Coment supprimer un virus Win32 alureon-ce
habana33700
-
Denadaen -
Denadaen -
Bonjour,
Lors d'une analyse avast m'a détecté un virus nommé Win32 ALUREON-CE dans mon disque dur.
Par contre il m'est impossible de le supprimer ni de le mettre en quarantaine.
voici l'analyse d'avast :
22/07/2009 15:56:28 1248270988 SYSTEM 1904 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
22/07/2009 15:56:29 1248270989 SYSTEM 1904 An error has occured while attempting to update. Please check the logs.
22/07/2009 20:47:29 1248288452 SYSTEM 1820 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
22/07/2009 20:48:44 1248288524 SYSTEM 1820 An error has occured while attempting to update. Please check the logs.
23/07/2009 18:37:05 1248367025 Aurélien 11848 Sign of "Win32:Alureon-CE [Rtk]" has been found in "\\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.
23/07/2009 18:37:33 1248367053 Aurélien 11848 Sign of "Win32:VB-MDW [Drp]" has been found in "c:\users\aurélien\appdata\roaming\sdra64.exe" file.
23/07/2009 18:38:03 1248367083 Aurélien 11848 Sign of "Win32:VB-MDW [Drp]" has been found in "c:\windows\system32\sdra64.exe" file.
26/07/2009 23:16:53 1248643013 Aurélien 9464 Sign of "Win32:Alureon-CE [Rtk]" has been found in "\\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.
26/07/2009 23:22:45 1248643365 Aurélien 5064 Sign of "Win32:Alureon-CE [Rtk]" has been found in "\\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.
26/07/2009 23:24:27 1248643467 Aurélien 7044 Sign of "Win32:Alureon-CE [Rtk]" has been found in "\\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.
27/07/2009 17:39:47 1248709187 Aurélien 4656 Sign of "Win32:Alureon-CE [Rtk]" has been found in "\\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.
J'ai alors lancé une analyse avec Malwarebytes. Il les détecte aussi. Il me dit qui les a supprimé mais le virus est toujours sur le disque dur d'aprés avast.
Quelqu'un peut-il me venir en aide svp?????????????
ci-dessous le rapport de Malwarebytes
Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2402
Windows 6.0.6000
27/07/2009 17:31:45
mbam-log-2009-07-27 (17-31-45).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 290342
Temps écoulé: 1 hour(s), 15 minute(s), 2 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
C:\Windows\System32\lowsec (Stolen.data) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\Windows\System32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
c:\Windows\System32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\str.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
De l'aide svp???
Lors d'une analyse avast m'a détecté un virus nommé Win32 ALUREON-CE dans mon disque dur.
Par contre il m'est impossible de le supprimer ni de le mettre en quarantaine.
voici l'analyse d'avast :
22/07/2009 15:56:28 1248270988 SYSTEM 1904 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
22/07/2009 15:56:29 1248270989 SYSTEM 1904 An error has occured while attempting to update. Please check the logs.
22/07/2009 20:47:29 1248288452 SYSTEM 1820 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
22/07/2009 20:48:44 1248288524 SYSTEM 1820 An error has occured while attempting to update. Please check the logs.
23/07/2009 18:37:05 1248367025 Aurélien 11848 Sign of "Win32:Alureon-CE [Rtk]" has been found in "\\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.
23/07/2009 18:37:33 1248367053 Aurélien 11848 Sign of "Win32:VB-MDW [Drp]" has been found in "c:\users\aurélien\appdata\roaming\sdra64.exe" file.
23/07/2009 18:38:03 1248367083 Aurélien 11848 Sign of "Win32:VB-MDW [Drp]" has been found in "c:\windows\system32\sdra64.exe" file.
26/07/2009 23:16:53 1248643013 Aurélien 9464 Sign of "Win32:Alureon-CE [Rtk]" has been found in "\\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.
26/07/2009 23:22:45 1248643365 Aurélien 5064 Sign of "Win32:Alureon-CE [Rtk]" has been found in "\\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.
26/07/2009 23:24:27 1248643467 Aurélien 7044 Sign of "Win32:Alureon-CE [Rtk]" has been found in "\\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.
27/07/2009 17:39:47 1248709187 Aurélien 4656 Sign of "Win32:Alureon-CE [Rtk]" has been found in "\\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.
J'ai alors lancé une analyse avec Malwarebytes. Il les détecte aussi. Il me dit qui les a supprimé mais le virus est toujours sur le disque dur d'aprés avast.
Quelqu'un peut-il me venir en aide svp?????????????
ci-dessous le rapport de Malwarebytes
Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2402
Windows 6.0.6000
27/07/2009 17:31:45
mbam-log-2009-07-27 (17-31-45).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 290342
Temps écoulé: 1 hour(s), 15 minute(s), 2 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
C:\Windows\System32\lowsec (Stolen.data) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\Windows\System32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
c:\Windows\System32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\str.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
De l'aide svp???
A voir également:
- Coment supprimer un virus Win32 alureon-ce
- Supprimer rond bleu whatsapp - Guide
- Supprimer page word - Guide
- Impossible de supprimer un fichier - Guide
- Comment supprimer fausse alerte virus mcafee - Accueil - Piratage
- Supprimer pub youtube - Accueil - Streaming
64 réponses
l'application ne s'éxécute pas comme tu me le décris, voila ce qui s'afffiche :
l'analyse ne débute pas, une fenetre s'ouvre me disant que l'adresse Internet ou j'avais télécharger Combofix n'était pas une adresse officielle et il me donne la bonne adresse qui correspond pourtant à celle que tu m'as donné.
l'analyse ne débute pas, une fenetre s'ouvre me disant que l'adresse Internet ou j'avais télécharger Combofix n'était pas une adresse officielle et il me donne la bonne adresse qui correspond pourtant à celle que tu m'as donné.
Télécharge le ici > http://www.cijoint.fr/cj200907/cijZK8tn2X.zip
extrait le contenu de l'archive sur ton bureau ...
en fait "ske.exe" = "Combofix.exe" préalablement renomé ... reprends ensuite la manipe ...
extrait le contenu de l'archive sur ton bureau ...
en fait "ske.exe" = "Combofix.exe" préalablement renomé ... reprends ensuite la manipe ...
alors l'analyse se lance :
pendant l'analyse il me répète plusieurs fois :
Access denied Administrator permissions are needed to use the selected options .
Use an administrator command prompt to complete these tasks.
ensuite l'analyse continue, il détecte bien un rootkit je valide
il redémarre le pc.
Par contre au redémarrage aucun rapport dans C:/
pendant l'analyse il me répète plusieurs fois :
Access denied Administrator permissions are needed to use the selected options .
Use an administrator command prompt to complete these tasks.
ensuite l'analyse continue, il détecte bien un rootkit je valide
il redémarre le pc.
Par contre au redémarrage aucun rapport dans C:/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
pas de rapport Combofix.txt ( peut-être ske.txt ) sous C ?
regarde dans ce dossier C:\Qoobox si il ne s'y trouve pas et poste le....
autre question : ta session n'est pas une session "administrateur" ?
tu es en mode normal maintenant ? ... Refais un scan ZHPdiag en mode normal et poste le nouveau rapport obtenu ( via Cijoint ) pour analyse ....
regarde dans ce dossier C:\Qoobox si il ne s'y trouve pas et poste le....
autre question : ta session n'est pas une session "administrateur" ?
tu es en mode normal maintenant ? ... Refais un scan ZHPdiag en mode normal et poste le nouveau rapport obtenu ( via Cijoint ) pour analyse ....
Non il n'y a rien dans Qoobox.
Si ma session est une session administrateur. ou la plupart du temps que je lance une application il me le demande et je confirme.
