Infection bien cachée :s : HELP ME PLEASE!!! Résolu/Fermé

Question

Bonjours a tous,

Alors voila, depuis quelque jours, le gestionnaire des taches , Firefox et Internet explorer ne veulent pas toujours s'ouvrir même si je supprimes la tache de Firefox et Internet explorer dans le gestionnaire des Taches ( quand il veux s'ouvrir), j'ai scanné mon pc avec Antivir, Mbam & le logiciel mrt.exe de Windows, cela n'y change rien ( tous ne détectent rien).

Pourriez-vous m'aidez svp à ce qui est à l'origine de tout ceci? 

Merci à vous.

gen-hackman · Answer

salut :

Télécharge OTL de OLDTimer

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant scan all users

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé

asseforlife · Answer

Salut a toi et merci de ton aide, le rapport , je dois t'envoyer le rapport par mp ou sur ce topic?

gen-hackman · Answer

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé

XaTon · Answer

Tromper de topic , navrer

asseforlife · Answer

Voila le rapport:

http://www.cijoint.fr/cjlink.php?file=cj200907/cijeA3uzCP.txt

gen-hackman · Answer

;)

Télécharge HostXpert sur ton Bureau :

---> Décompresse-le (Clic droit >> Extraire ici) 

---> Double-clique sur HostsXpert pour le lancer 

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme 

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur. 

s'il est fermé , clique dessus  :)

ensuite :

*****************************************************
************** Option 1  (Recherche) **************
*****************************************************


Télécharge FindyKill (de Chiquitine29 , C_XX , et Chimay8) sur ton bureau : 



! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut . 

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

asseforlife · Answer

Voila le rapport :

PS: La bêbête a commencé a agir en me disant " .... n'as pu terminé car il n'y à pas assez de ressources...", donc la je suis en mode sans échec prise en charge réseau ..


############################## | FindyKill V6.002 |

# User : Administrateur (Administrateurs) # TITANIUM
# Update on 03/07/09 by Chiquitine29 & C_XX
# Start at: 12:12:54 | 06/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Processeur Intel Pentium II
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 48,93 Go (16,19 Go free) # NTFS
# D:\ # Disque fixe local # 103,74 Go (101,75 Go free) [STOCK] # NTFS
# E:\ # Disque CD-ROM
# H:\ # Disque fixe local # 232,88 Go (124,1 Go free) [Icy Box] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Registre Startup |

HKCU_Main:   "Local Page"="C:\WINDOWS\system32\blank.htm" 
HKCU_Main:   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:   "Start Page"="http://www.missim.org/" 
HKCU_Main:   "Window Title"="" 
HKLM_logon:  "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon:  "DefaultUserName"="Administrateur" 
HKLM_logon:  "AltDefaultUserName"="Administrateur" 
HKLM_logon:  "LegalNoticeCaption"="" 
HKLM_logon:  "LegalNoticeText"="" 
HKLM_Run:    HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe 
HKLM_Run:    IgfxTray=C:\WINDOWS\system32\igfxtray.exe 
HKLM_Run:    avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
HKLM_Run:    Malwarebytes' Anti-Malware="C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
HKCU_Run:    ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe  

################## | Fichiers # Dossiers infectieux |

Présent ! C:\WINDOWS\Prefetch\TUNEUP.UTILITIES.2009-KEYGEN.-194BC4FC.pf  

################## | C:\Documents and Settings\Administrateur.TITANIUM.000\Temporary Internet Files |


################## | All Drives ... |

Présent ! D:\install.exe  

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe    

################## | Registre # Mountpoints2 |


################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.002 ! |

gen-hackman · Answer

*****************************************************
************* Option 2  (Suppression) *************
*****************************************************


! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) . 

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée] 

* Le pc va redémarrer automatiquement ...

--> le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

* Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

asseforlife · Answer

Dîtes moi, est-ce c'est normal que findykill soit aussi long a nettoyer? Je vous écris de mon téléphone portable car findykill n'a toujours pas fini le nettoyage...

gen-hackman · Answer

je ne sais pas comment il reagit avec les windows crackés desolé

asseforlife · Answer

Si findykill n'a toujours pas fini, je peux supprimé manuelement les lieux où sont les infections indiquées par findykill?

gen-hackman · Answer

si tu es novice ca ne va pas etre simple 

et de plus il y a certains services à remettre comme il le faut

asseforlife · Answer

J'ai supprimé les fichier détectés par findykill sauf le D:/Install.exe que je ne trouve pas, jfindykill, après 3h n'as toujours pas ,fini le scan. Aurais tu une autre alternative?

Désolé pour le dérangement.

gen-hackman · Answer

Télécharge SDFix sur ton bureau : 
ici :SDFix 
ou ici SDFix 
ou ici SDFix 

--> Double-clique sur SDFix.exe et choisis "Install" . 

Tuto 

Puis une fois l'installe faite , 

Impératif : Démarrer en mode sans echec . 

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec : 
1) Redémarre ton ordi . 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" . 
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] . 
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ... 


Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer l'outil . 
-->Tapes Y pour lancer le script ... 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc : 
presses une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normal ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche . 

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier 
C:\SDFix sous le nom "Report.txt". 

Poste ce dernier dans ta prochaine réponse

Si SDfix ne se lance pas (ça arrive!) 

* Démarrer->Exécuter 

* Copie/colle ceci : 

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe 

* Clique sur ok, et valide. 

* Redémarre et essaye de nouveau de lancer SDfix.

asseforlife · Answer

Encore merci pour ton aide:


[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 06/07/2009 at 20:20

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-06 20:30:54
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe"="C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:Enabled:BlueSoleil"
"C:\Program Files\Freeplayer\vlc\vlc.exe"="C:\Program Files\Freeplayer\vlc\vlc.exe:*:Enabled:VLC media player"
"C:\Program Files\Steam\SteamApps\asseforlife\counter-strike source\hl2.exe"="C:\Program Files\Steam\SteamApps\asseforlife\counter-strike source\hl2.exe:*:Enabled:hl2"
"C:\Program Files\Steam\SteamApps\asseforlife\half-life 2 deathmatch\hl2.exe"="C:\Program Files\Steam\SteamApps\asseforlife\half-life 2 deathmatch\hl2.exe:*:Enabled:hl2"
"C:\Program Files\TmUnitedForever\TmForever.exe"="C:\Program Files\TmUnitedForever\TmForever.exe:*:Enabled:TmForever"
"C:\Program Files\TmUnitedForever\Serveur\TrackmaniaServer.exe"="C:\Program Files\TmUnitedForever\Serveur\TrackmaniaServer.exe:*:Enabled:TrackmaniaServer"
"C:\xampp\apache\bin\apache.exe"="C:\xampp\apache\bin\apache.exe:*:Enabled:Apache HTTP Server"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Nero\Nero 7\Nero ShowTime\ShowTime.exe"="C:\Program Files\Nero\Nero 7\Nero ShowTime\ShowTime.exe:*:Enabled:Nero ShowTime Essentials"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Ex‚cuter une DLL en tant qu'application"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\TmUnitedForever\TmForeverLauncher.exe"="C:\Program Files\TmUnitedForever\TmForeverLauncher.exe:*:Enabled:Jouer … TmUnitedForever"
"C:\Program Files\TrackMania United\TmUnited.exe"="C:\Program Files\TrackMania United\TmUnited.exe:*:Enabled:TmUnited"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\Program Files\TeamViewer\Version4\TeamViewer.exe"="C:\Program Files\TeamViewer\Version4\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application"
"C:\Program Files\Royal-Yugi Online\RYO.exe"="C:\Program Files\Royal-Yugi Online\RYO.exe:*:Enabled:RYO"
"C:\Program Files\UrbanTerror\ioUrbanTerror.exe"="C:\Program Files\UrbanTerror\ioUrbanTerror.exe:*:Enabled:ioUrbanTerror"
"C:\Program Files\Java\jre6\bin\javaw.exe"="C:\Program Files\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\eChanblard\emule.exe"="C:\Program Files\eChanblard\emule.exe:*:Enabled:eMule"
"C:\Program Files\Free Music Zilla\FMZilla.exe"="C:\Program Files\Free Music Zilla\FMZilla.exe:*:Enabled:FMZilla"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Mon 26 Jan 2009     1,740,632 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009     5,365,592 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Thu  5 Mar 2009     2,260,480 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed  3 May 2006       163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"
Wed 21 Feb 2007        31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll"
Sun 16 Mar 2008       216,064 ..SHR --- "C:\WINDOWS\system32
bDX.dll"
Fri 31 Oct 2008         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 17 Dec 2008         4,348 ..SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"
Sat  7 Mar 2009            20 ...H. --- "C:\Program Files\Common Files\Updates\AQ@30_10.dll"
Sun 26 Jun 2005       616,448 ..SHR --- "C:\Program Files\eRightSoft\SUPER\cygwin1.dll"
Tue 21 Jun 2005        45,568 ..SHR --- "C:\Program Files\eRightSoft\SUPER\cygz.dll"
Sun  5 Jul 2009        90,624 ..SHR --- "C:\Program Files\eRightSoft\SUPER\Setup.exe"
Sun 19 Oct 2008        16,447 A.SHR --- "C:\Program Files\eRightSoft\SUPER\_Setup.dll"
Sat 25 Oct 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sat 23 May 2009             0 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\Cache\Indiv01.tmp"
Tue  4 Jun 2002        84,992 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\14_43260.dll"
Tue  4 Jun 2002        44,032 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\28_83260.dll"
Tue 10 Dec 2002        73,766 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\atrc3260.dll"
Tue 10 Dec 2002        65,575 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\cook3260.dll"
Sun  9 Jun 2002        36,864 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\ddnt3260.dll"
Tue  4 Jun 2002        20,480 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\dnet3260.dll"
Tue 10 Dec 2002       102,437 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv13260.dll"
Tue 10 Dec 2002       176,165 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv23260.dll"
Tue 10 Dec 2002       208,935 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv33260.dll"
Tue 10 Dec 2002       217,127 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv43260.dll"
Sun  9 Jun 2002        40,448 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\dspr3260.dll"
Sun  4 Nov 2001       225,280 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\ivvideo.dll"
Tue 10 Apr 2001       225,280 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\qtmlClient.dll"
Fri 20 Feb 2004       232,960 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoderaac.dll"
Sun  9 Jun 2002       525,824 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencodernco3260.dll"
Tue 10 Dec 2002       245,805 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencodernlt3260.dll"
Tue 10 Dec 2002        45,093 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoderv103260.dll"
Tue 10 Dec 2002        98,341 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoderv203260.dll"
Tue 10 Dec 2002        94,247 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoderv303260.dll"
Tue 10 Dec 2002        90,151 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoderv403260.dll"
Tue 10 Dec 2002       102,439 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\sipr3260.dll"
Sun  9 Jun 2002        49,152 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder	okr3260.dll"
Thu 20 Mar 2008         5,632 ..SHR --- "C:\Program Files\eRightSoft\SUPER\spk\1stRun.exe"

[b]Finished![/b]

gen-hackman · Answer

ok envoie l'option2 de findykill en mode sans echec

asseforlife · Answer

J'ai retenté l'option 2 depuis hier soir à 21h jusqu'a aujourd'hui a 10h45 ( j'l'es laissé en route toute la nuit et il reste toujours bloqué au même endroit :s , donc c'est plus possinle findykill je pense.
Au début du scan, il scanne rapidement et s'arrête a C:Program Files/Fichiers Communs/Ahead

Et la se bloque.

Je ne sais quoi faire.

gen-hackman · Answer

bonjour même en en mode sans echec  ???

asseforlife · Answer

Nonjors,

Ouais, je suis en mode sans échec, je double cliques sur findykill, j'appuie sur F puis "2" , et ensuite ca redémarre en mode normal et je l'es laissé toute la nuit a scanner mais est toujours resté au même dosser"fichiers communs", comme hier soir a 21h..

gen-hackman · Answer

&#9830 Desactive ton Anti-virus le temps de la manip car il est detecte a tort comme infection puis :

&#9830 Télécharge List_All

et enregistre-le sur ton bureau et pas ailleurs

&#9830 Execute-le en double clic (clic droit et "en tant qu'administrateur" sous vista)pour le lancer

&#9830 choisis la langue d'utilisation

&#9830 choisis l'option en gras ci-dessous :

1 : Elements du panneau de configuration (cpl)
2 : Liste des .dll systeme
3 : Listes des executables (.exe)
4 : Liste des fichiers systeme (Drivers)
5 : Liste du system32
6 : Liste de tout le systeme
7 : Liste des fichiers .tmp
8 : Liste des fichiers racine
9 : Liste des fichiers cachés 
0 : Liste des Processus Console


puis "entrée"

&#9830 rends-toi récupérer le rapport où il t'est indiqué ,

&#9830 envoie-le sur : http://www.cijoint.fr/ , fais-toi parcourir , 

puis envoie le fichier.

&#9830 un lien de cette forme va apparaitre :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9830 renvoie le lien tout frais dans ta prochaine reponse .

asseforlife · Answer

Voila le lien demandé:

http://www.cijoint.fr/cjlink.php?file=cj200907/cijiDkbuUp.txt

gen-hackman · Answer

peux tu faire pareil option 5 stp ?

asseforlife · Answer

Voila le rapport:

http://www.cijoint.fr/cjlink.php?file=cj200907/cij0THVTUv.txt

gen-hackman · Answer

bien....j' ai trouvé plusieurs anomalies et fichiers douteux :

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
  - Coche    Afficher les fichiers et dossiers cachés
  - Décoche Masquer les extensions des fichiers dont le type est connu
  - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

 C:\WINDOWS\system32\lvci11901262.dll
C:\WINDOWS\system32\ipsec6.exe
C:\WINDOWS\system32\dllcache\esentutl.exe
C:\WINDOWS\system32\dllcache\mstsc.exe
C:\WINDOWS\system32\dllcache\rsvp.exe 
C:\WINDOWS\system32\Rtl60.bpl

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

ensuite :

---> Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort. 

