .
(désinstalle Spybot S&D)
- MVPS Hosts replace le fichier Hosts par un fichier contenantles sites de pub et autres sites dangereux. Fondamentalement, cela empêche l'ordi de se connecter à ces sites en redirigeant l'appel vers 127.0.0.1 qui correspond à ton ordi. Ceci rend plus difficile d'infecter l'ordi.
https://winhelp2002.mvps.org/hosts.htm
======
Quand tu as tout fait, tu purges la restauration système :
Ouvre ce lien :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
dans un premier temps tu le suis pour désactiver la restauration système.
Tu fermes la fenêtre.
Dans un deuxième temps, tu le suis pour réactiver la restauration.
Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.
Tu vides la Corbeille.
Tu nettoies les fichiers temporaires avec ATF-Cleaner.
Tu défragmentes les partitions (démarrer, tous les programmes, accessoires, outils système, défragmenteur) (ça peut être assez long, tu laisses tourner).
Tu me dis quand c'est fait.
Bonjour,
Réglage internet explorer = ok
J'obtiens ce message quand je tente d'installer spywareblaster
Not Found
The requested URL /files/cb4342a6105501a33df7163f7c84bf26/spyware/spywareblastersetup42.exe was not found on this server.
Apache/1.3.33 Server at files6.majorgeeks.com Port 80
Je continue....
Réglage internet explorer = ok
J'obtiens ce message quand je tente d'installer spywareblaster
Not Found
The requested URL /files/cb4342a6105501a33df7163f7c84bf26/spyware/spywareblastersetup42.exe was not found on this server.
Apache/1.3.33 Server at files6.majorgeeks.com Port 80
Je continue....
Le pc s'arrete et redémarre à la fin de l'installation de SpywareGuard mais il semble être installé correctement.
Spybot n'est pas installé, il en reste quelque trace (à l'occasion on pourra nettoyer ça aussi)
je continue...
Spybot n'est pas installé, il en reste quelque trace (à l'occasion on pourra nettoyer ça aussi)
je continue...
Re,
pour SpywareBlaster, ouvre ce lien :
https://www.brightfort.com/sbdownload_free.html
et clique sur Continue download.
pour SpywareBlaster, ouvre ce lien :
https://www.brightfort.com/sbdownload_free.html
et clique sur Continue download.
Pb j'ai voulu continué et désactivé la restauration (déselection + appliquer) mais 2fois le PC s'est coupé alors j'ai refait la manip mais en cliquant sur ok, l'écran noir 2second et je suis revenu à la fenêtre de propriété du poste de travail mais surpris il n'y a l'onglet de la restauration mais maintenant celui de mise à jour ...Oups.
J'ai aussi oublié de te dire qu'hier soir donc en fermant de PC, windows a fait des mises à jour en fermant....
Que dois-je faire?
J'ai aussi oublié de te dire qu'hier soir donc en fermant de PC, windows a fait des mises à jour en fermant....
Que dois-je faire?
J'ai installé SpywareBlaster par ton lien et encore une nouvelle coupure en fin d'installation mais le programme être installé correctement (il fonctionne). Surpris avec ce redémarrage l'onglet de restauration est revenu...je poursuit donc ...
Re,
les mises à jour prouvent que tu as activé la fonction Mises à jour automatiques ce qui est très bien.
Leur installation se fait la fermeture. Il est donc essentiel d'appuyer sur le bon bouton à ce moment là.
C'est bizarre ces coupures? le redémarrage est automatique ?
les mises à jour prouvent que tu as activé la fonction Mises à jour automatiques ce qui est très bien.
Leur installation se fait la fermeture. Il est donc essentiel d'appuyer sur le bon bouton à ce moment là.
C'est bizarre ces coupures? le redémarrage est automatique ?