Je suis toujours en mode échec . Quand je démarre normalement il y a toujours cet écran bleu qui apparait au bout d'une minute je sais pas d'ou cela vient ça aussi.
Si ma session est une session administrateur. ou la plupart du temps que je lance une application il me le demande et je confirme.
Je suis toujours en mode échec . Quand je démarre normalement il y a toujours cet écran bleu qui apparait au bout d'une minute je sais pas d'ou cela vient ça aussi.
re,
j'avais zappé quelque chose .... tu es sous vista !
Donc on reprends :
1- protocole à suivre pour Windows Vista :
*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :
Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC !
Tutos :
http://pagesperso-orange.fr/NosTools/uac_vista.html
https://forum.malekal.com/viewtopic.php?f=59&t=6517
* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...
2- une fois ceci fait et pris en compte , refait la manipe avec ComboFix ( ske.exe ) > https://forums.commentcamarche.net/forum/affich-13579217-coment-supprimer-un-virus-win32-alureon-ce#15
et pour lancer "ske.exe" , fait bien clique droit dessus / "exécuter entant qu'admin..." ... =)
poste moi le rapport obtenu ...
j'avais zappé quelque chose .... tu es sous vista !
Donc on reprends :
1- protocole à suivre pour Windows Vista :
*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :
Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC !
Tutos :
http://pagesperso-orange.fr/NosTools/uac_vista.html
https://forum.malekal.com/viewtopic.php?f=59&t=6517
* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...
2- une fois ceci fait et pris en compte , refait la manipe avec ComboFix ( ske.exe ) > https://forums.commentcamarche.net/forum/affich-13579217-coment-supprimer-un-virus-win32-alureon-ce#15
et pour lancer "ske.exe" , fait bien clique droit dessus / "exécuter entant qu'admin..." ... =)
poste moi le rapport obtenu ...
Toujours pas de rapport aprés le redémarrage.
Par contre encore + inquiétant pendant le redémarrage en mode normal, pas d'apparition sur le bureau mais un sur un écran noir avec une fenetre me disant "Modification non autorisée a été apportée à Windows, limitation de sfonctionnalités de windows et soit je cherche une solution en ligne soit je ferme et en fermant il me vire de la session.
Donc je peux plus du tout me connecter en mode normal.
Par contre encore + inquiétant pendant le redémarrage en mode normal, pas d'apparition sur le bureau mais un sur un écran noir avec une fenetre me disant "Modification non autorisée a été apportée à Windows, limitation de sfonctionnalités de windows et soit je cherche une solution en ligne soit je ferme et en fermant il me vire de la session.
Donc je peux plus du tout me connecter en mode normal.
arf ...
Ca sent pas bon ... fait une sauvegarde de tes donnée perso au cas où ... ( aucun .exe , .rar , .zip , .scr , .htm ou .html ... )
1- refais un scan ZHPDiag stp , et poste le nouveau rapport obtenu ( via Cijoint ) pour analyse ....
=====================
2- Télécharge SysProt ( de swatkat ) sur ton bureau :
http://homepages.slingshot.co.nz/~crutches/SysProt/SysProt.exe
!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!
* double clique sur "SysProt.exe" pour lancer l'outil .
* clique sur l'onglet "log" :
> coche toutes les cases présentes dans l'encadré "Write to log" .
* Puis clique sur le bouton en bas à droite [Create Log] .
* le scan démarre , laisse travailler l'outil ( même si il semble avoir planté ...)
> Au bout d'un moment, une fenêtre va apparaitre : laisse bien "Scan all drives " coché et clique sur [Start] .
> patiente de nouveau ... attends le message de fin indiquant la creation du rapport et clique sur "OK"
* ferme SysProt et copie/colle le contenu du rapport "SysProtLog.txt" qui a été sauvegardé sur ton bureau dans ta prochaine réponse ...
Ca sent pas bon ... fait une sauvegarde de tes donnée perso au cas où ... ( aucun .exe , .rar , .zip , .scr , .htm ou .html ... )
1- refais un scan ZHPDiag stp , et poste le nouveau rapport obtenu ( via Cijoint ) pour analyse ....
=====================
2- Télécharge SysProt ( de swatkat ) sur ton bureau :
http://homepages.slingshot.co.nz/~crutches/SysProt/SysProt.exe
!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!
* double clique sur "SysProt.exe" pour lancer l'outil .
* clique sur l'onglet "log" :
> coche toutes les cases présentes dans l'encadré "Write to log" .
* Puis clique sur le bouton en bas à droite [Create Log] .
* le scan démarre , laisse travailler l'outil ( même si il semble avoir planté ...)
> Au bout d'un moment, une fenêtre va apparaitre : laisse bien "Scan all drives " coché et clique sur [Start] .
> patiente de nouveau ... attends le message de fin indiquant la creation du rapport et clique sur "OK"
* ferme SysProt et copie/colle le contenu du rapport "SysProtLog.txt" qui a été sauvegardé sur ton bureau dans ta prochaine réponse ...
déja le lien : rapport ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj200907/cijbjNoWOz.txt
je t'envoie la suite
http://www.cijoint.fr/cjlink.php?file=cj200907/cijbjNoWOz.txt
je t'envoie la suite
voila la suite :
SysProt AntiRootkit v1.0.1.0
by swatkat
******************************************************************************************
******************************************************************************************
No Processes found
******************************************************************************************
******************************************************************************************
No Kernel Modules found
******************************************************************************************
******************************************************************************************
No SSDT Hooks found
******************************************************************************************
******************************************************************************************
No Kernel Hooks found
******************************************************************************************
******************************************************************************************
No IRP Hooks found
******************************************************************************************
******************************************************************************************
Ports:
Local Address: PC-DE-AURÉLIEN.HOME:50089
Remote Address: 65.54.165.177:HTTPS
Type: TCP
Process: 0 (PID)
State: TIME_WAIT
Local Address: PC-DE-AURÉLIEN.HOME:NETBIOS-SSN
Remote Address: 0.0.0.0:0
Type: TCP
Process: 4 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN:49156
Remote Address: 0.0.0.0:0
Type: TCP
Process: 544 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN:49155
Remote Address: 0.0.0.0:0
Type: TCP
Process: 520 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN:49154
Remote Address: 0.0.0.0:0
Type: TCP
Process: 992 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN:49153
Remote Address: 0.0.0.0:0
Type: TCP
Process: 880 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN:49152
Remote Address: 0.0.0.0:0
Type: TCP
Process: 456 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN:EPMAP
Remote Address: 0.0.0.0:0
Type: TCP
Process: 748 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN.HOME:138
Remote Address: NA
Type: UDP
Process: 4 (PID)
State: NA
Local Address: PC-DE-AURÉLIEN.HOME:NETBIOS-NS
Remote Address: NA
Type: UDP
Process: 4 (PID)
State: NA
Local Address: PC-DE-AURÉLIEN:LLMNR
Remote Address: NA
Type: UDP
Process: 976 (PID)
State: NA
Local Address: PC-DE-AURÉLIEN:IPSEC-MSFT
Remote Address: NA
Type: UDP
Process: 908 (PID)
State: NA
Local Address: PC-DE-AURÉLIEN:500
Remote Address: NA
Type: UDP
Process: 908 (PID)
State: NA
******************************************************************************************
******************************************************************************************
No hidden files/folders found
SysProt AntiRootkit v1.0.1.0
by swatkat
******************************************************************************************
******************************************************************************************
No Processes found
******************************************************************************************
******************************************************************************************
No Kernel Modules found
******************************************************************************************
******************************************************************************************
No SSDT Hooks found
******************************************************************************************
******************************************************************************************
No Kernel Hooks found
******************************************************************************************
******************************************************************************************
No IRP Hooks found
******************************************************************************************
******************************************************************************************
Ports:
Local Address: PC-DE-AURÉLIEN.HOME:50089
Remote Address: 65.54.165.177:HTTPS
Type: TCP
Process: 0 (PID)
State: TIME_WAIT
Local Address: PC-DE-AURÉLIEN.HOME:NETBIOS-SSN
Remote Address: 0.0.0.0:0
Type: TCP
Process: 4 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN:49156
Remote Address: 0.0.0.0:0
Type: TCP
Process: 544 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN:49155
Remote Address: 0.0.0.0:0
Type: TCP
Process: 520 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN:49154
Remote Address: 0.0.0.0:0
Type: TCP
Process: 992 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN:49153
Remote Address: 0.0.0.0:0
Type: TCP
Process: 880 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN:49152
Remote Address: 0.0.0.0:0
Type: TCP
Process: 456 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN:EPMAP
Remote Address: 0.0.0.0:0
Type: TCP
Process: 748 (PID)
State: LISTENING
Local Address: PC-DE-AURÉLIEN.HOME:138
Remote Address: NA
Type: UDP
Process: 4 (PID)
State: NA
Local Address: PC-DE-AURÉLIEN.HOME:NETBIOS-NS
Remote Address: NA
Type: UDP
Process: 4 (PID)
State: NA
Local Address: PC-DE-AURÉLIEN:LLMNR
Remote Address: NA
Type: UDP
Process: 976 (PID)
State: NA
Local Address: PC-DE-AURÉLIEN:IPSEC-MSFT
Remote Address: NA
Type: UDP
Process: 908 (PID)
State: NA
Local Address: PC-DE-AURÉLIEN:500
Remote Address: NA
Type: UDP
Process: 908 (PID)
State: NA
******************************************************************************************
******************************************************************************************
No hidden files/folders found
On va essayer ceci :
1- Télécharge OTM (de Old_Timer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
! Déconnecte toi et ferme toutes tes applications en cours !
Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,
:Services
iprqesqbd
:Files
C:\Windows\system32\drivers\yvewpbiux.sys
C:\Program Files\IEToolbar
C:\Windows\gkkjm0170.exe
C:\Windows\System32\winset.ini
C:\Windows\System32\ciadvs.exe
C:\Windows\System32\ciadvss.exe
C:\Windows\System32\hjgruilog.dat
C:\Windows\System32\2432874399.dat
C:\Windows\System32\hjgruiqnikecrn.dll
C:\Windows\System32\hjgruieulctvoj.dat
C:\Windows\System32\hjgruiyujngcqq.dat
C:\Users\Aurélien\AppData\Local\Temp\hjgruidmsxebyg000
C:\Users\Aurélien\AppData\Local\Temp\hjgrui000
:Commands
[purity]
[emptytemp]
[Reboot]
et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...
-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .
Ton PC va redémarrer de lui même pour finir la suppression ...
Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).
-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
===================
2- refais un scan ZHPDiag et poste le nouveau rapport ( via Cijoint ) pour analyse ...
1- Télécharge OTM (de Old_Timer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
! Déconnecte toi et ferme toutes tes applications en cours !
Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,
:Services
iprqesqbd
:Files
C:\Windows\system32\drivers\yvewpbiux.sys
C:\Program Files\IEToolbar
C:\Windows\gkkjm0170.exe
C:\Windows\System32\winset.ini
C:\Windows\System32\ciadvs.exe
C:\Windows\System32\ciadvss.exe
C:\Windows\System32\hjgruilog.dat
C:\Windows\System32\2432874399.dat
C:\Windows\System32\hjgruiqnikecrn.dll
C:\Windows\System32\hjgruieulctvoj.dat
C:\Windows\System32\hjgruiyujngcqq.dat
C:\Users\Aurélien\AppData\Local\Temp\hjgruidmsxebyg000
C:\Users\Aurélien\AppData\Local\Temp\hjgrui000
:Commands
[purity]
[emptytemp]
[Reboot]
et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...
-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .
Ton PC va redémarrer de lui même pour finir la suppression ...
Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).
-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
===================
2- refais un scan ZHPDiag et poste le nouveau rapport ( via Cijoint ) pour analyse ...
ci-dessous le rapport otm :
All processes killed
========== SERVICES/DRIVERS ==========
Service\Driver iprqesqbd deleted successfully.
========== FILES ==========
File/Folder C:\Windows\system32\drivers\yvewpbiux.sys not found.
C:\Program Files\IEToolbar moved successfully.
C:\Windows\gkkjm0170.exe moved successfully.
C:\Windows\System32\winset.ini moved successfully.
C:\Windows\System32\ciadvs.exe moved successfully.
C:\Windows\System32\ciadvss.exe moved successfully.
C:\Windows\System32\hjgruilog.dat moved successfully.
C:\Windows\System32\2432874399.dat moved successfully.
DllUnregisterServer procedure not found in C:\Windows\System32\hjgruiqnikecrn.dll
C:\Windows\System32\hjgruiqnikecrn.dll NOT unregistered.
C:\Windows\System32\hjgruiqnikecrn.dll moved successfully.
C:\Windows\System32\hjgruieulctvoj.dat moved successfully.
C:\Windows\System32\hjgruiyujngcqq.dat moved successfully.
C:\Users\Aurélien\AppData\Local\Temp\hjgruidmsxebyg000 moved successfully.
C:\Users\Aurélien\AppData\Local\Temp\hjgrui000 moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Aurélien
->Temp folder emptied: 7974733 bytes
->Temporary Internet Files folder emptied: 48836659 bytes
->Java cache emptied: 8945146 bytes
User: AurÚlien
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 3670016 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 66,21 mb
OTM by OldTimer - Version 3.0.0.5 log created on 07292009_221856
Files moved on Reboot...
Registry entries deleted on Reboot...
au redémarrage combofix est réapparu et à publier le rapport ci-dessous et je suis de nouveau en mode normal :
ComboFix 09-07-29.01 - Aurélien 29/07/2009 22:28.1.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.894.220 [GMT 2:00]
Running from: c:\users\Aurélien\Documents\LimeWire\Saved\Desktop\cijZK8tn2X\ske.exe
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Created a new restore point
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
c:\$recycle.bin\S-1-5-21-3406683125-4077109358-4081785792-500
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Conditions générales.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Confidentialité.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\InternetGameBox.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Website.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Conditions générales.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Confidentialité.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\WebMediaPlayer.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Website.lnk
c:\users\Public\Desktop\WebMediaPlayer.lnk
c:\windows\Installer\f70ff5d.msi
c:\windows\system32\cXs0xsN1wS0nXXK.vbs
c:\windows\system32\drivers\hjgruiixfkeygp.sys
c:\windows\system32\hjgruieulctvoj.dat
c:\windows\system32\hjgruimpgwglkj.dll
c:\windows\system32\hjgruiqnikecrn.dll
c:\windows\system32\hjgruiyujngcqq.dat
c:\windows\system32\zWPjEUCEdEUMNVm.vbs
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_hjgruidmsxebyg
-------\Service_hjgruidmsxebyg
((((((((((((((((((((((((( Files Created from 2009-06-28 to 2009-07-29 )))))))))))))))))))))))))))))))
.