---> Télécharge OTM (OldTimer) sur ton Bureau : 

---> Double-clique sur OTM.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe

:files
C:\WINDOWS\system32\drivers\etc\host.msn
C:\WINDOWS\system32\drivers\etc\hosts.msn
C:\WINDOWS\system32\drivers\etc\hosts.txt
C:\WINDOWS\system32\reg.exe
C:\WINDOWS\system32\results.txt
C:\WINDOWS\system32\SET56.tmp
C:\WINDOWS\system32\SET58.tmp
C:\WINDOWS\system32\SET5D.tmp
C:\WINDOWS\system32\SET64.tmp
C:\WINDOWS\system32\SETAA.tmp
C:\WINDOWS\system32\shell32(3).dll
C:\WINDOWS\system32\wdmaud(2).drv
C:\WINDOWS\system32\wdmaud(3).drv
C:\WINDOWS\system32\wdmaud(4).drv
C:\WINDOWS\system32\wdmaud(5).drv
C:\WINDOWS\system32\wdmaud(6).drv 
 
:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTM 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

asseforlife · Answer

Alors voila les rapport des dll pour virustotal: 1) Fichier lvci11901262.dll reçu le 2009.07.07 10:36:38 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.07.07 - AhnLab-V3 5.0.0.2 2009.07.06 - AntiVir 7.9.0.204 2009.07.07 - Antiy-AVL 2.0.3.1 2009.07.07 - Authentium 5.1.2.4 2009.07.07 - Avast 4.8.1335.0 2009.07.06 - AVG 8.5.0.386 2009.07.07 - BitDefender 7.2 2009.07.07 - CAT-QuickHeal 10.00 2009.07.07 - ClamAV 0.94.1 2009.07.06 - Comodo 1538 2009.07.02 - DrWeb 5.0.0.12182 2009.07.07 - eSafe 7.0.17.0 2009.07.06 - eTrust-Vet 31.6.6601 2009.07.07 - F-Prot 4.4.4.56 2009.07.06 - F-Secure 8.0.14470.0 2009.07.07 - Fortinet 3.117.0.0 2009.07.03 - GData 19 2009.07.07 - Ikarus T3.1.1.64.0 2009.07.07 - Jiangmin 11.0.706 2009.07.07 - K7AntiVirus 7.10.785 2009.07.06 - Kaspersky 7.0.0.125 2009.07.07 - McAfee 5668 2009.07.06 - McAfee+Artemis 5668 2009.07.06 - McAfee-GW-Edition 6.8.5 2009.07.07 - Microsoft 1.4803 2009.07.07 - NOD32 4221 2009.07.06 - Norman 6.01.09 2009.07.06 - nProtect 2009.1.8.0 2009.07.07 - Panda 10.0.0.14 2009.07.06 - PCTools 4.4.2.0 2009.07.06 - Prevx 3.0 2009.07.07 - Rising 21.37.12.00 2009.07.07 - Sophos 4.43.0 2009.07.07 - Sunbelt 3.2.1858.2 2009.07.07 - Symantec 1.4.4.12 2009.07.07 - TheHacker 6.3.4.3.364 2009.07.06 - TrendMicro 8.950.0.1094 2009.07.07 - VBA32 3.12.10.7 2009.07.07 - ViRobot 2009.7.7.1821 2009.07.07 - VirusBuster 4.6.5.0 2009.07.06 - Information additionnelle File size: 195096 bytes MD5...: 2505566a4b34a3e990c51994fbcff57b SHA1..: f1693bd0d137a5129aa6d7755f1a36295f424b03 SHA256: 48603c12c2d28d0f907be046d61be423d1fb3c39442e0c78e85115b2aec63710 ssdeep: 3072:yUTfB9tAKzOewg5RpdO4DWN9LirnPPsNJpbu5TlJb9gttYllYlE/gbeI:nf
B9tACO5g5R+NUnOQ5N0
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xa46c
timedatestamp.....: 0x494890f7 (Wed Dec 17 05:41:11 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x21bba 0x22000 6.66 7f8f4d89bf7b7743abfa4d430bb98ef0
.rdata 0x23000 0x5c37 0x6000 5.57 eac788144b940d77ebb574e545feff04
.data 0x29000 0x2d8c 0x2000 1.56 79baa67a7eb8422d2646b3f7e354558e
.rsrc 0x2c000 0xa04 0x1000 4.17 1a01f9c2fcad969672bf5f97b7808ea5
.reloc 0x2d000 0x17fe 0x2000 5.67 97e89b1b6a6eadbb89e5404c8b2514b6

( 8 imports )
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> SETUPAPI.dll: SetupDiOpenClassRegKey, SetupDiGetDriverInfoDetailA, SetupDiGetSelectedDriverA, SetupCloseInfFile, SetupGetLineTextA, SetupOpenInfFileA, SetupDiGetDeviceRegistryPropertyA, SetupDiGetDeviceInstallParamsA, SetupDiOpenDevRegKey, SetupDiSetDeviceInstallParamsA, SetupFindFirstLineA, SetupGetStringFieldA, SetupGetSourceInfoA
> SHLWAPI.dll: SHDeleteValueA
> KERNEL32.dll: EnumSystemLocalesA, GetLocaleInfoA, GetUserDefaultLCID, GetDateFormatA, GetTimeFormatA, GetStringTypeW, CreateMutexA, CloseHandle, ReleaseMutex, WaitForMultipleObjectsEx, GetLastError, GetFileAttributesA, GetSystemDirectoryA, GetPrivateProfileStringA, GetVersionExA, CreateProcessA, GlobalFree, GetFullPathNameA, GlobalAlloc, lstrcmpiA, lstrcpynA, GetSystemWindowsDirectoryA, IsValidLocale, WaitForMultipleObjects, GetLocalTime, InterlockedDecrement, InterlockedIncrement, SetErrorMode, ExpandEnvironmentStringsA, SetEnvironmentVariableA, GetProcAddress, LoadLibraryA, GetPrivateProfileSectionA, GetWindowsDirectoryA, GetVersion, FindClose, FindNextFileA, FindFirstFileA, MoveFileA, DeleteFileA, CopyFileA, SetFileAttributesA, GetStringTypeA, InitializeCriticalSection, GetConsoleCP, GetConsoleMode, SetConsoleCtrlHandler, FreeLibrary, InterlockedExchange, SetStdHandle, FlushFileBuffers, CreateFileA, GetTimeZoneInformation, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, FormatMessageA, CompareStringW, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, CompareStringA, SetEndOfFile, GetLocaleInfoW, GetEnvironmentStringsW, HeapAlloc, HeapFree, GetCurrentThreadId, GetCommandLineA, GetProcessHeap, EnterCriticalSection, LeaveCriticalSection, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThread, LCMapStringA, WideCharToMultiByte, MultiByteToWideChar, LCMapStringW, FatalAppExitA, VirtualFree, VirtualAlloc, HeapReAlloc, HeapDestroy, HeapCreate, ExitProcess, WriteFile, GetModuleFileNameA, RtlUnwind, SetFilePointer, ReadFile, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, HeapSize
> USER32.dll: CharLowerA
> ADVAPI32.dll: RegEnumValueA, RegDeleteKeyA, RegCreateKeyExA, RegOpenKeyExA, RegEnumKeyA, RegQueryValueExA, RegDeleteValueA, RegCloseKey, RegSetValueExA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, RegOpenKeyA
> SHELL32.dll: ShellExecuteExA, SHGetSpecialFolderPathA, SHFileOperationA
> ole32.dll: CoFreeLibrary, CoUninitialize, CoInitialize

( 2 exports )
LvCoInstaller, SetupEntryPoint
PDFiD.: - RDS...: NSRL Reference Data Set
- Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.07.07 - AhnLab-V3 5.0.0.2 2009.07.06 - AntiVir 7.9.0.204 2009.07.07 - Antiy-AVL 2.0.3.1 2009.07.07 - Authentium 5.1.2.4 2009.07.07 - Avast 4.8.1335.0 2009.07.06 - AVG 8.5.0.386 2009.07.07 - BitDefender 7.2 2009.07.07 - CAT-QuickHeal 10.00 2009.07.07 - ClamAV 0.94.1 2009.07.06 - Comodo 1538 2009.07.02 - DrWeb 5.0.0.12182 2009.07.07 - eSafe 7.0.17.0 2009.07.06 - eTrust-Vet 31.6.6601 2009.07.07 - F-Prot 4.4.4.56 2009.07.06 - F-Secure 8.0.14470.0 2009.07.07 - Fortinet 3.117.0.0 2009.07.03 - GData 19 2009.07.07 - Ikarus T3.1.1.64.0 2009.07.07 - Jiangmin 11.0.706 2009.07.07 - K7AntiVirus 7.10.785 2009.07.06 - Kaspersky 7.0.0.125 2009.07.07 - McAfee 5668 2009.07.06 - McAfee+Artemis 5668 2009.07.06 - McAfee-GW-Edition 6.8.5 2009.07.07 - Microsoft 1.4803 2009.07.07 - NOD32 4221 2009.07.06 - Norman 6.01.09 2009.07.06 - nProtect 2009.1.8.0 2009.07.07 - Panda 10.0.0.14 2009.07.06 - PCTools 4.4.2.0 2009.07.06 - Prevx 3.0 2009.07.07 - Rising 21.37.12.00 2009.07.07 - Sophos 4.43.0 2009.07.07 - Sunbelt 3.2.1858.2 2009.07.07 - Symantec 1.4.4.12 2009.07.07 - TheHacker 6.3.4.3.364 2009.07.06 - TrendMicro 8.950.0.1094 2009.07.07 - VBA32 3.12.10.7 2009.07.07 - ViRobot 2009.7.7.1821 2009.07.07 - VirusBuster 4.6.5.0 2009.07.06 - Information additionnelle File size: 195096 bytes MD5...: 2505566a4b34a3e990c51994fbcff57b SHA1..: f1693bd0d137a5129aa6d7755f1a36295f424b03 SHA256: 48603c12c2d28d0f907be046d61be423d1fb3c39442e0c78e85115b2aec63710 ssdeep: 3072:yUTfB9tAKzOewg5RpdO4DWN9LirnPPsNJpbu5TlJb9gttYllYlE/gbeI:nf
B9tACO5g5R+NUnOQ5N0
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xa46c
timedatestamp.....: 0x494890f7 (Wed Dec 17 05:41:11 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x21bba 0x22000 6.66 7f8f4d89bf7b7743abfa4d430bb98ef0
.rdata 0x23000 0x5c37 0x6000 5.57 eac788144b940d77ebb574e545feff04
.data 0x29000 0x2d8c 0x2000 1.56 79baa67a7eb8422d2646b3f7e354558e
.rsrc 0x2c000 0xa04 0x1000 4.17 1a01f9c2fcad969672bf5f97b7808ea5
.reloc 0x2d000 0x17fe 0x2000 5.67 97e89b1b6a6eadbb89e5404c8b2514b6

( 8 imports )
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> SETUPAPI.dll: SetupDiOpenClassRegKey, SetupDiGetDriverInfoDetailA, SetupDiGetSelectedDriverA, SetupCloseInfFile, SetupGetLineTextA, SetupOpenInfFileA, SetupDiGetDeviceRegistryPropertyA, SetupDiGetDeviceInstallParamsA, SetupDiOpenDevRegKey, SetupDiSetDeviceInstallParamsA, SetupFindFirstLineA, SetupGetStringFieldA, SetupGetSourceInfoA
> SHLWAPI.dll: SHDeleteValueA
> KERNEL32.dll: EnumSystemLocalesA, GetLocaleInfoA, GetUserDefaultLCID, GetDateFormatA, GetTimeFormatA, GetStringTypeW, CreateMutexA, CloseHandle, ReleaseMutex, WaitForMultipleObjectsEx, GetLastError, GetFileAttributesA, GetSystemDirectoryA, GetPrivateProfileStringA, GetVersionExA, CreateProcessA, GlobalFree, GetFullPathNameA, GlobalAlloc, lstrcmpiA, lstrcpynA, GetSystemWindowsDirectoryA, IsValidLocale, WaitForMultipleObjects, GetLocalTime, InterlockedDecrement, InterlockedIncrement, SetErrorMode, ExpandEnvironmentStringsA, SetEnvironmentVariableA, GetProcAddress, LoadLibraryA, GetPrivateProfileSectionA, GetWindowsDirectoryA, GetVersion, FindClose, FindNextFileA, FindFirstFileA, MoveFileA, DeleteFileA, CopyFileA, SetFileAttributesA, GetStringTypeA, InitializeCriticalSection, GetConsoleCP, GetConsoleMode, SetConsoleCtrlHandler, FreeLibrary, InterlockedExchange, SetStdHandle, FlushFileBuffers, CreateFileA, GetTimeZoneInformation, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, FormatMessageA, CompareStringW, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, CompareStringA, SetEndOfFile, GetLocaleInfoW, GetEnvironmentStringsW, HeapAlloc, HeapFree, GetCurrentThreadId, GetCommandLineA, GetProcessHeap, EnterCriticalSection, LeaveCriticalSection, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThread, LCMapStringA, WideCharToMultiByte, MultiByteToWideChar, LCMapStringW, FatalAppExitA, VirtualFree, VirtualAlloc, HeapReAlloc, HeapDestroy, HeapCreate, ExitProcess, WriteFile, GetModuleFileNameA, RtlUnwind, SetFilePointer, ReadFile, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, HeapSize
> USER32.dll: CharLowerA
> ADVAPI32.dll: RegEnumValueA, RegDeleteKeyA, RegCreateKeyExA, RegOpenKeyExA, RegEnumKeyA, RegQueryValueExA, RegDeleteValueA, RegCloseKey, RegSetValueExA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, RegOpenKeyA
> SHELL32.dll: ShellExecuteExA, SHGetSpecialFolderPathA, SHFileOperationA
> ole32.dll: CoFreeLibrary, CoUninitialize, CoInitialize

( 2 exports )
LvCoInstaller, SetupEntryPoint
PDFiD.: - RDS...: NSRL Reference Data Set
- 2) Fichier ipsec6.exe reçu le 2009.07.07 10:43:12 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.07.07 - AhnLab-V3 5.0.0.2 2009.07.06 - AntiVir 7.9.0.204 2009.07.07 - Antiy-AVL 2.0.3.1 2009.07.07 Worm/Win32.Otwycal.gen Authentium 5.1.2.4 2009.07.07 - Avast 4.8.1335.0 2009.07.06 - AVG 8.5.0.386 2009.07.07 - BitDefender 7.2 2009.07.07 - CAT-QuickHeal 10.00 2009.07.07 - ClamAV 0.94.1 2009.07.06 - Comodo 1538 2009.07.02 - DrWeb 5.0.0.12182 2009.07.07 - eSafe 7.0.17.0 2009.07.06 - eTrust-Vet 31.6.6601 2009.07.07 - F-Prot 4.4.4.56 2009.07.06 - F-Secure 8.0.14470.0 2009.07.07 - Fortinet 3.117.0.0 2009.07.03 - GData 19 2009.07.07 - Ikarus T3.1.1.64.0 2009.07.07 - Jiangmin 11.0.706 2009.07.07 - K7AntiVirus 7.10.785 2009.07.06 - Kaspersky 7.0.0.125 2009.07.07 - McAfee 5668 2009.07.06 - McAfee+Artemis 5668 2009.07.06 - McAfee-GW-Edition 6.8.5 2009.07.07 - Microsoft 1.4803 2009.07.07 - NOD32 4221 2009.07.06 - Norman 6.01.09 2009.07.06 - nProtect 2009.1.8.0 2009.07.07 - Panda 10.0.0.14 2009.07.06 - PCTools 4.4.2.0 2009.07.06 - Prevx 3.0 2009.07.07 - Rising 21.37.12.00 2009.07.07 - Sophos 4.43.0 2009.07.07 - Sunbelt 3.2.1858.2 2009.07.07 - Symantec 1.4.4.12 2009.07.07 - TheHacker 6.3.4.3.364 2009.07.06 - TrendMicro 8.950.0.1094 2009.07.07 - VBA32 3.12.10.7 2009.07.07 - ViRobot 2009.7.7.1821 2009.07.07 - VirusBuster 4.6.5.0 2009.07.06 - Information additionnelle File size: 46080 bytes MD5...: 61a8b3012e28c8e8ac5d5fa8ef084738 SHA1..: 61efeb4a7d3705daecc0ae729183b479bb80d10b SHA256: e390a2e4476f3e9d273b8e63641f917a26a298eab208e5b9bb7a7ca8a28d4483 ssdeep: 768:l/Dv3iDR916L0TvKK0OYdT74/lK2FpYMkfDpI1NCugsVck5R7:xPi1916wvN
e7OK2FpYMkfG10ug6cG7
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3d63
timedatestamp.....: 0x3b7d8531 (Fri Aug 17 20:57:21 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8024 0x8200 6.58 75124744eafbde3e2cc06137cf66fda1
.data 0xa000 0x2cdc 0x800 1.68 ccae1f14d8f3485bf2148330a9265311
.rsrc 0xd000 0x249c 0x2600 3.59 afe28b7ea6492410c8288bb304fd415c

( 3 imports )
> KERNEL32.dll: FormatMessageW, GetLastError, DeviceIoControl, CreateFileW, GetModuleHandleA, GetCommandLineA, GetVersionExA, ExitProcess, GetProcAddress, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LCMapStringA, MultiByteToWideChar, LCMapStringW, CloseHandle, ReadFile, HeapAlloc, LoadLibraryA, GetACP, GetOEMCP, GetCPInfo, VirtualAlloc, HeapReAlloc, GetLocaleInfoA, VirtualProtect, GetSystemInfo, VirtualQuery, GetStringTypeA, GetStringTypeW, SetStdHandle, FlushFileBuffers, SetFilePointer, CreateFileA, RtlUnwind, SetEndOfFile, GetProcessHeap, FormatMessageA, LocalFree
> WS2_32.dll: freeaddrinfo, -, WSAAddressToStringA, getaddrinfo, getnameinfo
> USER32.dll: CharToOemBuffA

( 0 exports )
PDFiD.: - RDS...: NSRL Reference Data Set

( Microsoft )

> MSDN Disc 2041: ipsec6.exe
> MSDN Disc 2307: ipsec6.exe
> MSDN Disc 3264: ipsec6.exe
> Platforms, SDK/DDK: ipsec6.exe
> Windows XP Home Edition: ipsec6.exe
> MSDN Disc 2439.3: ipsec6.exe
> MSDN Disc 2439.2: ipsec6.exe
> MSDN Disc 2439.1: ipsec6.exe
> MSDN Disc 2439.7: ipsec6.exe
> MSDN Disc 2439.6: ipsec6.exe
> MSDN Disc 2439: ipsec6.exe
> MSDN Disc 2439.8: ipsec6.exe
> Applications, Platforms, Servers: ipsec6.exe

Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.07.07 - AhnLab-V3 5.0.0.2 2009.07.06 - AntiVir 7.9.0.204 2009.07.07 - Antiy-AVL 2.0.3.1 2009.07.07 Worm/Win32.Otwycal.gen Authentium 5.1.2.4 2009.07.07 - Avast 4.8.1335.0 2009.07.06 - AVG 8.5.0.386 2009.07.07 - BitDefender 7.2 2009.07.07 - CAT-QuickHeal 10.00 2009.07.07 - ClamAV 0.94.1 2009.07.06 - Comodo 1538 2009.07.02 - DrWeb 5.0.0.12182 2009.07.07 - eSafe 7.0.17.0 2009.07.06 - eTrust-Vet 31.6.6601 2009.07.07 - F-Prot 4.4.4.56 2009.07.06 - F-Secure 8.0.14470.0 2009.07.07 - Fortinet 3.117.0.0 2009.07.03 - GData 19 2009.07.07 - Ikarus T3.1.1.64.0 2009.07.07 - Jiangmin 11.0.706 2009.07.07 - K7AntiVirus 7.10.785 2009.07.06 - Kaspersky 7.0.0.125 2009.07.07 - McAfee 5668 2009.07.06 - McAfee+Artemis 5668 2009.07.06 - McAfee-GW-Edition 6.8.5 2009.07.07 - Microsoft 1.4803 2009.07.07 - NOD32 4221 2009.07.06 - Norman 6.01.09 2009.07.06 - nProtect 2009.1.8.0 2009.07.07 - Panda 10.0.0.14 2009.07.06 - PCTools 4.4.2.0 2009.07.06 - Prevx 3.0 2009.07.07 - Rising 21.37.12.00 2009.07.07 - Sophos 4.43.0 2009.07.07 - Sunbelt 3.2.1858.2 2009.07.07 - Symantec 1.4.4.12 2009.07.07 - TheHacker 6.3.4.3.364 2009.07.06 - TrendMicro 8.950.0.1094 2009.07.07 - VBA32 3.12.10.7 2009.07.07 - ViRobot 2009.7.7.1821 2009.07.07 - VirusBuster 4.6.5.0 2009.07.06 - Information additionnelle File size: 46080 bytes MD5...: 61a8b3012e28c8e8ac5d5fa8ef084738 SHA1..: 61efeb4a7d3705daecc0ae729183b479bb80d10b SHA256: e390a2e4476f3e9d273b8e63641f917a26a298eab208e5b9bb7a7ca8a28d4483 ssdeep: 768:l/Dv3iDR916L0TvKK0OYdT74/lK2FpYMkfDpI1NCugsVck5R7:xPi1916wvN
e7OK2FpYMkfG10ug6cG7
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3d63
timedatestamp.....: 0x3b7d8531 (Fri Aug 17 20:57:21 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8024 0x8200 6.58 75124744eafbde3e2cc06137cf66fda1
.data 0xa000 0x2cdc 0x800 1.68 ccae1f14d8f3485bf2148330a9265311
.rsrc 0xd000 0x249c 0x2600 3.59 afe28b7ea6492410c8288bb304fd415c

( 3 imports )
> KERNEL32.dll: FormatMessageW, GetLastError, DeviceIoControl, CreateFileW, GetModuleHandleA, GetCommandLineA, GetVersionExA, ExitProcess, GetProcAddress, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LCMapStringA, MultiByteToWideChar, LCMapStringW, CloseHandle, ReadFile, HeapAlloc, LoadLibraryA, GetACP, GetOEMCP, GetCPInfo, VirtualAlloc, HeapReAlloc, GetLocaleInfoA, VirtualProtect, GetSystemInfo, VirtualQuery, GetStringTypeA, GetStringTypeW, SetStdHandle, FlushFileBuffers, SetFilePointer, CreateFileA, RtlUnwind, SetEndOfFile, GetProcessHeap, FormatMessageA, LocalFree
> WS2_32.dll: freeaddrinfo, -, WSAAddressToStringA, getaddrinfo, getnameinfo
> USER32.dll: CharToOemBuffA

( 0 exports )
PDFiD.: - RDS...: NSRL Reference Data Set

( Microsoft )

> MSDN Disc 2041: ipsec6.exe
> MSDN Disc 2307: ipsec6.exe
> MSDN Disc 3264: ipsec6.exe
> Platforms, SDK/DDK: ipsec6.exe
> Windows XP Home Edition: ipsec6.exe
> MSDN Disc 2439.3: ipsec6.exe
> MSDN Disc 2439.2: ipsec6.exe
> MSDN Disc 2439.1: ipsec6.exe
> MSDN Disc 2439.7: ipsec6.exe
> MSDN Disc 2439.6: ipsec6.exe
> MSDN Disc 2439: ipsec6.exe
> MSDN Disc 2439.8: ipsec6.exe
> Applications, Platforms, Servers: ipsec6.exe

3) Fichier esentutl.exe reçu le 2009.07.07 10:52:45 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.07.07 - AhnLab-V3 5.0.0.2 2009.07.06 - AntiVir 7.9.0.204 2009.07.07 - Antiy-AVL 2.0.3.1 2009.07.07 - Authentium 5.1.2.4 2009.07.07 - Avast 4.8.1335.0 2009.07.06 - AVG 8.5.0.386 2009.07.07 - BitDefender 7.2 2009.07.07 - CAT-QuickHeal 10.00 2009.07.07 - ClamAV 0.94.1 2009.07.06 - Comodo 1538 2009.07.02 - DrWeb 5.0.0.12182 2009.07.07 - eSafe 7.0.17.0 2009.07.06 - eTrust-Vet 31.6.6601 2009.07.07 - F-Prot 4.4.4.56 2009.07.06 - F-Secure 8.0.14470.0 2009.07.07 - Fortinet 3.117.0.0 2009.07.03 - GData 19 2009.07.07 - Ikarus T3.1.1.64.0 2009.07.07 - Jiangmin 11.0.706 2009.07.07 - K7AntiVirus 7.10.785 2009.07.06 - Kaspersky 7.0.0.125 2009.07.07 - McAfee 5668 2009.07.06 - McAfee+Artemis 5668 2009.07.06 - McAfee-GW-Edition 6.8.5 2009.07.07 - Microsoft 1.4803 2009.07.07 - NOD32 4221 2009.07.06 - Norman 6.01.09 2009.07.06 - nProtect 2009.1.8.0 2009.07.07 - Panda 10.0.0.14 2009.07.06 - PCTools 4.4.2.0 2009.07.06 - Prevx 3.0 2009.07.07 - Rising 21.37.12.00 2009.07.07 - Sophos 4.43.0 2009.07.07 - Sunbelt 3.2.1858.2 2009.07.07 - Symantec 1.4.4.12 2009.07.07 - TheHacker 6.3.4.3.364 2009.07.06 - TrendMicro 8.950.0.1094 2009.07.07 - VBA32 3.12.10.7 2009.07.07 - ViRobot 2009.7.7.1821 2009.07.07 - VirusBuster 4.6.5.0 2009.07.06 - Information additionnelle File size: 39424 bytes MD5...: 6c03c3a8381ba7e87f4528826f5120bc SHA1..: 2ce272494eb624f4b7f5bda374aab75acea52b12 SHA256: 7afa8ecce1b75f8cffea4202df1bf82d48a38d58af7eacde1b70c4d6d21e8570 ssdeep: 768:BmSyByyBbcGtRe3NeLsSAgswe+uECdqHxWm+8NO1SJjhwYZ5fG:IJyyBbcGt
PK+uNd8UIMyG
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8883
timedatestamp.....: 0x3b7d84ad (Fri Aug 17 20:55:09 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8b6a 0x8c00 6.19 f93f9024d511150296c432a8c797e844
.data 0xa000 0x5458 0x200 0.83 c9c7d247a2529a1a83cf22232333757a
.rsrc 0x10000 0x760 0x800 3.20 efadf3bf4365e8376b2edfa90463ee7c

( 5 imports )
> msvcrt.dll: _except_handler3, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __initenv, _cexit, _XcptFilter, _exit, _c_exit, _strupr, fwprintf, _iob, iswascii, atoi, atol, swprintf, _wctime, wprintf, wcslen, wcscpy, strchr, _fullpath, _strcmpi, _splitpath, _makepath, _getch, sprintf, exit, printf, _mbsnbcpy
> ADVAPI32.dll: OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges
> KERNEL32.dll: SetEvent, ReadFile, InterlockedIncrement, SetThreadAffinityMask, GetCurrentThread, GetSystemInfo, GetQueuedCompletionStatus, SetThreadPriorityBoost, VirtualFree, WaitForSingleObjectEx, CreateEventW, VirtualAlloc, GetFileSize, GetCurrentProcessId, GetComputerNameA, FreeLibrary, CreateThread, CreateIoCompletionPort, CreateFileW, MoveFileExA, GetProcAddress, LoadLibraryExA, GetLastError, FormatMessageA, GetTickCount, GetModuleHandleA, CopyFileA, MoveFileA, DeleteFileA, FormatMessageW, FindClose, FindFirstFileA, CloseHandle, GetCurrentProcess, MultiByteToWideChar, LocalFree, LocalAlloc, LoadLibraryA
> USER32.dll: MessageBoxA
> ESENT.dll: JetDBUtilities, JetBackup, JetRestore2, JetEndSession, JetDetachDatabase, JetBeginSession, JetCompact, JetGetSystemParameter, JetSetSystemParameter, JetTerm2, JetInit2, JetInit, JetGetDatabaseFileInfo

( 0 exports )
PDFiD.: - RDS...: NSRL Reference Data Set

( Microsoft )

> MSDN Disc 2041: esentutl.exe
> MSDN Disc 2307: esentutl.exe
> MSDN Disc 3264: esentutl.exe
> Platforms, SDK/DDK: esentutl.exe
> Windows XP Home Edition: esentutl.exe
> MSDN Disc 2439.3: esentutl.exe
> MSDN Disc 2439.2: esentutl.exe
> MSDN Disc 2439.1: esentutl.exe
> MSDN Disc 2439.7: esentutl.exe
> MSDN Disc 2439.6: esentutl.exe
> MSDN Disc 2439: esentutl.exe
> MSDN Disc 2439.8: esentutl.exe
> Applications, Platforms, Servers: esentutl.exe

Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.07.07 - AhnLab-V3 5.0.0.2 2009.07.06 - AntiVir 7.9.0.204 2009.07.07 - Antiy-AVL 2.0.3.1 2009.07.07 - Authentium 5.1.2.4 2009.07.07 - Avast 4.8.1335.0 2009.07.06 - AVG 8.5.0.386 2009.07.07 - BitDefender 7.2 2009.07.07 - CAT-QuickHeal 10.00 2009.07.07 - ClamAV 0.94.1 2009.07.06 - Comodo 1538 2009.07.02 - DrWeb 5.0.0.12182 2009.07.07 - eSafe 7.0.17.0 2009.07.06 - eTrust-Vet 31.6.6601 2009.07.07 - F-Prot 4.4.4.56 2009.07.06 - F-Secure 8.0.14470.0 2009.07.07 - Fortinet 3.117.0.0 2009.07.03 - GData 19 2009.07.07 - Ikarus T3.1.1.64.0 2009.07.07 - Jiangmin 11.0.706 2009.07.07 - K7AntiVirus 7.10.785 2009.07.06 - Kaspersky 7.0.0.125 2009.07.07 - McAfee 5668 2009.07.06 - McAfee+Artemis 5668 2009.07.06 - McAfee-GW-Edition 6.8.5 2009.07.07 - Microsoft 1.4803 2009.07.07 - NOD32 4221 2009.07.06 - Norman 6.01.09 2009.07.06 - nProtect 2009.1.8.0 2009.07.07 - Panda 10.0.0.14 2009.07.06 - PCTools 4.4.2.0 2009.07.06 - Prevx 3.0 2009.07.07 - Rising 21.37.12.00 2009.07.07 - Sophos 4.43.0 2009.07.07 - Sunbelt 3.2.1858.2 2009.07.07 - Symantec 1.4.4.12 2009.07.07 - TheHacker 6.3.4.3.364 2009.07.06 - TrendMicro 8.950.0.1094 2009.07.07 - VBA32 3.12.10.7 2009.07.07 - ViRobot 2009.7.7.1821 2009.07.07 - VirusBuster 4.6.5.0 2009.07.06 - Information additionnelle File size: 39424 bytes MD5...: 6c03c3a8381ba7e87f4528826f5120bc SHA1..: 2ce272494eb624f4b7f5bda374aab75acea52b12 SHA256: 7afa8ecce1b75f8cffea4202df1bf82d48a38d58af7eacde1b70c4d6d21e8570 ssdeep: 768:BmSyByyBbcGtRe3NeLsSAgswe+uECdqHxWm+8NO1SJjhwYZ5fG:IJyyBbcGt
PK+uNd8UIMyG
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8883
timedatestamp.....: 0x3b7d84ad (Fri Aug 17 20:55:09 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8b6a 0x8c00 6.19 f93f9024d511150296c432a8c797e844
.data 0xa000 0x5458 0x200 0.83 c9c7d247a2529a1a83cf22232333757a
.rsrc 0x10000 0x760 0x800 3.20 efadf3bf4365e8376b2edfa90463ee7c

( 5 imports )
> msvcrt.dll: _except_handler3, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __initenv, _cexit, _XcptFilter, _exit, _c_exit, _strupr, fwprintf, _iob, iswascii, atoi, atol, swprintf, _wctime, wprintf, wcslen, wcscpy, strchr, _fullpath, _strcmpi, _splitpath, _makepath, _getch, sprintf, exit, printf, _mbsnbcpy
> ADVAPI32.dll: OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges
> KERNEL32.dll: SetEvent, ReadFile, InterlockedIncrement, SetThreadAffinityMask, GetCurrentThread, GetSystemInfo, GetQueuedCompletionStatus, SetThreadPriorityBoost, VirtualFree, WaitForSingleObjectEx, CreateEventW, VirtualAlloc, GetFileSize, GetCurrentProcessId, GetComputerNameA, FreeLibrary, CreateThread, CreateIoCompletionPort, CreateFileW, MoveFileExA, GetProcAddress, LoadLibraryExA, GetLastError, FormatMessageA, GetTickCount, GetModuleHandleA, CopyFileA, MoveFileA, DeleteFileA, FormatMessageW, FindClose, FindFirstFileA, CloseHandle, GetCurrentProcess, MultiByteToWideChar, LocalFree, LocalAlloc, LoadLibraryA
> USER32.dll: MessageBoxA
> ESENT.dll: JetDBUtilities, JetBackup, JetRestore2, JetEndSession, JetDetachDatabase, JetBeginSession, JetCompact, JetGetSystemParameter, JetSetSystemParameter, JetTerm2, JetInit2, JetInit, JetGetDatabaseFileInfo

( 0 exports )
PDFiD.: - RDS...: NSRL Reference Data Set

( Microsoft )

> MSDN Disc 2041: esentutl.exe
> MSDN Disc 2307: esentutl.exe
> MSDN Disc 3264: esentutl.exe
> Platforms, SDK/DDK: esentutl.exe
> Windows XP Home Edition: esentutl.exe
> MSDN Disc 2439.3: esentutl.exe
> MSDN Disc 2439.2: esentutl.exe
> MSDN Disc 2439.1: esentutl.exe
> MSDN Disc 2439.7: esentutl.exe
> MSDN Disc 2439.6: esentutl.exe
> MSDN Disc 2439: esentutl.exe
> MSDN Disc 2439.8: esentutl.exe
> Applications, Platforms, Servers: esentutl.exe