2009-07-29 18:40 . 2009-07-29 18:40 2048 ----a-w- c:\windows\system32\msxml6r.dll
2009-07-29 18:40 . 2009-07-29 18:40 1341440 ----a-w- c:\windows\system32\msxml6.dll
2009-07-28 10:44 . 2009-07-28 10:44 -------- d-----w- c:\program files\CCleaner
2009-07-27 19:28 . 2009-07-27 19:34 -------- d-----w- C:\ToolBar SD
2009-07-11 08:09 . 2009-07-11 08:13 -------- d-----w- c:\progra~2\Sports Interactive
2009-07-11 08:06 . 2008-05-30 12:19 507400 ----a-w- c:\windows\system32\XAudio2_1.dll
2009-07-11 08:06 . 2008-05-30 12:18 238088 ----a-w- c:\windows\system32\xactengine3_1.dll
2009-07-11 08:06 . 2008-05-30 12:17 65032 ----a-w- c:\windows\system32\XAPOFX1_0.dll
2009-07-11 08:06 . 2008-05-30 12:17 25608 ----a-w- c:\windows\system32\X3DAudio1_4.dll
2009-07-11 08:06 . 2008-05-30 12:11 467984 ----a-w- c:\windows\system32\d3dx10_38.dll
2009-07-11 08:06 . 2008-05-30 12:11 1491992 ----a-w- c:\windows\system32\D3DCompiler_38.dll
2009-07-11 08:06 . 2008-05-30 12:11 3850760 ----a-w- c:\windows\system32\D3DX9_38.dll
2009-07-11 08:06 . 2008-03-05 14:03 479752 ----a-w- c:\windows\system32\XAudio2_0.dll
2009-07-11 08:06 . 2008-03-05 14:03 238088 ----a-w- c:\windows\system32\xactengine3_0.dll
2009-07-11 08:06 . 2008-03-05 14:00 25608 ----a-w- c:\windows\system32\X3DAudio1_3.dll
2009-07-11 08:06 . 2008-03-05 13:56 1420824 ----a-w- c:\windows\system32\D3DCompiler_37.dll
2009-07-11 08:06 . 2008-02-05 21:07 462864 ----a-w- c:\windows\system32\d3dx10_37.dll
2009-07-10 10:59 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-10 10:59 . 2009-07-10 10:59 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-10 10:59 . 2009-07-10 10:59 -------- d-----w- c:\progra~2\Malwarebytes
2009-07-10 10:59 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-10 10:45 . 2009-07-10 10:45 -------- d-----w- C:\_OTM
2009-07-09 18:24 . 2009-07-09 18:24 -------- d-----w- c:\program files\gBurner
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-29 20:35 . 2006-11-07 02:47 690832 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-29 20:35 . 2006-11-07 02:47 117572 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-28 10:27 . 2006-11-06 18:18 -------- d-----w- c:\program files\Common Files\Symantec Shared
2009-07-27 19:25 . 2006-11-06 18:18 -------- d-----w- c:\progra~2\Symantec
2009-07-26 11:40 . 2007-08-10 15:55 -------- d-----w- c:\program files\OrangeHSS
2009-07-11 16:51 . 2008-05-16 14:55 -------- d-----w- c:\program files\Common Files\Steam
2009-07-11 08:02 . 2007-06-16 19:37 -------- d-----w- c:\program files\Sports Interactive
2009-06-28 10:44 . 2006-11-06 18:17 -------- d-----w- c:\program files\Google
2009-06-22 18:44 . 2007-10-26 16:04 -------- d-----w- c:\program files\KONAMI
2009-06-22 18:36 . 2007-08-29 17:26 -------- d-----w- c:\program files\MSN Messenger
2009-06-18 17:40 . 2008-12-26 19:20 230432 ----a-w- C:\PA207.DAT
2007-08-24 18:42 . 2007-08-24 18:42 8 --sha-r- c:\windows\System32\FB7DFC5433.dll
2006-11-07 02:50 . 2006-11-07 02:50 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-08-13 1232896]
"SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2006-10-23 1092152]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2007-11-20 360448]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-06 39408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-08-16 1006264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-16 815104]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-07-11 90112]
"HostManager"="c:\program files\Common Files\AOL\1162836921\ee\AOLSoftware.exe" [2006-11-14 50736]
"toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-01-10 18944]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"VX1000"="c:\windows\vVX1000.exe" [2006-12-05 707360]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2008-06-10 107248]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2006-11-09 3784704]
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
Digimax Viewer 2.1.lnk - c:\program files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe [2007-6-23 634880]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{75C0C6AA-1E8F-42E5-82D8-7705BD669B54}"= UDP:c:\program files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect
"{73909FEE-8311-4ECA-8E08-47B3C6385F18}"= TCP:c:\program files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect
"{3A2CF873-85AB-4D09-AF32-A3846399E3AB}"= UDP:c:\program files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL
"{60627279-8ED2-40F1-B703-78253F44388D}"= TCP:c:\program files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL
"{86DEA87F-DA31-4D07-9A63-BAE28389EEA8}"= UDP:c:\program files\AOL 9.0 VR\waol.exe:AOL
"{43025746-8BFE-4B5D-B621-F6D6FD66ABD5}"= TCP:c:\program files\AOL 9.0 VR\waol.exe:AOL
"{6070C7F0-77E7-4D2D-A3CF-D8157897AC6F}"= UDP:c:\program files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed
"{73D33FF5-7100-4503-B4BF-277AC3D8558B}"= TCP:c:\program files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed
"{5AF1E4F8-D8D9-48C5-AD43-7A389B50F5AF}"= UDP:c:\program files\Common Files\aol\Loader\aolload.exe:AOL Loader
"{AC52375A-A715-4AE6-B7AD-87B1A1D777FD}"= TCP:c:\program files\Common Files\aol\Loader\aolload.exe:AOL Loader
"{1CDDABE6-6655-4A29-BAA0-6660BA528BEA}"= UDP:c:\program files\Common Files\aol\System Information\sinf.exe:AOL System Information
"{01E8BFA3-768F-40DC-8D9D-CED6262A3BF3}"= TCP:c:\program files\Common Files\aol\System Information\sinf.exe:AOL System Information
"{1AF7D52D-44C0-4A12-B45F-6700AD07D45F}"= UDP:c:\program files\Skype\Phone\Skype.exe:Skype
"{8DED1855-51E1-44C5-81A7-75F61D30EE52}"= TCP:c:\program files\Skype\Phone\Skype.exe:Skype
"{4E3FF6A5-E4DE-4978-899C-A0EF7F1E5D0C}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"{E6885D87-8071-4A5C-9379-63D117AE065C}"= UDP:c:\windows\System32\lxbtcoms.exe:Lexmark Communications System
"{AFF8D277-7C68-47CC-AE05-9AF27C922EA2}"= TCP:c:\windows\System32\lxbtcoms.exe:Lexmark Communications System
"{1CA0E0A1-D203-466A-B5D7-D693912C05FF}"= UDP:c:\program files\Cyanide\GameCenter\GameCenter.exe:GameCenter
"{6F25841A-FE9C-4F5F-90B8-FC4BAEC74567}"= TCP:c:\program files\Cyanide\GameCenter\GameCenter.exe:GameCenter
"{783A2CA9-C47F-4D72-B4B9-38BAAA9E7A47}"= UDP:c:\program files\Microsoft LifeCam\LifeExp.exe:LifeExp.exe
"{8E78F905-1BB9-4850-A6ED-2C6EC3C135CE}"= TCP:c:\program files\Microsoft LifeCam\LifeExp.exe:LifeExp.exe
"{1839C543-41CA-42F7-B80C-6B1B1E377CB1}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{8BF9E274-C222-4CBE-AA77-78FD064DE440}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{277E1D20-0AB1-45D1-A19C-1DD3CDEBE929}"= UDP:c:\program files\Cyanide\Pro Cycling Manager 2007\PCM.exe:Pro Cycling Manager 2007