4) Fichier mstsc.exe reçu le 2009.07.07 10:54:59 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.07.07 - AhnLab-V3 5.0.0.2 2009.07.06 - AntiVir 7.9.0.204 2009.07.07 - Antiy-AVL 2.0.3.1 2009.07.07 - Authentium 5.1.2.4 2009.07.07 - Avast 4.8.1335.0 2009.07.06 - AVG 8.5.0.386 2009.07.07 - BitDefender 7.2 2009.07.07 - CAT-QuickHeal 10.00 2009.07.07 - ClamAV 0.94.1 2009.07.06 - Comodo 1538 2009.07.02 - DrWeb 5.0.0.12182 2009.07.07 - eSafe 7.0.17.0 2009.07.06 - eTrust-Vet 31.6.6601 2009.07.07 - F-Prot 4.4.4.56 2009.07.06 - F-Secure 8.0.14470.0 2009.07.07 - Fortinet 3.117.0.0 2009.07.03 - GData 19 2009.07.07 - Ikarus T3.1.1.64.0 2009.07.07 - Jiangmin 11.0.706 2009.07.07 - K7AntiVirus 7.10.785 2009.07.06 - Kaspersky 7.0.0.125 2009.07.07 - McAfee 5668 2009.07.06 - McAfee+Artemis 5668 2009.07.06 - McAfee-GW-Edition 6.8.5 2009.07.07 - Microsoft 1.4803 2009.07.07 - NOD32 4221 2009.07.06 - Norman 6.01.09 2009.07.06 - nProtect 2009.1.8.0 2009.07.07 - Panda 10.0.0.14 2009.07.06 - PCTools 4.4.2.0 2009.07.06 - Prevx 3.0 2009.07.07 - Rising 21.37.12.00 2009.07.07 - Sophos 4.43.0 2009.07.07 - Sunbelt 3.2.1858.2 2009.07.07 - Symantec 1.4.4.12 2009.07.07 - TheHacker 6.3.4.3.364 2009.07.06 - TrendMicro 8.950.0.1094 2009.07.07 - VBA32 3.12.10.7 2009.07.07 - ViRobot 2009.7.7.1821 2009.07.07 - VirusBuster 4.6.5.0 2009.07.06 - Information additionnelle File size: 411648 bytes MD5...: 72d638651bad29eb0a50dd7a359375b9 SHA1..: 0e9e4a8fa1f58366ebfd1b7b2beb813016a95404 SHA256: 5a6aa805c8cc1c04f63a3e554a416615216b5ea0ac240c5fdab3814c9b79ee68 ssdeep: 6144:BCNbLqcVTpwikcpFaTIXluqmO5MpODEmthwTY:B2LzVTpwr2FuqmO5MpODE
mrwTY
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x14026
timedatestamp.....: 0x41107b35 (Wed Aug 04 05:59:17 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x25d24 0x25e00 6.46 05d37b8e59c8be0a133e5042be798737
.data 0x27000 0x3a34 0x1c00 2.29 071891ff7ee1c00f896e7693113ca4b8
.rsrc 0x2b000 0x3c834 0x3ca00 6.30 acd25f24f40c429a99feb8539d70e010

( 10 imports )
> ADVAPI32.dll: RegCloseKey, RegSetValueExW, RegQueryValueExW, RegOpenKeyExW, RegOpenKeyExA, RegEnumValueW, RegEnumValueA, RegEnumKeyExW, RegEnumKeyExA, RegDeleteValueW, RegDeleteValueA, RegCreateKeyExW, GetUserNameW, RegSetValueExA, RegQueryValueExA, RegCreateKeyExA, GetUserNameA
> KERNEL32.dll: FlushFileBuffers, ExitProcess, SetStdHandle, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, SetFilePointer, InterlockedExchange, RtlUnwind, IsBadWritePtr, HeapReAlloc, VirtualAlloc, InitializeCriticalSection, GetCPInfo, GetOEMCP, LoadLibraryA, EnterCriticalSection, LeaveCriticalSection, VirtualQuery, GetSystemInfo, VirtualProtect, LCMapStringW, LCMapStringA, HeapAlloc, HeapFree, VirtualFree, HeapCreate, HeapDestroy, TlsAlloc, TlsGetValue, TlsSetValue, TlsFree, DeleteCriticalSection, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, lstrcpynA, GetVersionExW, GetModuleFileNameA, GetStdHandle, GetCommandLineA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetCommandLineW, ReadFile, WriteFile, WideCharToMultiByte, SetLastError, GetACP, CreateThread, SetEvent, LocalAlloc, lstrlenA, LoadResource, LockResource, LocalFree, CloseHandle, GetLastError, InterlockedDecrement, FreeLibrary, InterlockedIncrement, GetStartupInfoA, DebugBreak, GetCurrentProcess, TerminateProcess, MultiByteToWideChar, GetProcAddress, GetVersionExA, GetModuleHandleA, GetComputerNameA, GetDiskFreeSpaceA, GlobalMemoryStatus, GetLocalTime, GetModuleHandleW, lstrlenW, GetProcessHeap, WaitForSingleObject, CreateDirectoryA, CreateDirectoryW, CreateEventA, CreateEventW, CreateFileA, CreateFileW, FindResourceA, FindResourceW, FormatMessageA, FormatMessageW, GetCurrentDirectoryA, GetCurrentDirectoryW, GetFileAttributesA, GetFileAttributesW, ExpandEnvironmentStringsA, ExpandEnvironmentStringsW, LoadLibraryW
> GDI32.dll: CreateFontIndirectA, CreateFontIndirectW, GetObjectA, GetObjectW, GetDIBColorTable, UpdateColors, StretchBlt, CreatePalette, CreateCompatibleBitmap, CreateSolidBrush, SetTextColor, SetBkMode, SetMapMode, SelectPalette, RealizePalette, TranslateCharsetInfo, CreateCompatibleDC, SelectObject, BitBlt, DeleteDC, GetDeviceCaps, GetStockObject, CreateRectRgn, CreateRectRgnIndirect, DeleteObject, SetRectRgn, GetDCOrgEx, GetClipBox, CombineRgn, EqualRgn
> USER32.dll: TranslateMessage, GetWindowDC, MapDialogRect, GetWindow, FillRect, CheckDlgButton, IsDlgButtonChecked, BeginPaint, DrawIcon, EndPaint, EndDialog, MapWindowPoints, GetDesktopWindow, GetDC, ReleaseDC, GetDlgItem, EnableWindow, SetRect, LockWindowUpdate, SetFocus, SetWindowPlacement, SetWindowPos, GetClientRect, MoveWindow, EqualRect, CopyRect, IsWindowVisible, InvalidateRect, UpdateWindow, EnableMenuItem, ShowWindow, SetForegroundWindow, AdjustWindowRect, IsZoomed, SetCursor, GetSystemMenu, CreateMenu, IsWindow, PostQuitMessage, OffsetRect, IntersectRect, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetMessageTime, GetCursorPos, CreateDialogIndirectParamA, CreateDialogIndirectParamW, CreateDialogParamA, CreateDialogParamW, CreateWindowExA, CreateWindowExW, DefWindowProcA, DefWindowProcW, DialogBoxParamA, DialogBoxParamW, DispatchMessageA, DispatchMessageW, DrawTextA, DrawTextW, GetDlgItemTextA, GetDlgItemTextW, GetMessageA, GetMessageW, MessageBoxA, MessageBoxW, GetWindowLongA, GetWindowLongW, InsertMenuA, InsertMenuW, IsDialogMessageA, IsDialogMessageW, LoadAcceleratorsA, LoadAcceleratorsW, LoadCursorA, LoadCursorW, LoadIconA, LoadIconW, LoadImageA, LoadImageW, LoadStringW, ModifyMenuA, ModifyMenuW, PostMessageA, PostMessageW, SendMessageA, SendMessageW, SetDlgItemTextA, SetDlgItemTextW, SetWindowLongA, SetWindowLongW, SetWindowTextA, SetWindowTextW, TranslateAcceleratorA, TranslateAcceleratorW, RegisterClassExA, RegisterClassExW, SendDlgItemMessageW, DestroyIcon, SetTimer, KillTimer, DestroyWindow, GetSystemMetrics, GetWindowRect
> SHELL32.dll: SHGetDesktopFolder, SHGetMalloc, SHGetPathFromIDListA, ExtractIconW, ExtractIconA, SHGetSpecialFolderLocation
> ole32.dll: CoTaskMemAlloc, CoCreateInstance, CoInitialize, CoUninitialize, CoTaskMemFree
> OLEAUT32.dll: -, -
> COMCTL32.dll: ImageList_Create, InitCommonControlsEx, ImageList_GetImageCount, ImageList_ReplaceIcon
> WSOCK32.dll: -, -, -
> comdlg32.dll: GetFileTitleW, GetSaveFileNameW, GetOpenFileNameA, GetSaveFileNameA, GetFileTitleA, GetOpenFileNameW

( 0 exports )
PDFiD.: - RDS...: NSRL Reference Data Set

( Microsoft )

> MSDN Disc 2439.8: mstsc.exe
> MSDN Disc 2439.7: mstsc.exe
> MSDN Disc 2439.6: mstsc.exe

ThreatExpert info: https://www.symantec.com?md5=72d638651bad29eb0a50dd7a359375b9 Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.07.07 - AhnLab-V3 5.0.0.2 2009.07.06 - AntiVir 7.9.0.204 2009.07.07 - Antiy-AVL 2.0.3.1 2009.07.07 - Authentium 5.1.2.4 2009.07.07 - Avast 4.8.1335.0 2009.07.06 - AVG 8.5.0.386 2009.07.07 - BitDefender 7.2 2009.07.07 - CAT-QuickHeal 10.00 2009.07.07 - ClamAV 0.94.1 2009.07.06 - Comodo 1538 2009.07.02 - DrWeb 5.0.0.12182 2009.07.07 - eSafe 7.0.17.0 2009.07.06 - eTrust-Vet 31.6.6601 2009.07.07 - F-Prot 4.4.4.56 2009.07.06 - F-Secure 8.0.14470.0 2009.07.07 - Fortinet 3.117.0.0 2009.07.03 - GData 19 2009.07.07 - Ikarus T3.1.1.64.0 2009.07.07 - Jiangmin 11.0.706 2009.07.07 - K7AntiVirus 7.10.785 2009.07.06 - Kaspersky 7.0.0.125 2009.07.07 - McAfee 5668 2009.07.06 - McAfee+Artemis 5668 2009.07.06 - McAfee-GW-Edition 6.8.5 2009.07.07 - Microsoft 1.4803 2009.07.07 - NOD32 4221 2009.07.06 - Norman 6.01.09 2009.07.06 - nProtect 2009.1.8.0 2009.07.07 - Panda 10.0.0.14 2009.07.06 - PCTools 4.4.2.0 2009.07.06 - Prevx 3.0 2009.07.07 - Rising 21.37.12.00 2009.07.07 - Sophos 4.43.0 2009.07.07 - Sunbelt 3.2.1858.2 2009.07.07 - Symantec 1.4.4.12 2009.07.07 - TheHacker 6.3.4.3.364 2009.07.06 - TrendMicro 8.950.0.1094 2009.07.07 - VBA32 3.12.10.7 2009.07.07 - ViRobot 2009.7.7.1821 2009.07.07 - VirusBuster 4.6.5.0 2009.07.06 - Information additionnelle File size: 411648 bytes MD5...: 72d638651bad29eb0a50dd7a359375b9 SHA1..: 0e9e4a8fa1f58366ebfd1b7b2beb813016a95404 SHA256: 5a6aa805c8cc1c04f63a3e554a416615216b5ea0ac240c5fdab3814c9b79ee68 ssdeep: 6144:BCNbLqcVTpwikcpFaTIXluqmO5MpODEmthwTY:B2LzVTpwr2FuqmO5MpODE
mrwTY
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x14026
timedatestamp.....: 0x41107b35 (Wed Aug 04 05:59:17 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x25d24 0x25e00 6.46 05d37b8e59c8be0a133e5042be798737
.data 0x27000 0x3a34 0x1c00 2.29 071891ff7ee1c00f896e7693113ca4b8
.rsrc 0x2b000 0x3c834 0x3ca00 6.30 acd25f24f40c429a99feb8539d70e010

( 10 imports )
> ADVAPI32.dll: RegCloseKey, RegSetValueExW, RegQueryValueExW, RegOpenKeyExW, RegOpenKeyExA, RegEnumValueW, RegEnumValueA, RegEnumKeyExW, RegEnumKeyExA, RegDeleteValueW, RegDeleteValueA, RegCreateKeyExW, GetUserNameW, RegSetValueExA, RegQueryValueExA, RegCreateKeyExA, GetUserNameA
> KERNEL32.dll: FlushFileBuffers, ExitProcess, SetStdHandle, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, SetFilePointer, InterlockedExchange, RtlUnwind, IsBadWritePtr, HeapReAlloc, VirtualAlloc, InitializeCriticalSection, GetCPInfo, GetOEMCP, LoadLibraryA, EnterCriticalSection, LeaveCriticalSection, VirtualQuery, GetSystemInfo, VirtualProtect, LCMapStringW, LCMapStringA, HeapAlloc, HeapFree, VirtualFree, HeapCreate, HeapDestroy, TlsAlloc, TlsGetValue, TlsSetValue, TlsFree, DeleteCriticalSection, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, lstrcpynA, GetVersionExW, GetModuleFileNameA, GetStdHandle, GetCommandLineA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetCommandLineW, ReadFile, WriteFile, WideCharToMultiByte, SetLastError, GetACP, CreateThread, SetEvent, LocalAlloc, lstrlenA, LoadResource, LockResource, LocalFree, CloseHandle, GetLastError, InterlockedDecrement, FreeLibrary, InterlockedIncrement, GetStartupInfoA, DebugBreak, GetCurrentProcess, TerminateProcess, MultiByteToWideChar, GetProcAddress, GetVersionExA, GetModuleHandleA, GetComputerNameA, GetDiskFreeSpaceA, GlobalMemoryStatus, GetLocalTime, GetModuleHandleW, lstrlenW, GetProcessHeap, WaitForSingleObject, CreateDirectoryA, CreateDirectoryW, CreateEventA, CreateEventW, CreateFileA, CreateFileW, FindResourceA, FindResourceW, FormatMessageA, FormatMessageW, GetCurrentDirectoryA, GetCurrentDirectoryW, GetFileAttributesA, GetFileAttributesW, ExpandEnvironmentStringsA, ExpandEnvironmentStringsW, LoadLibraryW
> GDI32.dll: CreateFontIndirectA, CreateFontIndirectW, GetObjectA, GetObjectW, GetDIBColorTable, UpdateColors, StretchBlt, CreatePalette, CreateCompatibleBitmap, CreateSolidBrush, SetTextColor, SetBkMode, SetMapMode, SelectPalette, RealizePalette, TranslateCharsetInfo, CreateCompatibleDC, SelectObject, BitBlt, DeleteDC, GetDeviceCaps, GetStockObject, CreateRectRgn, CreateRectRgnIndirect, DeleteObject, SetRectRgn, GetDCOrgEx, GetClipBox, CombineRgn, EqualRgn
> USER32.dll: TranslateMessage, GetWindowDC, MapDialogRect, GetWindow, FillRect, CheckDlgButton, IsDlgButtonChecked, BeginPaint, DrawIcon, EndPaint, EndDialog, MapWindowPoints, GetDesktopWindow, GetDC, ReleaseDC, GetDlgItem, EnableWindow, SetRect, LockWindowUpdate, SetFocus, SetWindowPlacement, SetWindowPos, GetClientRect, MoveWindow, EqualRect, CopyRect, IsWindowVisible, InvalidateRect, UpdateWindow, EnableMenuItem, ShowWindow, SetForegroundWindow, AdjustWindowRect, IsZoomed, SetCursor, GetSystemMenu, CreateMenu, IsWindow, PostQuitMessage, OffsetRect, IntersectRect, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetMessageTime, GetCursorPos, CreateDialogIndirectParamA, CreateDialogIndirectParamW, CreateDialogParamA, CreateDialogParamW, CreateWindowExA, CreateWindowExW, DefWindowProcA, DefWindowProcW, DialogBoxParamA, DialogBoxParamW, DispatchMessageA, DispatchMessageW, DrawTextA, DrawTextW, GetDlgItemTextA, GetDlgItemTextW, GetMessageA, GetMessageW, MessageBoxA, MessageBoxW, GetWindowLongA, GetWindowLongW, InsertMenuA, InsertMenuW, IsDialogMessageA, IsDialogMessageW, LoadAcceleratorsA, LoadAcceleratorsW, LoadCursorA, LoadCursorW, LoadIconA, LoadIconW, LoadImageA, LoadImageW, LoadStringW, ModifyMenuA, ModifyMenuW, PostMessageA, PostMessageW, SendMessageA, SendMessageW, SetDlgItemTextA, SetDlgItemTextW, SetWindowLongA, SetWindowLongW, SetWindowTextA, SetWindowTextW, TranslateAcceleratorA, TranslateAcceleratorW, RegisterClassExA, RegisterClassExW, SendDlgItemMessageW, DestroyIcon, SetTimer, KillTimer, DestroyWindow, GetSystemMetrics, GetWindowRect
> SHELL32.dll: SHGetDesktopFolder, SHGetMalloc, SHGetPathFromIDListA, ExtractIconW, ExtractIconA, SHGetSpecialFolderLocation
> ole32.dll: CoTaskMemAlloc, CoCreateInstance, CoInitialize, CoUninitialize, CoTaskMemFree
> OLEAUT32.dll: -, -
> COMCTL32.dll: ImageList_Create, InitCommonControlsEx, ImageList_GetImageCount, ImageList_ReplaceIcon
> WSOCK32.dll: -, -, -
> comdlg32.dll: GetFileTitleW, GetSaveFileNameW, GetOpenFileNameA, GetSaveFileNameA, GetFileTitleA, GetOpenFileNameW

( 0 exports )
PDFiD.: - RDS...: NSRL Reference Data Set

( Microsoft )

> MSDN Disc 2439.8: mstsc.exe
> MSDN Disc 2439.7: mstsc.exe
> MSDN Disc 2439.6: mstsc.exe

ThreatExpert info: https://www.symantec.com?md5=72d638651bad29eb0a50dd7a359375b9 5) Fichier rsvp.exe reçu le 2009.07.07 10:56:39 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.07.07 - AhnLab-V3 5.0.0.2 2009.07.07 - AntiVir 7.9.0.204 2009.07.07 - Antiy-AVL 2.0.3.1 2009.07.07 - Authentium 5.1.2.4 2009.07.07 - Avast 4.8.1335.0 2009.07.06 - AVG 8.5.0.386 2009.07.07 - BitDefender 7.2 2009.07.07 - CAT-QuickHeal 10.00 2009.07.07 - ClamAV 0.94.1 2009.07.06 - Comodo 1538 2009.07.02 - DrWeb 5.0.0.12182 2009.07.07 - eSafe 7.0.17.0 2009.07.06 - eTrust-Vet 31.6.6601 2009.07.07 - F-Prot 4.4.4.56 2009.07.06 - F-Secure 8.0.14470.0 2009.07.07 - Fortinet 3.117.0.0 2009.07.03 - GData 19 2009.07.07 - Ikarus T3.1.1.64.0 2009.07.07 - Jiangmin 11.0.706 2009.07.07 - K7AntiVirus 7.10.785 2009.07.06 - Kaspersky 7.0.0.125 2009.07.07 - McAfee 5668 2009.07.06 - McAfee+Artemis 5668 2009.07.06 - McAfee-GW-Edition 6.8.5 2009.07.07 - Microsoft 1.4803 2009.07.07 - NOD32 4221 2009.07.06 - Norman 6.01.09 2009.07.06 - nProtect 2009.1.8.0 2009.07.07 - Panda 10.0.0.14 2009.07.06 - PCTools 4.4.2.0 2009.07.06 - Prevx 3.0 2009.07.07 - Rising 21.37.12.00 2009.07.07 - Sophos 4.43.0 2009.07.07 - Sunbelt 3.2.1858.2 2009.07.07 - Symantec 1.4.4.12 2009.07.07 - TheHacker 6.3.4.3.364 2009.07.06 - TrendMicro 8.950.0.1094 2009.07.07 - VBA32 3.12.10.7 2009.07.07 - ViRobot 2009.7.7.1821 2009.07.07 - VirusBuster 4.6.5.0 2009.07.06 - Information additionnelle File size: 132608 bytes MD5...: 414964844f4793acb868d057e8ed997e SHA1..: 03ac11a22ca5130db4e1a05c2bf16acb4ad02770 SHA256: 843e0c7761ac001bf1169251167b08da24e227f041f80586f2a54197a166fd13 ssdeep: 3072:f19lG6TZ9WqfkA/ar9xMS/TEcxYPpsCmOPsy3TMELkRB/:fTXTZppyx7hx+
rPsGo7RB
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1ed92
timedatestamp.....: 0x3b7d848e (Fri Aug 17 20:54:38 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ef8a 0x1f000 6.69 b6b94a222874b39978929d0a0cba6534
.data 0x20000 0x22bd4 0xe00 3.41 fc8e2377d2ae60a33f4422f36bc3774f
.rsrc 0x43000 0x3d0 0x400 3.22 ddc6eb16e5a48e5df14abd7f188d71a7

( 8 imports )
> msvcrt.dll: sprintf, wcscpy, wcscat, wcslen, wcscmp, _snprintf, floor, strncpy, atoi, _strnicmp, _iob, strtoul, _vsnprintf, fprintf, free, malloc, perror, memmove, _stricmp, _wcsicmp, rand, wcsrchr, _snwprintf, wcsncat, wcschr, wcsstr, _c_exit, _exit, _XcptFilter, _cexit, __initenv, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _ftol, exit
> ADVAPI32.dll: RegisterServiceCtrlHandlerExA, SetServiceStatus, AllocateAndInitializeSid, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, FreeSid, RegNotifyChangeKeyValue, RegQueryValueExW, RegSetValueExA, RegCloseKey, CryptAcquireContextA, CryptGenRandom, CryptReleaseContext, OpenSCManagerA, OpenServiceA, QueryServiceStatus, CloseServiceHandle, RegOpenKeyExA, RegQueryValueExA, ReportEventA, RegisterEventSourceA, StartServiceCtrlDispatcherA
> KERNEL32.dll: IsBadWritePtr, InterlockedExchangeAdd, InterlockedDecrement, OpenProcess, CreateFileA, ReadFile, GetStdHandle, WriteFile, IsBadReadPtr, GetLocalTime, SystemTimeToFileTime, UnmapViewOfFile, CreateSemaphoreA, CreateFileMappingA, MapViewOfFile, WaitForMultipleObjects, GetTickCount, WaitForSingleObject, DeleteCriticalSection, FormatMessageA, LocalFree, CreateEventA, InitializeCriticalSection, ResetEvent, SetProcessWorkingSetSize, GetCurrentProcess, GetSystemTime, HeapDestroy, HeapCreate, CreateDirectoryW, CompareFileTime, GetFileAttributesExW, SetFilePointer, CreateFileW, WideCharToMultiByte, LoadLibraryExW, GetSystemDirectoryW, GetVersionExA, HeapSize, OpenEventA, FlushViewOfFile, ReleaseSemaphore, GetModuleHandleA, LocalAlloc, OpenFileMappingA, CloseHandle, ExitProcess, HeapAlloc, HeapFree, FreeLibrary, GetProcAddress, GetLastError, MultiByteToWideChar, ExpandEnvironmentStringsW, SetEvent, LeaveCriticalSection, EnterCriticalSection, CreateThread
> ntdll.dll: DbgBreakPoint, RtlRandomEx, DbgPrint
> RPCRT4.dll: NdrServerCall2, RpcAsyncCompleteCall, UuidCreate, RpcServerUnregisterIfEx, RpcServerListen, RpcServerRegisterIf, RpcServerUseProtseqEpA, RpcServerRegisterAuthInfoA, RpcAsyncAbortCall, RpcServerTestCancel, RpcRevertToSelfEx, RpcImpersonateClient, RpcMgmtWaitServerListen, RpcMgmtStopServerListening, NdrAsyncServerCall
> Secur32.dll: GetUserNameExA
> USER32.dll: DefWindowProcA, PostQuitMessage, DispatchMessageA, GetMessageA, CreateWindowExA, RegisterClassA
> WS2_32.dll: WSACreateEvent, WSAWaitForMultipleEvents, -, -, -, -, -, -, WSACloseEvent, -, -, WSAIoctl, -, WSCEnumProtocols, -, WSASocketW, -, -, -, -, WSAEnumNetworkEvents, WSAEventSelect

( 0 exports )
PDFiD.: - RDS...: NSRL Reference Data Set

( Microsoft )

> MSDN Disc 2041: rsvp.exe
> MSDN Disc 2307: rsvp.exe
> MSDN Disc 3264: rsvp.exe
> Platforms, SDK/DDK: rsvp.exe
> Windows XP Home Edition: rsvp.exe
> MSDN Disc 2439.3: rsvp.exe
> MSDN Disc 2439.2: rsvp.exe
> MSDN Disc 2439.1: rsvp.exe
> MSDN Disc 2439.7: rsvp.exe
> MSDN Disc 2439.6: rsvp.exe
> MSDN Disc 2439: rsvp.exe
> MSDN Disc 2439.8: rsvp.exe
> Applications, Platforms, Servers: rsvp.exe

ThreatExpert info: https://www.symantec.com?md5=414964844f4793acb868d057e8ed997e Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.07.07 - AhnLab-V3 5.0.0.2 2009.07.07 - AntiVir 7.9.0.204 2009.07.07 - Antiy-AVL 2.0.3.1 2009.07.07 - Authentium 5.1.2.4 2009.07.07 - Avast 4.8.1335.0 2009.07.06 - AVG 8.5.0.386 2009.07.07 - BitDefender 7.2 2009.07.07 - CAT-QuickHeal 10.00 2009.07.07 - ClamAV 0.94.1 2009.07.06 - Comodo 1538 2009.07.02 - DrWeb 5.0.0.12182 2009.07.07 - eSafe 7.0.17.0 2009.07.06 - eTrust-Vet 31.6.6601 2009.07.07 - F-Prot 4.4.4.56 2009.07.06 - F-Secure 8.0.14470.0 2009.07.07 - Fortinet 3.117.0.0 2009.07.03 - GData 19 2009.07.07 - Ikarus T3.1.1.64.0 2009.07.07 - Jiangmin 11.0.706 2009.07.07 - K7AntiVirus 7.10.785 2009.07.06 - Kaspersky 7.0.0.125 2009.07.07 - McAfee 5668 2009.07.06 - McAfee+Artemis 5668 2009.07.06 - McAfee-GW-Edition 6.8.5 2009.07.07 - Microsoft 1.4803 2009.07.07 - NOD32 4221 2009.07.06 - Norman 6.01.09 2009.07.06 - nProtect 2009.1.8.0 2009.07.07 - Panda 10.0.0.14 2009.07.06 - PCTools 4.4.2.0 2009.07.06 - Prevx 3.0 2009.07.07 - Rising 21.37.12.00 2009.07.07 - Sophos 4.43.0 2009.07.07 - Sunbelt 3.2.1858.2 2009.07.07 - Symantec 1.4.4.12 2009.07.07 - TheHacker 6.3.4.3.364 2009.07.06 - TrendMicro 8.950.0.1094 2009.07.07 - VBA32 3.12.10.7 2009.07.07 - ViRobot 2009.7.7.1821 2009.07.07 - VirusBuster 4.6.5.0 2009.07.06 - Information additionnelle File size: 132608 bytes MD5...: 414964844f4793acb868d057e8ed997e SHA1..: 03ac11a22ca5130db4e1a05c2bf16acb4ad02770 SHA256: 843e0c7761ac001bf1169251167b08da24e227f041f80586f2a54197a166fd13 ssdeep: 3072:f19lG6TZ9WqfkA/ar9xMS/TEcxYPpsCmOPsy3TMELkRB/:fTXTZppyx7hx+
rPsGo7RB
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1ed92
timedatestamp.....: 0x3b7d848e (Fri Aug 17 20:54:38 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ef8a 0x1f000 6.69 b6b94a222874b39978929d0a0cba6534
.data 0x20000 0x22bd4 0xe00 3.41 fc8e2377d2ae60a33f4422f36bc3774f
.rsrc 0x43000 0x3d0 0x400 3.22 ddc6eb16e5a48e5df14abd7f188d71a7

( 8 imports )
> msvcrt.dll: sprintf, wcscpy, wcscat, wcslen, wcscmp, _snprintf, floor, strncpy, atoi, _strnicmp, _iob, strtoul, _vsnprintf, fprintf, free, malloc, perror, memmove, _stricmp, _wcsicmp, rand, wcsrchr, _snwprintf, wcsncat, wcschr, wcsstr, _c_exit, _exit, _XcptFilter, _cexit, __initenv, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _ftol, exit
> ADVAPI32.dll: RegisterServiceCtrlHandlerExA, SetServiceStatus, AllocateAndInitializeSid, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, FreeSid, RegNotifyChangeKeyValue, RegQueryValueExW, RegSetValueExA, RegCloseKey, CryptAcquireContextA, CryptGenRandom, CryptReleaseContext, OpenSCManagerA, OpenServiceA, QueryServiceStatus, CloseServiceHandle, RegOpenKeyExA, RegQueryValueExA, ReportEventA, RegisterEventSourceA, StartServiceCtrlDispatcherA
> KERNEL32.dll: IsBadWritePtr, InterlockedExchangeAdd, InterlockedDecrement, OpenProcess, CreateFileA, ReadFile, GetStdHandle, WriteFile, IsBadReadPtr, GetLocalTime, SystemTimeToFileTime, UnmapViewOfFile, CreateSemaphoreA, CreateFileMappingA, MapViewOfFile, WaitForMultipleObjects, GetTickCount, WaitForSingleObject, DeleteCriticalSection, FormatMessageA, LocalFree, CreateEventA, InitializeCriticalSection, ResetEvent, SetProcessWorkingSetSize, GetCurrentProcess, GetSystemTime, HeapDestroy, HeapCreate, CreateDirectoryW, CompareFileTime, GetFileAttributesExW, SetFilePointer, CreateFileW, WideCharToMultiByte, LoadLibraryExW, GetSystemDirectoryW, GetVersionExA, HeapSize, OpenEventA, FlushViewOfFile, ReleaseSemaphore, GetModuleHandleA, LocalAlloc, OpenFileMappingA, CloseHandle, ExitProcess, HeapAlloc, HeapFree, FreeLibrary, GetProcAddress, GetLastError, MultiByteToWideChar, ExpandEnvironmentStringsW, SetEvent, LeaveCriticalSection, EnterCriticalSection, CreateThread
> ntdll.dll: DbgBreakPoint, RtlRandomEx, DbgPrint
> RPCRT4.dll: NdrServerCall2, RpcAsyncCompleteCall, UuidCreate, RpcServerUnregisterIfEx, RpcServerListen, RpcServerRegisterIf, RpcServerUseProtseqEpA, RpcServerRegisterAuthInfoA, RpcAsyncAbortCall, RpcServerTestCancel, RpcRevertToSelfEx, RpcImpersonateClient, RpcMgmtWaitServerListen, RpcMgmtStopServerListening, NdrAsyncServerCall
> Secur32.dll: GetUserNameExA
> USER32.dll: DefWindowProcA, PostQuitMessage, DispatchMessageA, GetMessageA, CreateWindowExA, RegisterClassA
> WS2_32.dll: WSACreateEvent, WSAWaitForMultipleEvents, -, -, -, -, -, -, WSACloseEvent, -, -, WSAIoctl, -, WSCEnumProtocols, -, WSASocketW, -, -, -, -, WSAEnumNetworkEvents, WSAEventSelect

( 0 exports )
PDFiD.: - RDS...: NSRL Reference Data Set

( Microsoft )

> MSDN Disc 2041: rsvp.exe
> MSDN Disc 2307: rsvp.exe
> MSDN Disc 3264: rsvp.exe
> Platforms, SDK/DDK: rsvp.exe
> Windows XP Home Edition: rsvp.exe
> MSDN Disc 2439.3: rsvp.exe
> MSDN Disc 2439.2: rsvp.exe
> MSDN Disc 2439.1: rsvp.exe
> MSDN Disc 2439.7: rsvp.exe
> MSDN Disc 2439.6: rsvp.exe
> MSDN Disc 2439: rsvp.exe
> MSDN Disc 2439.8: rsvp.exe
> Applications, Platforms, Servers: rsvp.exe