"{9FF14212-5E50-41C1-850B-4F01AA74E777}"= TCP:c:\program files\Cyanide\Pro Cycling Manager 2007\PCM.exe:Pro Cycling Manager 2007
"{480C6778-6700-4074-A7F4-E3BE26378583}"= UDP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{3BC6D4EE-A889-4EA7-ABCA-2A7B923D0D00}"= TCP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{4A69233F-851D-41D2-B35E-3F5616DA91DA}"= UDP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{FB940780-D42B-4D51-B8E3-47EA4C94723F}"= TCP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{3D4AACCD-70BE-42ED-9B78-AB70829DDCCD}"= UDP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player
"{BE8B795D-A0DC-4719-BD95-44FF7548A9E3}"= TCP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player
"{9D1AF70E-5D1C-4A0A-886D-3EC45A74384E}"= Disabled:UDP:c:\program files\Sports Interactive\Football Manager 2008\fm.exe:Football Manager 2008
"{E306DCEF-670E-4B1B-82D6-AEB7636B4282}"= Disabled:TCP:c:\program files\Sports Interactive\Football Manager 2008\fm.exe:Football Manager 2008
"{C9B8C3C6-C8AF-4F39-AA89-4F7500A1D65D}"= Disabled:UDP:c:\program files\Sports Interactive\Football Manager 2009\fm.exe:Football Manager 2009
"{805F26BE-BC78-458F-BE2F-7689BC9CEF49}"= Disabled:TCP:c:\program files\Sports Interactive\Football Manager 2009\fm.exe:Football Manager 2009
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\uusee\\UUSeePlayer.exe"= c:\program files\uusee\UUSeePlayer.exe:*:Enabled:UUSEE
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"= c:\program files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS
R0 pe3akt6c;Cycling Manager 2007 Environment Driver (pe3akt6c);c:\windows\System32\drivers\pe3akt6c.sys [08/06/2007 19:29 64912]
R0 pf2akt6c;Cycling Manager 2007 File System Driver (pf2akt6c);c:\windows\System32\drivers\pf2akt6c.sys [08/06/2007 19:28 83856]
R0 ps6akt6c;Cycling Manager 2007 Synchronization Driver (ps6akt6c);c:\windows\System32\drivers\ps6akt6c.sys [08/06/2007 19:28 55704]
R3 rt61x86;Ralink RT61 Wireless Driver for Windows Vista;c:\windows\System32\drivers\netr61.sys [11/05/2007 16:28 357376]
S2 FontCache3.0.0.0clr_optimization_v2.0.50727_32;Cache de police de Windows Presentation Foundation 3.0.0.0 FontCache3.0.0.0clr_optimization_v2.0.50727_32;c:\windows\system32\actskin4o.exe srv --> c:\windows\system32\actskin4o.exe srv [?]
S2 pr2akt6c;Cycling Manager 2007 Drivers Auto Removal (pr2akt6c);c:\windows\system32\pr2akt6c.exe svc --> c:\windows\system32\pr2akt6c.exe svc [?]
S2 WdiServiceHostSessionEnv;Service hôte WDIServiceHost WdiServiceHostSessionEnv;c:\windows\system32\algi.exe srv --> c:\windows\system32\algi.exe srv [?]
S3 ovt530;Hercules Webcam Classic;c:\windows\System32\drivers\ov530vid.sys [13/12/2008 18:28 161792]
S3 PAC207;SoC PC-Camera;c:\windows\System32\drivers\PFC027.SYS [05/12/2006 12:34 507136]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [10/08/2007 18:00 28224]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\System32\drivers\s916bus.sys [14/06/2008 22:51 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\System32\drivers\s916mdfl.sys [14/06/2008 22:51 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\System32\drivers\s916mdm.sys [14/06/2008 22:51 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\System32\drivers\s916mgmt.sys [14/06/2008 22:51 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\System32\drivers\s916obex.sys [14/06/2008 22:51 100008]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8
mWindow Title =
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-29 22:41
Windows 6.0.6000 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_USERS\S-1-5-21-1682928167-2818316632-1173391612-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:26,4c,a2,0f,6b,c7,04,52,e2,70,2c,b0,83,0d,85,b8,08,35,8a,99,db,89,8d,
6f,5b,9f,c0,9f,35,d4,d5,22,98,69,17,67,36,60,00,e7,79,06,a9,54,7b,2a,a4,66,\
"??"=hex:70,e3,35,b0,9c,b1,1a,59,db,84,29,cb,e3,90,de,65
[HKEY_USERS\S-1-5-21-1682928167-2818316632-1173391612-1000\Software\SecuROM\License information*]
"datasecu"=hex:87,06,93,cf,cb,4b,32,95,a8,6f,5d,cb,8b,f6,00,a7,45,62,a8,d9,85,
f3,af,a6,f4,fc,80,c0,42,12,a4,13,d0,eb,e4,16,17,d4,64,a5,d8,1c,bf,bd,07,a2,\
"rkeysecu"=hex:9b,04,a8,92,08,fb,4f,36,8b,5e,a1,13,bb,bb,01,d1
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Other Running Processes ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\Ati2evxx.exe
c:\windows\notepad.exe
c:\program files\ATI Technologies\ATI.ACE\CLI.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
c:\windows\System32\PnkBstrA.exe
c:\windows\System32\PnkBstrB.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\conime.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\System32\rundll32.exe
.
**************************************************************************
.
Completion time: 2009-07-29 22:54 - machine was rebooted
ComboFix-quarantined-files.txt 2009-07-29 20:54
Pre-Run: 46 798 462 976 octets libres
Post-Run: 46 636 601 344 octets libres
231 --- E O F --- 2008-08-13 16:25
All processes killed
========== SERVICES/DRIVERS ==========
Service\Driver iprqesqbd deleted successfully.
========== FILES ==========
File/Folder C:\Windows\system32\drivers\yvewpbiux.sys not found.
C:\Program Files\IEToolbar moved successfully.
C:\Windows\gkkjm0170.exe moved successfully.
C:\Windows\System32\winset.ini moved successfully.
C:\Windows\System32\ciadvs.exe moved successfully.
C:\Windows\System32\ciadvss.exe moved successfully.
C:\Windows\System32\hjgruilog.dat moved successfully.
C:\Windows\System32\2432874399.dat moved successfully.
DllUnregisterServer procedure not found in C:\Windows\System32\hjgruiqnikecrn.dll
C:\Windows\System32\hjgruiqnikecrn.dll NOT unregistered.
C:\Windows\System32\hjgruiqnikecrn.dll moved successfully.
C:\Windows\System32\hjgruieulctvoj.dat moved successfully.
C:\Windows\System32\hjgruiyujngcqq.dat moved successfully.
C:\Users\Aurélien\AppData\Local\Temp\hjgruidmsxebyg000 moved successfully.
C:\Users\Aurélien\AppData\Local\Temp\hjgrui000 moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Aurélien
->Temp folder emptied: 7974733 bytes
->Temporary Internet Files folder emptied: 48836659 bytes
->Java cache emptied: 8945146 bytes
User: AurÚlien
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 3670016 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 66,21 mb
OTM by OldTimer - Version 3.0.0.5 log created on 07292009_221856
Files moved on Reboot...