ThreatExpert info: https://www.symantec.com?md5=414964844f4793acb868d057e8ed997e 6) Fichier Rtl60.bpl reçu le 2009.07.07 10:59:34 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.07.07 - AhnLab-V3 5.0.0.2 2009.07.07 - AntiVir 7.9.0.204 2009.07.07 - Antiy-AVL 2.0.3.1 2009.07.07 - Authentium 5.1.2.4 2009.07.07 - Avast 4.8.1335.0 2009.07.06 - AVG 8.5.0.386 2009.07.07 - BitDefender 7.2 2009.07.07 - CAT-QuickHeal 10.00 2009.07.07 - ClamAV 0.94.1 2009.07.06 - Comodo 1538 2009.07.02 - DrWeb 5.0.0.12182 2009.07.07 - eSafe 7.0.17.0 2009.07.06 - eTrust-Vet 31.6.6601 2009.07.07 - F-Prot 4.4.4.56 2009.07.06 - F-Secure 8.0.14470.0 2009.07.07 - Fortinet 3.117.0.0 2009.07.03 - GData 19 2009.07.07 - Ikarus T3.1.1.64.0 2009.07.07 - Jiangmin 11.0.706 2009.07.07 - K7AntiVirus 7.10.785 2009.07.06 - Kaspersky 7.0.0.125 2009.07.07 - McAfee 5668 2009.07.06 - McAfee+Artemis 5668 2009.07.06 - McAfee-GW-Edition 6.8.5 2009.07.07 - Microsoft 1.4803 2009.07.07 - NOD32 4222 2009.07.07 - Norman 6.01.09 2009.07.06 - nProtect 2009.1.8.0 2009.07.07 - Panda 10.0.0.14 2009.07.06 - PCTools 4.4.2.0 2009.07.06 - Prevx 3.0 2009.07.07 - Rising 21.37.12.00 2009.07.07 - Sophos 4.43.0 2009.07.07 - Sunbelt 3.2.1858.2 2009.07.07 - Symantec 1.4.4.12 2009.07.07 - TheHacker 6.3.4.3.364 2009.07.06 - TrendMicro 8.950.0.1094 2009.07.07 - VBA32 3.12.10.7 2009.07.07 - ViRobot 2009.7.7.1821 2009.07.07 - VirusBuster 4.6.5.0 2009.07.06 - Information additionnelle File size: 395264 bytes MD5...: ecf9eb557aec67c5e6223d065d0581f2 SHA1..: 693cf07933f7d38e1ccdc092afdd20f060012162 SHA256: cb4dd7d58b8f5d6c104119d7dee9daf3fa0cc8c8b282841d4be7799925681a4a ssdeep: 6144:Egg+6ll8RK+PvLeAnAWauMIWtouT/BZI/4YeQ+mmkz0Ka:EXL3+PzeIJLMI
WCuDOn+7
PEiD..: ASPack v2.1 TrID..: File type identification
Win32 EXE PECompact compressed (generic) (76.8%)
Win32 Executable Generic (15.7%)
Generic Win/DOS Executable (3.7%)
DOS Executable Generic (3.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xa2001
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 10 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x58000 0x22600 8.00 aef7578b657c52dec29af729d8734fdd
DATA 0x59000 0x3000 0xc00 7.92 3b7e2eb3975cb745031018907a4fdca8
BSS 0x5c000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x5d000 0x2000 0xa00 7.91 1ff09efcf8751df2f0342c2b9b326253
.edata 0x5f000 0x36000 0x35600 5.92 fd10f9d10749495ebfaaf98f980b46c4
.rdata 0x95000 0x1000 0x200 0.46 ac06ef37446756c78b16127a583d32f5
.reloc 0x96000 0x6000 0x4000 7.98 035cc90860d7a6f2536eae15a4ccefa5
.rsrc 0x9c000 0x6000 0x1a00 6.91 29d829097c9bbea7c66e65a42fde3cf1
.aspack 0xa2000 0x2000 0x1600 5.79 37cca919f4ae4543d75b042ee9dd3963
.data 0xa4000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 13 imports )
> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA
> user32.dll: GetKeyboardType
> advapi32.dll: RegQueryValueExA
> oleaut32.dll: SysFreeString
> advapi32.dll: RegUnLoadKeyA
> mpr.dll: WNetOpenEnumA
> gdi32.dll: GetDCOrgEx
> user32.dll: UnregisterClassA
> ole32.dll: IsEqualGUID
> oleaut32.dll: SafeArrayPtrOfIndex
> ole32.dll: CoTaskMemFree
> oleaut32.dll: CreateErrorInfo
> wsock32.dll: WSACleanup

( 4556 exports )
@$xp$10DBPROPINFO, @$xp$10IEnumNames, @$xp$10IErrorInfo, @$xp$10ILockBytes, @$xp$10IMallocSpy, @$xp$10IMtsEvents, @$xp$10IOleCache2, @$xp$10IOleObject, @$xp$10IOleWindow, @$xp$10ITypeInfo2, @$xp$10TComObject, @$xp$10TParamFlag, @$xp$10tagREGKIND, @$xp$11Adoint@_ADO, @$xp$11ContextInfo, @$xp$11DBPARAMINFO, @$xp$11IAdviseSink, @$xp$11ICrmMonitor, @$xp$11IDataObject, @$xp$11IDispatchEx, @$xp$11IDropSource, @$xp$11IDropTarget, @$xp$11IEnumString, @$xp$11IGetAppData, @$xp$11IM

asseforlife · Answer

Et le rapport Ot_Move it:

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
Process firefox.exe killed successfully!
No active process named msnmsgr.exe was found!
No active process named TeaTimer.exe was found!
========== FILES ==========
C:\WINDOWS\system32\drivers\etc\host.msn moved successfully.
C:\WINDOWS\system32\drivers\etc\hosts.msn moved successfully.
C:\WINDOWS\system32\drivers\etc\hosts.txt moved successfully.
C:\WINDOWS\system32\reg.exe moved successfully.
C:\WINDOWS\system32\results.txt moved successfully.
C:\WINDOWS\system32\SET56.tmp moved successfully.
C:\WINDOWS\system32\SET58.tmp moved successfully.
C:\WINDOWS\system32\SET5D.tmp moved successfully.
C:\WINDOWS\system32\SET64.tmp moved successfully.
C:\WINDOWS\system32\SETAA.tmp moved successfully.
C:\WINDOWS\system32\shell32(3).dll unregistered successfully.
C:\WINDOWS\system32\shell32(3).dll moved successfully.
C:\WINDOWS\system32\wdmaud(2).drv moved successfully.
C:\WINDOWS\system32\wdmaud(3).drv moved successfully.
C:\WINDOWS\system32\wdmaud(4).drv moved successfully.
C:\WINDOWS\system32\wdmaud(5).drv moved successfully.
C:\WINDOWS\system32\wdmaud(6).drv moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 41737625 bytes
 
User: Administrateur.TITANIUM
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Administrateur.TITANIUM.000
->Temp folder emptied: 1455 bytes
->Temporary Internet Files folder emptied: 5308661 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 80281958 bytes
->Google Chrome cache emptied: 7716402 bytes
 
User: ADMINI~1~000
 
User: All Users
 
User: All Users.WINDOWS
 
User: Boomscud
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes
 
User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService.AUTORITE NT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: LocalService.AUTORITE NT.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 223206 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: NetworkService.AUTORITE NT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: NetworkService.AUTORITE NT.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes
 
%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 109080 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 129,11 mb
 
 
OTM by OldTimer - Version 3.0.0.4 log created on 07072009_130221

Files moved on Reboot...

Registry entries deleted on Reboot...


PS: tout a l'heure j'utilisais firefox qui remarchait mais maintenant, il ne veux de retour plus marcher, je passe donc par google chrome.

gen-hackman · Answer

reessaie findykill nettoyage et s'il rebloque sur le fichier , stoppe-le et signale moi-le apres 30 mn d'utilisation 

ensuite :

clic droit sur ce fichier :

C:\WINDOWS\system32\ipsec6.exe

envoyer vers / dossiers compresses et fais moi passer l'archive.zip par cijoint.fr stp

asseforlife · Answer

Findykill a encore bloqué au niveau C pRogram Files Fichiers commune encore..

Et le ipsec6 en.zip:

http://www.cijoint.fr/cjlink.php?file=cj200907/cij4xm1BzE.zip

gen-hackman · Answer

regle la recherche des rootkits sur marche dans antivir si ce n'est fait , et fais un scan avec

asseforlife · Answer

Ok le scan est en route mais juste, tu penses savoir 'ou vient le blocage de findykill? il est rapide pour scanner jusqu'au moment ou il va dans C:/Program Files/Fichiers Communs..

gen-hackman · Answer

où il bloque instantanément.......?

asseforlife · Answer

Bah disons que le scan est sans problème jusqu'a ce qu'il ralentisse de manière considérable a C:/Program Files/Fichier Communs ( et la ca varie) : soit il bloques dans un fichier Nero de Fichier Communs et la il s'est bloqué à Fichiers Communs / Adobe 6..., en fait je veux dire qu'il doit mettre + de 10/15 voire plus pour scanner les fichiers dans Fichier Communs

gen-hackman · Answer

ah mais il ne s'arrete pas completement...?

asseforlife · Answer

No, mais il est très long a passer a autre dossier que Fichiers Communs..

gen-hackman · Answer

bon on va essayer une tactique pour tromper l'ennemi (si lieu il y a):

Le scan va s'effectuer en Mode sans échec : comme vous n'aurez pas accès à Internet, je vous conseille d'imprimer cette procédure.

Étape 1 :

    * Téléchargez eScan Antivirus Toolkit sur votre Bureau.
    * Double-cliquez le fichier mwav.exe qui se trouve sur le Bureau ; dézippez les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer et vous devez le quitter (cliquez sur Exit puis Exit).
    * Double-cliquez sur le Poste de travail (Ordinateur sous Vista), puis double-cliquez sur le lecteur principal (habituellement C:\), double-cliquez sur le dossier Kaspersky ; ensuite, double-cliquez sur le fichier kavupd.exe. Vous verrez maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
    * Lorsque la mise à jour sera complétée, vous verrez Press any key to continue ; tape sur une touche pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
    * Sélectionnez/copiez tous les fichiers présents dans le dossier C:\Downloads, puis collez-les dans le dossier C:\Kaspersky. Acceptez à l'invite de remplacer les fichiers existants.



Ne pas lancer le scan tout de suite !

Étape 2 :

    * Redémarre ton PC.
    * Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
    * Dans le menu d'options avancées, choisis Mode sans échec.
    * Choisis ta session.



Étape 3 :

    * Pour lancer eScan Antivirus Toolkit, trouvez le fichier mwavscan.com situé dans le dossier C:\Kaspersky.
    * Double-cliquez sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.
    * Il est très important de bien cocher ces cases sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
    * Cochez la case Drive, ce qui donne accès à une nouvelle case Drive (bouton rond) juste dessous ; cochez ce bouton Drive (très important...), et vous verrez une nouvelle boîte de navigation apparaître à la droite. Cliquez sur la petite flèche de cette boîte and choisissez la lettre de votre disque dur, habituellement C:\.
    * Juste au-dessous, assurez-vous que Scan All Files est coché et non Program Files.
    * Cliquez sur Scan Clean et laissez le tool vérifier tout le disque dur (ça peut être long...). Lorsque terminé, vous verrez Scan Completed. Ne pas quitter tout de suite !
    * Ouvrez un nouveau fichier Bloc-notes (cliquez sur "Démarrer" > "Programmes" > "Accessoires" > "Bloc-notes"), puis copiez/collez tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegardez-le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
    * Fermez le programme. Redémarrez votre PC en Mode normal. Postez (copiez/collez) le rapport que vous avez sauvegardé dans votre sujet si vous en avez créé un.

sKe69 · Answer

up !

asseforlife · Answer

Up

asseforlife · Answer

Ah merci sKe69 d'avoir résolu ce bug ^^, donc je disais :

Voila le rapport de eScan Toolkit après 4h de scan:

File C:\Documents and Settings\Administrateur.TITANIUM.000\Mes documents\TrackMania\Tracks\Replays\Autosaves\asseforlife_$l[chou-team.forumactif.net]$o$90c Large $6ff?C~??.Replay.gbx infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File C:\Documents and Settings\Administrateur.TITANIUM.000\Mes documents\TrackMania\Tracks\Replays\Autosaves\asseforlife_$l[chou-team.forumactif.net]$o$90c Mini$6ff ?C~??.Replay.gbx infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File C:\Documents and Settings\Administrateur.TITANIUM.000\Mes documents\TrackMania\Tracks\Replays\Autosaves\Samuel_$3FCL$5EAÔ$7D8L$9C7 $BA5#$D938$F81#.Replay.gbx infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File C:\Documents and Settings\Administrateur.TITANIUM.000\Mes documents\TrackMania\Tracks\Replays\Autosaves\Samuel_$w$s$f00L?O? $s$w$f90OrangeStadium.Replay.gbx infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

asseforlife · Answer

Voila le rapport:

File C:\Documents and Settings\Administrateur.TITANIUM.000\Mes documents\TrackMania\Tracks\Replays\Autosaves\asseforlife_$l[chou-team.forumactif.net]$o$90c Large $6ff?C~??.Replay.gbx infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Administrateur.TITANIUM.000\Mes documents\TrackMania\Tracks\Replays\Autosaves\asseforlife_$l[chou-team.forumactif.net]$o$90c Mini$6ff ?C~??.Replay.gbx infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Administrateur.TITANIUM.000\Mes documents\TrackMania\Tracks\Replays\Autosaves\Samuel_$3FCL$5EAÔ$7D8L$9C7 $BA5#$D938$F81#.Replay.gbx infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Administrateur.TITANIUM.000\Mes documents\TrackMania\Tracks\Replays\Autosaves\Samuel_$w$s$f00L?O? $s$w$f90OrangeStadium.Replay.gbx infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

gen-hackman · Answer

-> Scan BitDefender

Fais une analyse antivirus en ligne sur BitDefender on line avec Internet Explorer

    * Clique en bas à gauche sur Scan on line.
    * Accepte la licence et laisse-le installer l'Active x..
    * Laisse-toi guider. Colle son rapport ici.


Aide

asseforlife · Answer

Internet explorer ne veux plus s'ouvrir :s, firefox a réussi mais pas IE, je réesaye pour voir

asseforlife · Answer

Bah non il ne veux plus fonctionner :S

asseforlife · Answer

Désolé du triple :/ , en mode sans échec avec prise en charge réseau, je peux essayer selon toi?

gen-hackman · Answer

tu peux oui si ca marche pas j ai une solution

asseforlife · Answer

Je suis en mode sans echec la et ca ne marche toujours pas :s

gen-hackman · Answer

Télécharge Zeb-Restore http://telechargement.zebulon.fr/zeb-restore.html enregistre ce fichier sur le bureau. 

-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau. 
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe 
- Coche la case devant :Internet Explorer
- Ne coche aucune autre case 
-Clique sur Restaurer 
-Redémarre ton PC

asseforlife · Answer

Justement j'avais déja fait cette manip', et la je viens de la refaire, je double clique sur Internet Explorer et ca fait rien...

gen-hackman · Answer

ok je voudrais verifier certaines clés :

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau. 

! Déconnecte toi et ferme toutes tes applications en cours ! 

Double-clique sur " RSIT.exe " pour le lancer . 

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* clique ensuite sur " Continue " pour lancer l'analyse ... 


-> laisse faire le scan et ne touche pas au PC ... 


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ... 

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum 


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

asseforlife · Answer

Alors voila le 1er log :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-07-08 01:03:17
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 16 GB (31%) free of 50 GB
Total RAM: 1015 MB (65% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:03:29, on 08/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur.TITANIUM.000\Bureau\RSIT.exe
C:\Program Files	rend micro\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.missim.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.90.1262.0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.90.1262.0 (User 'Default user')
O4 - Startup: Free Music Zilla.lnk = C:\Program Files\Free Music Zilla\FMZilla.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?96aa158063ff4054a97ec073da12a405
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?96aa158063ff4054a97ec073da12a405
O8 - Extra context menu item: Télécharger avec IDM - C:\Documents and Settings\Administrateur.TITANIUM.000\Bureau\idman5.17.5.full\idman5.17.5.full\idman5.17.5.full\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Documents and Settings\Administrateur.TITANIUM.000\Bureau\idman5.17.5.full\idman5.17.5.full\idman5.17.5.full\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Documents and Settings\Administrateur.TITANIUM.000\Bureau\idman5.17.5.full\idman5.17.5.full\idman5.17.5.full\IEGetAll.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_1_2_1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate1c98fb4bd28432c) (gupdate1c98fb4bd28432c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

asseforlife · Answer

Puis l'autre : 

info.txt logfile of random's system information tool 1.06 2009-07-08 01:03:31

======Uninstall list======

-->C:\Program Files\Nero\Nero 7
ero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ABBYY FineReader 4.0 Sprint-->C:\WINDOWS\bitdeins.exe C:\PROGRA~1\ABBYYF~1.0SP\bitdeins.ini
Adobe Acrobat 4.0, 5.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Adobe Shockwave Player 11.5-->"C:\WINDOWS\system32\Adobe\Shockwave 11\uninstaller.exe"
AirXonix version 1.36-->"C:\Program Files\AirXonix\unins000.exe"
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
ArcSoft PhotoImpression 3.0-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\ArcSoft\PhotoImpression\Uninst.isu"
asquarred-->"C:\Program Files\a-squared Free\unins000.exe"
Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Barre d'outils Outlook de Windows Live (Windows Live Toolbar)-->MsiExec.exe /X{4002F73D-EBB3-4EA1-A2FF-DBCB4529759E}
Bloqueur de fenêtres pop-up (Windows Live Toolbar)-->MsiExec.exe /X{51F366F4-C2E4-429A-866A-59C885ED42FD}
Bluesoleil2.6.0.8 Release 070517-->MsiExec.exe /X{438BB9B4-65FE-4626-91D9-A8F57B18001D}
CamStudio-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{EB371786-9449-4ED8-B47A-032467A58CAD} anything\anything
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
CleanUp!-->C:\Program Files\CleanUp!\uninstall.exe
Coffret de pilotes Logitech QuickCam-->"C:\Program Files\Fichiers communs\LogiShrd\LogiDriverStore\lvdrivers\11.90.1262\LgDrvInst.exe" -remove -instdir"C:\Program Files\Fichiers communs\LogiShrd\LogiDriverStore\lvdrivers\" -enumdelay=200 -enabledifx -forcedelete -usbhubsfirst -forceremove -cumulativeremove -promptuninstall -arpregkey"lvdrivers_11.90" /clone_wait /hide_progress
Détecteur de flux Windows Live Toolbar (Windows Live Toolbar)-->MsiExec.exe /X{175B7C4A-CAF8-437A-B597-73E0D2D970FE}
Disc2Phone-->MsiExec.exe /X{1C75E8E0-29D5-4298-AE16-B8604FD9DDE4}
Download Direct-->MsiExec.exe /I{DB6A8C83-EFF7-4955-BBD0-81C13DDE5395}
eMule-->"C:\Program Files\eMule\Uninstall.exe"
EPSON Scan Tool-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9F57DB08-26D6-11D6-8AA5-0000E22DA3A0}\setup.exe" -l0x40c 
ESET Online Scanner-->C:\WINDOWS\system32\OnlineScannerUninstaller.exe
Extension de Windows Live Toolbar (Windows Live Toolbar)-->MsiExec.exe /X{D518AD32-C710-4616-BA0D-D4B1FA5F82E8}
filehippo.com Update Checker-->"C:\Program Files\filehippo.com\uninstall.exe"
FindyKill-->C:\FindyKill\Uninstal.exe
Free Music Zilla-->"C:\Program Files\Free Music Zilla\unins000.exe"
Freeplayer-->C:\Program Files\Freeplayer\Uninstall.exe
GIMP 2.6.4-->"C:\Program Files\GIMP-2.0\setup\unins000.exe"
Google Chrome-->"C:\Program Files\Google\Chrome\Application\2.0.172.33\Installer\setup.exe" --uninstall --system-level
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Earth-->MsiExec.exe /X{CC016F21-3970-11DE-B878-005056806466}
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Imprimantes Canon CAPT-->C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAP1UNIK.EXE
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
Java 2 Runtime Environment, SE v1.4.2_05-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142050}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
Junk Mail filter update-->MsiExec.exe /I{4DE3E3D9-AE81-45DE-9195-3015F7B1DBF3}
Logitech QuickCam-->MsiExec.exe /I{937B232D-9776-471E-92BD-D424E514EF14}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins001.exe"
Menus intelligents (Windows Live Toolbar)-->MsiExec.exe /X{3585ED1C-74C5-43B0-A232-831B96A12A2B}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour pour Windows Internet Explorer 8 (KB969497)-->"C:\WINDOWS\ie8updates\KB969497-IE8\spuninst\spuninst.exe"
Mozilla Firefox (3.0.11)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Navigation par onglets (Windows Live Toolbar)-->MsiExec.exe /X{E74559C2-BB47-45AD-83DD-0D66B67E7811}
Nero 7 Essentials-->MsiExec.exe /X{3BDEE284-1516-40E8-B784-00FEBE1B1036}
OneCare Advisor (Windows Live Toolbar)-->MsiExec.exe /X{F242B06B-517F-4D62-B654-16B11564A912}
OpenOffice.org 3.0-->MsiExec.exe /I{1572F66F-F9AD-4D45-B0D2-0F45A0D5A0F6}
Outil de mise à jour Google-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
PhotoFiltre-->"C:\Program Files\PhotoFiltre\Uninst.exe"
RarZilla Free Unrar 2.53-->C:\Program Files\RarZilla Free Unrar\uninstall.exe
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Program Files\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\Setup.exe -runfromtemp -l0x040c -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c  -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
ServerMania 0.98-->"C:\Program Files\ServerMania\unins000.exe"
Sony Ericsson Device Data-->MsiExec.exe /I{C92E7DF1-624A-4D95-A4C4-18CB491B44A4}
Sony Ericsson Drivers-->MsiExec.exe /I{5CC68528-24FF-4DF8-91C9-AF540F98505A}
Sony Ericsson PC Suite-->C:\WINDOWS\Installer\{D6BF6477-8369-489F-8DE6-3731F4B88560}\setup.exe /uninstall
Sony Ericsson PC Suite-->MsiExec.exe /I{B192E1BB-98A4-4369-9271-96117A57F546}
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
TeamViewer 4-->C:\Program Files\TeamViewer\Version4\uninstall.exe
TmUnitedForever-->"C:\Program Files\TmUnitedForever\unins000.exe"
TrackMania United 0.2.0.0-->"C:\Program Files\TrackMania United\unins000.exe"
TuneUp Utilities 2009-->MsiExec.exe /I{55A29068-F2CE-456C-9148-C869879E2357}
Urban Terror 4.1-->"C:\Program Files\UrbanTerror\unins000.exe"
VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Winamp (remove only)-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Commander (Remove or Repair)-->c:\wincmd\wcuninst.exe
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Favorites pour Windows Live Toolbar-->MsiExec.exe /X{DCE65B11-710D-4C54-9DE5-1A6A0BD2186B}
Windows Live Mail-->MsiExec.exe /I{63DC2DA0-2A6C-4C38-9249-B75395458657}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}
Windows Live Writer-->MsiExec.exe /X{2231CE39-B963-4B9D-823A-F412ECA637B1}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Yu-Gi-Oh Virtual Battle 5.18-->C:\Program Files\Yu-Gi-Oh Virtual Battle 5\Uninstal.exe

======Hosts File======

127.0.0.1 localhost

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: TITANIUM
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Service de transfert intelligent en arrière-plan.

Record Number: 5
Source Name: Service Control Manager
Time Written: 20090628084948.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: TITANIUM
Event Code: 7036
Message: Le service Compatibilité avec le Changement rapide d'utilisateur est entré dans l'état : en cours d'exécution.

Record Number: 4
Source Name: Service Control Manager
Time Written: 20090628084948.000000+120
Event Type: Informations
User: 

Computer Name: TITANIUM
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Compatibilité avec le Changement rapide d'utilisateur.

Record Number: 3
Source Name: Service Control Manager
Time Written: 20090628084948.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: TITANIUM
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 2
Source Name: EventLog
Time Written: 20090628084927.000000+120
Event Type: Informations
User: 

Computer Name: TITANIUM
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Uniprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090628084927.000000+120
Event Type: Informations
User: 

=====Application event log=====

Computer Name: TITANIUM
Event Code: 0
Message: 
Record Number: 3126
Source Name: gusvc
Time Written: 20090522080111.000000+120
Event Type: Informations
User: 

Computer Name: TITANIUM
Event Code: 0
Message: 
Record Number: 3125
Source Name: gusvc
Time Written: 20090522080000.000000+120
Event Type: Informations
User: 

Computer Name: TITANIUM
Event Code: 1047
Message: Windows ne peut pas lire l'historique des objets de paramètre de groupe à partir du Registre. Le traitement de la stratégie de groupe continue. 

Record Number: 3124
Source Name: Userenv
Time Written: 20090522072435.000000+120
Event Type: erreur
User: AUTORITE NT\SYSTEM

Computer Name: TITANIUM
Event Code: 1047
Message: Windows ne peut pas lire l'historique des objets de paramètre de groupe à partir du Registre. Le traitement de la stratégie de groupe continue. 

Record Number: 3123
Source Name: Userenv
Time Written: 20090522072435.000000+120
Event Type: erreur
User: AUTORITE NT\SYSTEM

Computer Name: TITANIUM
Event Code: 1047
Message: Windows ne peut pas lire l'historique des objets de paramètre de groupe à partir du Registre. Le traitement de la stratégie de groupe continue. 

Record Number: 3122
Source Name: Userenv
Time Written: 20090522054935.000000+120
Event Type: erreur
User: AUTORITE NT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Fichiers communs\Teleca Shared;C:\Program Files\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 22 Stepping 1, GenuineIntel
"PROCESSOR_REVISION"=1601
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"DEVMGR_SHOW_DETAILS"=1
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

gen-hackman · Answer

relance findykill , option desinstaller puis :


&#9830 Télécharge Ad-remover ( de C_XX ) sur ton bureau : 


&#9830 Déconnecte toi et ferme toutes applications en cours ! 

&#9830 Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9830 Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9830 Au menu principal choisis l'option "L" et tape sur [entrée] .

&#9830 Laisse travailler l'outil et ne touche à rien ... 

&#9830 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9830 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Aides en images (Installation)
Aides en images (Recherche)

asseforlife · Answer

Alors voila le scan ^^:

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_O | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 24/06/2009 à 7:10 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à:  1:39:23, 08/07/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: TITANIUM | Utilisateur actuel: Administrateur
.
Administrateur: Administrateur 
N'est pas administrateur: HelpAssistant *Desactive* 
N'est pas administrateur: Invité *Desactive* 
N'est pas administrateur: SUPPORT_388945a0 *Desactive* 
. 
============== ÉLÉMENT(S) NEUTRALISÉ(S) ============== 
.
.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
.

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.

* Mozilla FireFox Version 3.0.11 *

 Nom du profil: xbponqkb.default (Administrateur)
.
(Prefs.js) user_pref("browser.startup.homepage", "www.google.fr"); 
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.11"); 
(Invalidprefs.js) user_pref("browser.search.defaultenginename", "Ask.com"); 
(Invalidprefs.js) user_pref("browser.search.selectedEngine", "Ask.com"); 
(Invalidprefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.5"); 
.
. 

* Internet Explorer Version 8.0.6001.18702 *

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

   Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
2417 Octet(s) - C:\Ad-Report-CLEAN.log 
.
161 Fichier(s) - C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp 
2 Fichier(s) - C:\WINDOWS\Temp 
.
20 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à:  2:07:23 | 08/07/2009
.
============== E.O.F ==============
.

asseforlife · Answer

Bagle est, selon toi, a l'origine de tout ou pas?

Le rapport AD Remover est tout en bas de la page 3

gen-hackman · Answer

non rien ne montre que tu aies ete infecté par Bagle

tu peux me remettre un log txt de rsit plizz^^ ?

asseforlife · Answer

Voila ^^ :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-07-08 02:47:54
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 16 GB (31%) free of 50 GB
Total RAM: 1015 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:47:58, on 08/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Yu-Gi-Oh Virtual Battle 5\YVB5.exe
C:\Documents and Settings\Administrateur.TITANIUM.000\Bureau\RSIT.exe
C:\Program Files	rend micro\Administrateur.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.90.1262.0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.90.1262.0 (User 'Default user')
O4 - Startup: Free Music Zilla.lnk = C:\Program Files\Free Music Zilla\FMZilla.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_1_2_1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate1c98fb4bd28432c) (gupdate1c98fb4bd28432c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

gen-hackman · Answer

internet explorer s'ouvre-t-il maintenant ?

asseforlife · Answer

Non :S, je vais retenté en mode sans échec et en mode normal

gen-hackman · Answer

retente aussi avec zeb restore

asseforlife · Answer

C'est ce que j'ai pensé, donc: 

- En mode sans échec , ca passe pas , ni en mode normal ( quand je double clik dessus, y'a un petit sablier qui pparait puis disparaît, et quand je double cliques sur l'icone de internet explorer, ca fait comme un "bip" du bureau, je veux tous les icones disparaissent revienne en une milliseconde.

asseforlife · Answer

Tu penses savoir d'ou vient ce blocage?

gen-hackman · Answer

retentes l'option 2 de findykill stp maintenant

asseforlife · Answer

Findykill refais comme la dernière fois :/, il ralentis au niveau C:Program Files/Alcohol/... Et j'ai retenté zeb restore pour IE mais toujours pareil :s

asseforlife · Answer

Je vais aller dormir car je suis chaos la :s , a moins que tu es une solution a 4h du mat' lol , mais en tout cas bravo pour ton courage aux désinfections ;)

gen-hackman · Answer

ok a demain on essaiera de trouver quelque chose :)

asseforlife · Answer

Re bonjours, me revoila

asseforlife · Answer

Donc la , IE remarche, alors je fais un scan bitdefender puis après je retenterais findykill si tu le souhaite

asseforlife · Answer

Bon je crois que mon pc est bientot cuit :/, j'ai Virut qui s'est mis sur le pc...

Je vais faire la méthode de désinfection pour Virut  et je te tiens au courant :s

gen-hackman · Answer

ok fournis des rapport stp ca peut aider

gen-hackman · Answer

refournis aussi un rsit stp

asseforlife · Answer

Alors dans l'ordre, je te dis ce que je fais (vu que y'a virut :(), je fais la procédure pour Virer virut, ensuite je fais findykill si tu le souhaites et après un log rsit, tu es ok ou pas?

gen-hackman · Answer

Alors dans l'ordre, je te dis ce que je fais (vu que y'a virut :(), je fais la procédure pour Virer virut, ensuite je fais findykill si tu le souhaites et après un log rsit, tu es ok ou pas? 

comment sais-tu et qui t'a dit qu'il y avait virut sur ton pc pour info ?

asseforlife · Answer

Pardon désolé, c'est antivir qui s'est déclenché 3x ( il a détecté W32/Virut.gen)

asseforlife · Answer

Je n'es pas encore commencé la procédure pour le virer (la je suis e mode sans échec et je n'es pas encore commencé la procédure mais en mode normal , je ne peux plus télécharger quoi que ce soit):

Et voici le rapport Bitdefender:

BitDefender Online Scanner - Real Time Virus Report
  
  
 
Generated at: Wed, Jul 08, 2009 - 17:23:06
 

--------------------------------------------------------------------------------

 
  
  
 
Scan Info
  
  
 
Scanned Files
 396944
 
Infected Files
 2
 
  
  
 
 
  
  
 
Virus Detected
  
  
 
Trojan.Wimad.Gen.1
 1
 
Spyware.945
 1
 
  
  
 
 
  
  
 
 

--------------------------------------------------------------------------------
  
  
 
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

asseforlife · Answer

Je préfère mieux attende tes instructions avant mais vu que antivir a détecté Virut, je me suis affolé , mais je peux plus télécharger quoi que ce soit en mode normal..

gen-hackman · Answer

ok tu peux faire

asseforlife · Answer

M. Gen Hackman, je crois que le pc va donner l'âme, en effet, je suis en mode sans echec et j'ai essayé Dr Web Cure It ( il a détecté juste un backdoor, en scan rapide puis dès que je le met en scan entier, bah il scanne et paf, la fenêtre disparait :S, donc je tente avec AVP Tool en mode sans échec. Je voous tiens au courant.