Registry entries deleted on Reboot...
au redémarrage combofix est réapparu et à publier le rapport ci-dessous et je suis de nouveau en mode normal :
ComboFix 09-07-29.01 - Aurélien 29/07/2009 22:28.1.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.894.220 [GMT 2:00]
Running from: c:\users\Aurélien\Documents\LimeWire\Saved\Desktop\cijZK8tn2X\ske.exe
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Created a new restore point
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
c:\$recycle.bin\S-1-5-21-3406683125-4077109358-4081785792-500
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Conditions générales.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Confidentialité.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\InternetGameBox.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Website.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Conditions générales.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Confidentialité.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\WebMediaPlayer.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Website.lnk
c:\users\Public\Desktop\WebMediaPlayer.lnk
c:\windows\Installer\f70ff5d.msi
c:\windows\system32\cXs0xsN1wS0nXXK.vbs
c:\windows\system32\drivers\hjgruiixfkeygp.sys
c:\windows\system32\hjgruieulctvoj.dat
c:\windows\system32\hjgruimpgwglkj.dll
c:\windows\system32\hjgruiqnikecrn.dll
c:\windows\system32\hjgruiyujngcqq.dat
c:\windows\system32\zWPjEUCEdEUMNVm.vbs
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_hjgruidmsxebyg
-------\Service_hjgruidmsxebyg
((((((((((((((((((((((((( Files Created from 2009-06-28 to 2009-07-29 )))))))))))))))))))))))))))))))
.
2009-07-29 18:40 . 2009-07-29 18:40 2048 ----a-w- c:\windows\system32\msxml6r.dll
2009-07-29 18:40 . 2009-07-29 18:40 1341440 ----a-w- c:\windows\system32\msxml6.dll
2009-07-28 10:44 . 2009-07-28 10:44 -------- d-----w- c:\program files\CCleaner
2009-07-27 19:28 . 2009-07-27 19:34 -------- d-----w- C:\ToolBar SD
2009-07-11 08:09 . 2009-07-11 08:13 -------- d-----w- c:\progra~2\Sports Interactive
2009-07-11 08:06 . 2008-05-30 12:19 507400 ----a-w- c:\windows\system32\XAudio2_1.dll
2009-07-11 08:06 . 2008-05-30 12:18 238088 ----a-w- c:\windows\system32\xactengine3_1.dll
2009-07-11 08:06 . 2008-05-30 12:17 65032 ----a-w- c:\windows\system32\XAPOFX1_0.dll
2009-07-11 08:06 . 2008-05-30 12:17 25608 ----a-w- c:\windows\system32\X3DAudio1_4.dll
2009-07-11 08:06 . 2008-05-30 12:11 467984 ----a-w- c:\windows\system32\d3dx10_38.dll
2009-07-11 08:06 . 2008-05-30 12:11 1491992 ----a-w- c:\windows\system32\D3DCompiler_38.dll
2009-07-11 08:06 . 2008-05-30 12:11 3850760 ----a-w- c:\windows\system32\D3DX9_38.dll
2009-07-11 08:06 . 2008-03-05 14:03 479752 ----a-w- c:\windows\system32\XAudio2_0.dll
2009-07-11 08:06 . 2008-03-05 14:03 238088 ----a-w- c:\windows\system32\xactengine3_0.dll
2009-07-11 08:06 . 2008-03-05 14:00 25608 ----a-w- c:\windows\system32\X3DAudio1_3.dll
2009-07-11 08:06 . 2008-03-05 13:56 1420824 ----a-w- c:\windows\system32\D3DCompiler_37.dll
2009-07-11 08:06 . 2008-02-05 21:07 462864 ----a-w- c:\windows\system32\d3dx10_37.dll
2009-07-10 10:59 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-10 10:59 . 2009-07-10 10:59 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-10 10:59 . 2009-07-10 10:59 -------- d-----w- c:\progra~2\Malwarebytes
2009-07-10 10:59 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-10 10:45 . 2009-07-10 10:45 -------- d-----w- C:\_OTM
2009-07-09 18:24 . 2009-07-09 18:24 -------- d-----w- c:\program files\gBurner
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-29 20:35 . 2006-11-07 02:47 690832 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-29 20:35 . 2006-11-07 02:47 117572 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-28 10:27 . 2006-11-06 18:18 -------- d-----w- c:\program files\Common Files\Symantec Shared
2009-07-27 19:25 . 2006-11-06 18:18 -------- d-----w- c:\progra~2\Symantec
2009-07-26 11:40 . 2007-08-10 15:55 -------- d-----w- c:\program files\OrangeHSS
2009-07-11 16:51 . 2008-05-16 14:55 -------- d-----w- c:\program files\Common Files\Steam
2009-07-11 08:02 . 2007-06-16 19:37 -------- d-----w- c:\program files\Sports Interactive
2009-06-28 10:44 . 2006-11-06 18:17 -------- d-----w- c:\program files\Google
2009-06-22 18:44 . 2007-10-26 16:04 -------- d-----w- c:\program files\KONAMI
2009-06-22 18:36 . 2007-08-29 17:26 -------- d-----w- c:\program files\MSN Messenger
2009-06-18 17:40 . 2008-12-26 19:20 230432 ----a-w- C:\PA207.DAT
2007-08-24 18:42 . 2007-08-24 18:42 8 --sha-r- c:\windows\System32\FB7DFC5433.dll
2006-11-07 02:50 . 2006-11-07 02:50 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-08-13 1232896]
"SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2006-10-23 1092152]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2007-11-20 360448]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-06 39408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-08-16 1006264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-16 815104]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-07-11 90112]
"HostManager"="c:\program files\Common Files\AOL\1162836921\ee\AOLSoftware.exe" [2006-11-14 50736]
"toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-01-10 18944]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"VX1000"="c:\windows\vVX1000.exe" [2006-12-05 707360]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2008-06-10 107248]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2006-11-09 3784704]
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
Digimax Viewer 2.1.lnk - c:\program files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe [2007-6-23 634880]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{75C0C6AA-1E8F-42E5-82D8-7705BD669B54}"= UDP:c:\program files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect
"{73909FEE-8311-4ECA-8E08-47B3C6385F18}"= TCP:c:\program files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect
"{3A2CF873-85AB-4D09-AF32-A3846399E3AB}"= UDP:c:\program files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL
"{60627279-8ED2-40F1-B703-78253F44388D}"= TCP:c:\program files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL
"{86DEA87F-DA31-4D07-9A63-BAE28389EEA8}"= UDP:c:\program files\AOL 9.0 VR\waol.exe:AOL
"{43025746-8BFE-4B5D-B621-F6D6FD66ABD5}"= TCP:c:\program files\AOL 9.0 VR\waol.exe:AOL
"{6070C7F0-77E7-4D2D-A3CF-D8157897AC6F}"= UDP:c:\program files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed
"{73D33FF5-7100-4503-B4BF-277AC3D8558B}"= TCP:c:\program files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed
"{5AF1E4F8-D8D9-48C5-AD43-7A389B50F5AF}"= UDP:c:\program files\Common Files\aol\Loader\aolload.exe:AOL Loader
"{AC52375A-A715-4AE6-B7AD-87B1A1D777FD}"= TCP:c:\program files\Common Files\aol\Loader\aolload.exe:AOL Loader
"{1CDDABE6-6655-4A29-BAA0-6660BA528BEA}"= UDP:c:\program files\Common Files\aol\System Information\sinf.exe:AOL System Information
"{01E8BFA3-768F-40DC-8D9D-CED6262A3BF3}"= TCP:c:\program files\Common Files\aol\System Information\sinf.exe:AOL System Information
"{1AF7D52D-44C0-4A12-B45F-6700AD07D45F}"= UDP:c:\program files\Skype\Phone\Skype.exe:Skype
"{8DED1855-51E1-44C5-81A7-75F61D30EE52}"= TCP:c:\program files\Skype\Phone\Skype.exe:Skype
"{4E3FF6A5-E4DE-4978-899C-A0EF7F1E5D0C}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"{E6885D87-8071-4A5C-9379-63D117AE065C}"= UDP:c:\windows\System32\lxbtcoms.exe:Lexmark Communications System
"{AFF8D277-7C68-47CC-AE05-9AF27C922EA2}"= TCP:c:\windows\System32\lxbtcoms.exe:Lexmark Communications System
"{1CA0E0A1-D203-466A-B5D7-D693912C05FF}"= UDP:c:\program files\Cyanide\GameCenter\GameCenter.exe:GameCenter
"{6F25841A-FE9C-4F5F-90B8-FC4BAEC74567}"= TCP:c:\program files\Cyanide\GameCenter\GameCenter.exe:GameCenter
"{783A2CA9-C47F-4D72-B4B9-38BAAA9E7A47}"= UDP:c:\program files\Microsoft LifeCam\LifeExp.exe:LifeExp.exe
"{8E78F905-1BB9-4850-A6ED-2C6EC3C135CE}"= TCP:c:\program files\Microsoft LifeCam\LifeExp.exe:LifeExp.exe
"{1839C543-41CA-42F7-B80C-6B1B1E377CB1}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{8BF9E274-C222-4CBE-AA77-78FD064DE440}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{277E1D20-0AB1-45D1-A19C-1DD3CDEBE929}"= UDP:c:\program files\Cyanide\Pro Cycling Manager 2007\PCM.exe:Pro Cycling Manager 2007
"{9FF14212-5E50-41C1-850B-4F01AA74E777}"= TCP:c:\program files\Cyanide\Pro Cycling Manager 2007\PCM.exe:Pro Cycling Manager 2007
"{480C6778-6700-4074-A7F4-E3BE26378583}"= UDP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{3BC6D4EE-A889-4EA7-ABCA-2A7B923D0D00}"= TCP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{4A69233F-851D-41D2-B35E-3F5616DA91DA}"= UDP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{FB940780-D42B-4D51-B8E3-47EA4C94723F}"= TCP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{3D4AACCD-70BE-42ED-9B78-AB70829DDCCD}"= UDP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player
"{BE8B795D-A0DC-4719-BD95-44FF7548A9E3}"= TCP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player
"{9D1AF70E-5D1C-4A0A-886D-3EC45A74384E}"= Disabled:UDP:c:\program files\Sports Interactive\Football Manager 2008\fm.exe:Football Manager 2008
"{E306DCEF-670E-4B1B-82D6-AEB7636B4282}"= Disabled:TCP:c:\program files\Sports Interactive\Football Manager 2008\fm.exe:Football Manager 2008
"{C9B8C3C6-C8AF-4F39-AA89-4F7500A1D65D}"= Disabled:UDP:c:\program files\Sports Interactive\Football Manager 2009\fm.exe:Football Manager 2009
"{805F26BE-BC78-458F-BE2F-7689BC9CEF49}"= Disabled:TCP:c:\program files\Sports Interactive\Football Manager 2009\fm.exe:Football Manager 2009
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\uusee\\UUSeePlayer.exe"= c:\program files\uusee\UUSeePlayer.exe:*:Enabled:UUSEE
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"= c:\program files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS
R0 pe3akt6c;Cycling Manager 2007 Environment Driver (pe3akt6c);c:\windows\System32\drivers\pe3akt6c.sys [08/06/2007 19:29 64912]
R0 pf2akt6c;Cycling Manager 2007 File System Driver (pf2akt6c);c:\windows\System32\drivers\pf2akt6c.sys [08/06/2007 19:28 83856]
R0 ps6akt6c;Cycling Manager 2007 Synchronization Driver (ps6akt6c);c:\windows\System32\drivers\ps6akt6c.sys [08/06/2007 19:28 55704]
R3 rt61x86;Ralink RT61 Wireless Driver for Windows Vista;c:\windows\System32\drivers\netr61.sys [11/05/2007 16:28 357376]
S2 FontCache3.0.0.0clr_optimization_v2.0.50727_32;Cache de police de Windows Presentation Foundation 3.0.0.0 FontCache3.0.0.0clr_optimization_v2.0.50727_32;c:\windows\system32\actskin4o.exe srv --> c:\windows\system32\actskin4o.exe srv [?]
S2 pr2akt6c;Cycling Manager 2007 Drivers Auto Removal (pr2akt6c);c:\windows\system32\pr2akt6c.exe svc --> c:\windows\system32\pr2akt6c.exe svc [?]
S2 WdiServiceHostSessionEnv;Service hôte WDIServiceHost WdiServiceHostSessionEnv;c:\windows\system32\algi.exe srv --> c:\windows\system32\algi.exe srv [?]
S3 ovt530;Hercules Webcam Classic;c:\windows\System32\drivers\ov530vid.sys [13/12/2008 18:28 161792]
S3 PAC207;SoC PC-Camera;c:\windows\System32\drivers\PFC027.SYS [05/12/2006 12:34 507136]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [10/08/2007 18:00 28224]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\System32\drivers\s916bus.sys [14/06/2008 22:51 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\System32\drivers\s916mdfl.sys [14/06/2008 22:51 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\System32\drivers\s916mdm.sys [14/06/2008 22:51 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\System32\drivers\s916mgmt.sys [14/06/2008 22:51 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\System32\drivers\s916obex.sys [14/06/2008 22:51 100008]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8
mWindow Title =
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-29 22:41
Windows 6.0.6000 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_USERS\S-1-5-21-1682928167-2818316632-1173391612-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:26,4c,a2,0f,6b,c7,04,52,e2,70,2c,b0,83,0d,85,b8,08,35,8a,99,db,89,8d,
6f,5b,9f,c0,9f,35,d4,d5,22,98,69,17,67,36,60,00,e7,79,06,a9,54,7b,2a,a4,66,\
"??"=hex:70,e3,35,b0,9c,b1,1a,59,db,84,29,cb,e3,90,de,65
[HKEY_USERS\S-1-5-21-1682928167-2818316632-1173391612-1000\Software\SecuROM\License information*]
"datasecu"=hex:87,06,93,cf,cb,4b,32,95,a8,6f,5d,cb,8b,f6,00,a7,45,62,a8,d9,85,
f3,af,a6,f4,fc,80,c0,42,12,a4,13,d0,eb,e4,16,17,d4,64,a5,d8,1c,bf,bd,07,a2,\
"rkeysecu"=hex:9b,04,a8,92,08,fb,4f,36,8b,5e,a1,13,bb,bb,01,d1
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Other Running Processes ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\Ati2evxx.exe
c:\windows\notepad.exe
c:\program files\ATI Technologies\ATI.ACE\CLI.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
c:\windows\System32\PnkBstrA.exe
c:\windows\System32\PnkBstrB.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\conime.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\System32\rundll32.exe
.
**************************************************************************
.
Completion time: 2009-07-29 22:54 - machine was rebooted
ComboFix-quarantined-files.txt 2009-07-29 20:54
Pre-Run: 46 798 462 976 octets libres
Post-Run: 46 636 601 344 octets libres
231 --- E O F --- 2008-08-13 16:25
Super ..
on continue car il y a du boulot ! ... ^^
on bosse maintenant en mode normal ! ( sauf si je te demande de passer en mse )
Dans l'ordre :
1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.
Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
=========================
2- Infecté par Navipromo .
-------------------------------------
Pour info,
Les programmes suivants installent cette infection :
- Funky Emoticons
- Games-Attack
- Original-Solitaire
- Go-Astro
- GoRecord
- HotTVPlayer
- Live-Player
- MailSkinner
- Messenger Skinner
- Instant Access
- InternetGameBox
- Sudoplanet
- WebMediaPlayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
---------------------------------------
Télécharge Navilog1 sur ton bureau :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!
Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil .
Laisse-toi guider. Au menu principal, choisis 1 et valide .
(ne fais pas le choix 2 notre avis/accord) .
Patiente le temps du scan ...
> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuelement (c'est important !) .
Note :
Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).
Patiente jusqu'au message :
*** Scan Terminé le ..... ***
Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et fait la suite .