PS: y'a un processus nommé Lsass.exe en mode sans échec, dîtes moi, ce n'est pas Sasser j'espère?

gen-hackman · Answer

non Lssas es un processus...............on dira legitime de windows et suivant d'ou est lancée  la commande , et pour quel effet ,ca peut devenir une infection.

asseforlife · Answer

AVP tool ne détecte qu'un faux positif:

detected: Trojan program Backdoor.Win32.Agent.ahuv	File: C:\Documents and Settings\Administrateur.TITANIUM.000\Bureau\GenProc\outil\GetVersion.exe

Je vous ferais parvenir le rapport a la fin mais il n'as toujours pas détécté Virut

gen-hackman · Answer

ok alors a la fin du scan :)

asseforlife · Answer

Ru pense que mon pc va réussir a survivre? :\

gen-hackman · Answer

moi tu sais en dehors des virus .....:)Et même.....

asseforlife · Answer

je veux dire , est ce que tu pense qu'on va réussir a désinfecter ? ^^, la AVP Tool finii le scan vers 23h36, je posterais le rapport ensuite je ferais l'étape 3 avec rmvirut de AVG et je pensais retenter Dr Web Cure It ( la 1ere étape mentionné pour virer Virut).

gen-hackman · Answer

oui d'accord mais tu le supprimes et tu le retelecharges

asseforlife · Answer

Ok, je vais même le renommer pour être sur :)

gen-hackman · Answer

;)

asseforlife · Answer

Voila le rapport AVP Tool, pas de virut, je vais tenter la 3e procédure avec rmvirut puis retenter avec DR Web, je reste en mode sans échec, le virus est costaud en mode normal :s:

Detected
--------
Status	Object
------	------
deleted: Trojan program Backdoor.Win32.Agent.ahuv	File: C:\Documents and Settings\Administrateur.TITANIUM.000\Bureau\GenProc\outil\GetVersion.exe

deleted: adware not-a-virus:AdWare.Win32.Mostofate.aa	File: H:\Ordinateur\Driver pc1\BearShare v 6.0.0\BearShareV6int.exe//WiseSFXDropper//WISE0045.BIN//stream//data0005

J'ai mis le + intérressant.

Je retente dr web

asseforlife · Answer

Rm VBirut n'as rien détecté, donc je retente avec DR Web

asseforlife · Answer

Donc DR Web ne remarche toujours pas, la fenêtre a disparu pdt le scan, je fais un scan avec mon antivirus selon toi?

gen-hackman · Answer

bonjour :

ok mais avant fais ceci :

dis-moi si tu sais à quoi se rapportent ces dossiers :

C:\MFT 8787
C:\MFT 1851

ensuite :

---> Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort. 

---> Télécharge OTM (OldTimer) sur ton Bureau : 

---> Double-clique sur OTM.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe

:services
catchme
RapidPort
tmcomm
MBAMProtector
USBAAPL

:files 
C:\WINDOWS\system32\RtkCoInstXP(6).dll
C:\WINDOWS\system32\RtkCoInstXP(5).dll
C:\WINDOWS\system32\RtkCoInstXP(4).dll
C:\WINDOWS\system32\RtkCoInstXP(3).dll
C:\WINDOWS\system32\RtkCoInstXP(2).dll 
C:\Documents and Settings\Administrateur.TITANIUM.000\Application Data\IDM(2)
 
:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTM 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

asseforlife · Answer

J'ai du supprimé le rapport , je ne le trouve plus mais je sais qu'il y'avait ecrit a droite que tout avait été killé.
Sinon j'ai retenté la recherche de findykill et il ne trouve plus rien comme infecté , c'est en bonne voie? 
Sinon tu veux un log rsit?

gen-hackman · Answer

dis-moi si tu sais à quoi se rapportent ces dossiers :

C:\MFT 8787
C:\MFT 1851

asseforlife · Answer

Je sais pas a quoi ils se rapportent.

asseforlife · Answer

Dedans, ya un fichier nommé '"explorer.exe"

gen-hackman · Answer

dans chacun d'eux ?

asseforlife · Answer

Oui, dans les 2 MFT, il n'y a qu'un fichier "explorer.exe", c'est tout

gen-hackman · Answer

tu peux m'indiquer leurs poids ?

asseforlife · Answer

0.98 MO

gen-hackman · Answer

supprime-les

asseforlife · Answer

C'est quoi exactement ces 2 fichiers? des virus?

gen-hackman · Answer

je n'ai jamais vu ca dans auncun pc ca doit pas etre très catholique quand meme

asseforlife · Answer

Pas tout compris ^^

asseforlife · Answer

Fichiers supprimés, un log RSIT maintenant?^^

gen-hackman · Answer

ok mais supprime c:\rsit avant

asseforlife · Answer

Voila:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-07-10 18:44:18
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 18 GB (35%) free of 50 GB
Total RAM: 1015 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:44:22, on 10/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur.TITANIUM.000\Bureau\FFM.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Administrateur.TITANIUM.000\Bureau\RSIT.exe
C:\Program Files	rend micro\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://coramail.net/r3.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.90.1262.0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.90.1262.0 (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_1_2_1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate1c98fb4bd28432c) (gupdate1c98fb4bd28432c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

asseforlife · Answer

Et la :

info.txt logfile of random's system information tool 1.06 2009-07-10 18:44:24

======Uninstall list======

-->C:\Program Files\Nero\Nero 7
ero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ABBYY FineReader 4.0 Sprint-->C:\WINDOWS\bitdeins.exe C:\PROGRA~1\ABBYYF~1.0SP\bitdeins.ini
Adobe Acrobat 4.0, 5.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Adobe Shockwave Player 11.5-->"C:\WINDOWS\system32\Adobe\Shockwave 11\uninstaller.exe"
AirXonix version 1.36-->"C:\Program Files\AirXonix\unins000.exe"
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
ArcSoft PhotoImpression 3.0-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\ArcSoft\PhotoImpression\Uninst.isu"
asquarred-->"C:\Program Files\a-squared Free\unins000.exe"
Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Barre d'outils Outlook de Windows Live (Windows Live Toolbar)-->MsiExec.exe /X{4002F73D-EBB3-4EA1-A2FF-DBCB4529759E}
Bloqueur de fenêtres pop-up (Windows Live Toolbar)-->MsiExec.exe /X{51F366F4-C2E4-429A-866A-59C885ED42FD}
Bluesoleil2.6.0.8 Release 070517-->MsiExec.exe /X{438BB9B4-65FE-4626-91D9-A8F57B18001D}
CamStudio-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{EB371786-9449-4ED8-B47A-032467A58CAD} anything\anything
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
CleanUp!-->C:\Program Files\CleanUp!\uninstall.exe
Coffret de pilotes Logitech QuickCam-->"C:\Program Files\Fichiers communs\LogiShrd\LogiDriverStore\lvdrivers\11.90.1262\LgDrvInst.exe" -remove -instdir"C:\Program Files\Fichiers communs\LogiShrd\LogiDriverStore\lvdrivers\" -enumdelay=200 -enabledifx -forcedelete -usbhubsfirst -forceremove -cumulativeremove -promptuninstall -arpregkey"lvdrivers_11.90" /clone_wait /hide_progress
Détecteur de flux Windows Live Toolbar (Windows Live Toolbar)-->MsiExec.exe /X{175B7C4A-CAF8-437A-B597-73E0D2D970FE}
Disc2Phone-->MsiExec.exe /X{1C75E8E0-29D5-4298-AE16-B8604FD9DDE4}
eMule-->"C:\Program Files\eMule\Uninstall.exe"
EPSON Scan Tool-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9F57DB08-26D6-11D6-8AA5-0000E22DA3A0}\setup.exe" -l0x40c 
ESET Online Scanner-->C:\WINDOWS\system32\OnlineScannerUninstaller.exe
Extension de Windows Live Toolbar (Windows Live Toolbar)-->MsiExec.exe /X{D518AD32-C710-4616-BA0D-D4B1FA5F82E8}
FindyKill-->C:\FindyKill\Uninstal.exe
Free Music Zilla-->"C:\Program Files\Free Music Zilla\unins000.exe"
Freeplayer-->C:\Program Files\Freeplayer\Uninstall.exe
GIMP 2.6.4-->"C:\Program Files\GIMP-2.0\setup\unins000.exe"
Google Chrome-->"C:\Program Files\Google\Chrome\Application\2.0.172.33\Installer\setup.exe" --uninstall --system-level
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Earth-->MsiExec.exe /X{CC016F21-3970-11DE-B878-005056806466}
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Imprimantes Canon CAPT-->C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAP1UNIK.EXE
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
Java 2 Runtime Environment, SE v1.4.2_05-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142050}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
Junk Mail filter update-->MsiExec.exe /I{4DE3E3D9-AE81-45DE-9195-3015F7B1DBF3}
Logitech QuickCam-->MsiExec.exe /I{937B232D-9776-471E-92BD-D424E514EF14}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins001.exe"
Menus intelligents (Windows Live Toolbar)-->MsiExec.exe /X{3585ED1C-74C5-43B0-A232-831B96A12A2B}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mozilla Firefox (3.0.11)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Navigation par onglets (Windows Live Toolbar)-->MsiExec.exe /X{E74559C2-BB47-45AD-83DD-0D66B67E7811}
Nero 7 Essentials-->MsiExec.exe /X{3BDEE284-1516-40E8-B784-00FEBE1B1036}
OneCare Advisor (Windows Live Toolbar)-->MsiExec.exe /X{F242B06B-517F-4D62-B654-16B11564A912}
OpenOffice.org 3.0-->MsiExec.exe /I{1572F66F-F9AD-4D45-B0D2-0F45A0D5A0F6}
Outil de mise à jour Google-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
PhotoFiltre-->"C:\Program Files\PhotoFiltre\Uninst.exe"
RarZilla Free Unrar 2.53-->C:\Program Files\RarZilla Free Unrar\uninstall.exe
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Program Files\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\Setup.exe -runfromtemp -l0x040c -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c  -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
ServerMania 0.98-->"C:\Program Files\ServerMania\unins000.exe"
Sony Ericsson Device Data-->MsiExec.exe /I{C92E7DF1-624A-4D95-A4C4-18CB491B44A4}
Sony Ericsson Drivers-->MsiExec.exe /I{5CC68528-24FF-4DF8-91C9-AF540F98505A}
Sony Ericsson PC Suite-->C:\WINDOWS\Installer\{D6BF6477-8369-489F-8DE6-3731F4B88560}\setup.exe /uninstall
Sony Ericsson PC Suite-->MsiExec.exe /I{B192E1BB-98A4-4369-9271-96117A57F546}
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
SpywareBlaster 4.2-->"C:\Program Files\SpywareBlaster\unins000.exe"
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
TeamViewer 4-->C:\Program Files\TeamViewer\Version4\uninstall.exe
TmUnitedForever-->"C:\Program Files\TmUnitedForever\unins000.exe"
TrackMania United 0.2.0.0-->"C:\Program Files\TrackMania United\unins000.exe"
Urban Terror 4.1-->"C:\Program Files\UrbanTerror\unins000.exe"
VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Winamp (remove only)-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Favorites pour Windows Live Toolbar-->MsiExec.exe /X{DCE65B11-710D-4C54-9DE5-1A6A0BD2186B}
Windows Live Mail-->MsiExec.exe /I{63DC2DA0-2A6C-4C38-9249-B75395458657}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}
Windows Live Writer-->MsiExec.exe /X{2231CE39-B963-4B9D-823A-F412ECA637B1}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Yu-Gi-Oh Virtual Battle 5.18-->C:\Program Files\Yu-Gi-Oh Virtual Battle 5\Uninstal.exe

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: TITANIUM
Event Code: 7035
Message: Un contrôle Arrêter a correctement été envoyé au service TuneUp Drive Defrag Service.

Record Number: 774
Source Name: Service Control Manager
Time Written: 20090703042802.000000+120
Event Type: Informations
User: TITANIUM\Administrateur

Computer Name: TITANIUM
Event Code: 7036
Message: Le service TuneUp Drive Defrag Service est entré dans l'état : arrêté.

Record Number: 773
Source Name: Service Control Manager
Time Written: 20090703042802.000000+120
Event Type: Informations
User: 

Computer Name: TITANIUM
Event Code: 7036
Message: Le service TuneUp Drive Defrag Service est entré dans l'état : en cours d'exécution.

Record Number: 772
Source Name: Service Control Manager
Time Written: 20090703030804.000000+120
Event Type: Informations
User: 

Computer Name: TITANIUM
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service TuneUp Drive Defrag Service.

Record Number: 771
Source Name: Service Control Manager
Time Written: 20090703030804.000000+120
Event Type: Informations
User: TITANIUM\Administrateur

Computer Name: TITANIUM
Event Code: 7036
Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : arrêté.

Record Number: 770
Source Name: Service Control Manager
Time Written: 20090703014734.000000+120
Event Type: Informations
User: 

=====Application event log=====

Computer Name: TITANIUM
Event Code: 4096
Message: Le service AntiVir a bien démarré!

Record Number: 3573
Source Name: Avira AntiVir
Time Written: 20090527232802.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: TITANIUM
Event Code: 4097
Message: Le service AntiVir a été arrêté!

Record Number: 3572
Source Name: Avira AntiVir
Time Written: 20090527232741.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: TITANIUM
Event Code: 1005
Message: Windows Installer a initié un redémarrage système afin de terminer ou de continuer la configuration de  'Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17'.

Record Number: 3571
Source Name: MsiInstaller
Time Written: 20090527232706.000000+120
Event Type: Informations
User: TITANIUM\Administrateur

Computer Name: TITANIUM
Event Code: 11728
Message: Product: Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 -- Configuration completed successfully.

Record Number: 3570
Source Name: MsiInstaller
Time Written: 20090527232706.000000+120
Event Type: Informations
User: TITANIUM\Administrateur

Computer Name: TITANIUM
Event Code: 1025
Message: Produit : Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17. Le fichier C:\WINDOWS\winsxs\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcr90.dll est actuellement utilisé par le processus de nom 'msnmsgr' et d'identificateur '2448'.

Record Number: 3569
Source Name: MsiInstaller
Time Written: 20090527232705.000000+120
Event Type: Informations
User: TITANIUM\Administrateur

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\Fichiers communs\Teleca Shared;C:\Program Files\QuickTime\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 22 Stepping 1, GenuineIntel
"PROCESSOR_REVISION"=1601
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"DEVMGR_SHOW_DETAILS"=1
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

gen-hackman · Answer

je dois m absenter jusqu'a dimanche apres midi

asseforlife · Answer

ok , merci de ton aide ^^

gen-hackman · Answer

salut :

---> Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort. 

---> Télécharge OTM (OldTimer) sur ton Bureau : 

---> Double-clique sur OTM.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe
TeaTimer.exe
msnmsgr.exe
iexplore.exe
firefox.exe

:services
mbr

:files 
C:\WINDOWS\isRS-000.tmp 
C:\WINDOWS\system32\CF17051.exe  
C:\WINDOWS\system32\uxt66.tmp
C:\WINDOWS\system32\RtkCoInstXP(6).dll
C:\WINDOWS\system32\RtkCoInstXP(5).dll
C:\WINDOWS\system32\RtkCoInstXP(4).dll
C:\WINDOWS\system32\RtkCoInstXP(3).dll
C:\WINDOWS\system32\RtkCoInstXP(2).dll 
C:\WINDOWS\IsUn0407.exe
C:\Documents and Settings\All Users.WINDOWS\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
C:\Documents and Settings\All Users.WINDOWS\Application Data\{92E7A367-8E12-4830-AA70-29C32E331A81}

:reg
 

:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTM 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

asseforlife · Answer

Alors mon pc refonctionne depuis 4/5 jours je crois mais si tu veux un log rsit pour etre sur?

gen-hackman · Answer

hello tu as le resultat de mon post 119 ?

asseforlife · Answer

Lu cher gen-Hackman, le problème est réglé maintenant, merci de ton aide, @+ et merci encore :))

gen-hackman · Answer

ok bon surf

Infection bien cachée :s : HELP ME PLEASE!!!

112 réponses

Discussions similaires