(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )
========================
3- refais un scan avec ZHPDiag , poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ....
on continue car il y a du boulot ! ... ^^
on bosse maintenant en mode normal ! ( sauf si je te demande de passer en mse )
Dans l'ordre :
1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.
Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
=========================
2- Infecté par Navipromo .
-------------------------------------
Pour info,
Les programmes suivants installent cette infection :
- Funky Emoticons
- Games-Attack
- Original-Solitaire
- Go-Astro
- GoRecord
- HotTVPlayer
- Live-Player
- MailSkinner
- Messenger Skinner
- Instant Access
- InternetGameBox
- Sudoplanet
- WebMediaPlayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
---------------------------------------
Télécharge Navilog1 sur ton bureau :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!
Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil .
Laisse-toi guider. Au menu principal, choisis 1 et valide .
(ne fais pas le choix 2 notre avis/accord) .
Patiente le temps du scan ...
> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuelement (c'est important !) .
Note :
Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).
Patiente jusqu'au message :
*** Scan Terminé le ..... ***
Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et fait la suite .
(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )
========================
3- refais un scan avec ZHPDiag , poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ....
alors ci dessou le rapport de navilog et aprés le lien :
Fix Navipromo version 4.0.1 commencé le 29/07/2009 23:38:21,86
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 18.07.2009 à 11h00 par IL-MAFIOSO
Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6000 )
X86-based PC ( Multiprocessor Free : Genuine Intel(R) CPU T2080 @ 1.73GHz )
BIOS : Phoenix NoteBIOS 4.0 Release 6.1
USER : Aurélien ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:103 Go (Free:41 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (CD or DVD)
Recherche executée en mode normal
Nettoyage exécuté au redémarrage de l'ordinateur
C:\Users\Aur‚lien\AppData\Local\virtualstore\Program Files\InternetGamebox supprimé !
C:\Users\Aur‚lien\AppData\Local\yqwuo.dat supprimé !
Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\AURLIE~1\AppData\Local\Temp effectué !
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
*** Scan terminé 30/07/2009 6:32:14,23 ***
puis le lien ci joint :
http://www.cijoint.fr/cjlink.php?file=cj200907/cijL7yhNp7.txt
Fix Navipromo version 4.0.1 commencé le 29/07/2009 23:38:21,86
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 18.07.2009 à 11h00 par IL-MAFIOSO
Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6000 )
X86-based PC ( Multiprocessor Free : Genuine Intel(R) CPU T2080 @ 1.73GHz )
BIOS : Phoenix NoteBIOS 4.0 Release 6.1
USER : Aurélien ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:103 Go (Free:41 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (CD or DVD)
Recherche executée en mode normal
Nettoyage exécuté au redémarrage de l'ordinateur
C:\Users\Aur‚lien\AppData\Local\virtualstore\Program Files\InternetGamebox supprimé !
C:\Users\Aur‚lien\AppData\Local\yqwuo.dat supprimé !
Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\AURLIE~1\AppData\Local\Temp effectué !
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
*** Scan terminé 30/07/2009 6:32:14,23 ***
puis le lien ci joint :
http://www.cijoint.fr/cjlink.php?file=cj200907/cijL7yhNp7.txt
Salut,
tu va pouvoir fait ceci maintenant :
1- Avoir accès aux fichiers cachés :
Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
--> vas sur l'onglet " Affichage " .
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )
2- Rends toi sur ce site :
https://www.virustotal.com/gui/
Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\Windows\system32\actskin4o.exe
Clique sur Send File ( = " Envoyer le fichier " ).
Un rapport va s'élaborer ligne à ligne.
Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta prochaine réponse ...
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
Fais de même pour :
C:\Windows\system32\algi.exe
C:\Program Files\uusee\UUSeePlayer.exe
C:\Windows\system32\drivers\A502.sys
Poste moi donc ces 4 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
tu va pouvoir fait ceci maintenant :
1- Avoir accès aux fichiers cachés :
Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
--> vas sur l'onglet " Affichage " .
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )
2- Rends toi sur ce site :
https://www.virustotal.com/gui/
Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\Windows\system32\actskin4o.exe
Clique sur Send File ( = " Envoyer le fichier " ).
Un rapport va s'élaborer ligne à ligne.
Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta prochaine réponse ...
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
Fais de même pour :
C:\Windows\system32\algi.exe
C:\Program Files\uusee\UUSeePlayer.exe
C:\Windows\system32\drivers\A502.sys
Poste moi donc ces 4 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
voila le premier rapport C:\Windows\system32\actskin4o.exe
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.30 -
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.234 2009.07.30 -
Antiy-AVL 2.0.3.7 2009.07.30 -
Authentium 5.1.2.4 2009.07.29 -
Avast 4.8.1335.0 2009.07.29 -
AVG 8.5.0.387 2009.07.30 -
BitDefender 7.2 2009.07.30 -
CAT-QuickHeal 10.00 2009.07.30 -
ClamAV 0.94.1 2009.07.30 -
Comodo 1812 2009.07.30 -
DrWeb 5.0.0.12182 2009.07.30 -
eSafe 7.0.17.0 2009.07.29 Win32.Flooder.IM.VB.
eTrust-Vet 31.6.6647 2009.07.30 -
F-Prot 4.4.4.56 2009.07.29 -
F-Secure 8.0.14470.0 2009.07.30 -
Fortinet 3.120.0.0 2009.07.30 -
GData 19 2009.07.30 -
Ikarus T3.1.1.64.0 2009.07.30 -
Jiangmin 11.0.800 2009.07.30 -
K7AntiVirus 7.10.805 2009.07.29 -
Kaspersky 7.0.0.125 2009.07.30 -
McAfee 5692 2009.07.29 -
McAfee+Artemis 5692 2009.07.29 -
McAfee-GW-Edition 6.8.5 2009.07.30 -
Microsoft 1.4903 2009.07.30 -
NOD32 4290 2009.07.30 -
Norman 6.01.09 2009.07.29 -
nProtect 2009.1.8.0 2009.07.30 -
Panda 10.0.0.14 2009.07.29 -
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.30 -
Rising 21.40.32.00 2009.07.30 -
Sophos 4.44.0 2009.07.30 -
Sunbelt 3.2.1858.2 2009.07.29 -
Symantec 1.4.4.12 2009.07.30 -
TheHacker 6.3.4.3.378 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.30 -
VBA32 3.12.10.9 2009.07.30 -
ViRobot 2009.7.30.1861 2009.07.30 -
VirusBuster 4.6.5.0 2009.07.29 -
Information additionnelle
File size: 380928 bytes
MD5...: 99825c8aed2fa0ac76aa0fad770f44c1
SHA1..: 6d19de49d974f8645147d3001fe2cda73ed17742
SHA256: f05e0b9a6e426f1db6a3b6dab4d6c726b10901cd549524923b3703d390444ab9
ssdeep: 6144:uxd7LmGSqpUnENuRbGS0Pz6Te79qcaZnCDe:uxtLG4NuRbGS0e3qe
PEiD..: -
TrID..: File type identification
DirectShow filter (47.3%)
Windows OCX File (28.9%)
InstallShield setup (10.1%)
Win32 Executable MS Visual C++ (generic) (8.8%)
Win32 Executable Generic (2.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x31261
timedatestamp.....: 0x3e0961eb (Wed Dec 25 07:44:43 2002)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x32a35 0x33000 6.56 08284d743a673fe9f1d6d423e27dd5ae
.rdata 0x34000 0x5aa5 0x6000 5.70 a2d903e5865337546066edd2468bdad1
.data 0x3a000 0x7a74 0x8000 5.81 19adfa17f79c86ea12513d921f8decc8
.rsrc 0x42000 0x15d70 0x16000 5.11 e94be16f3a90642412d1d38151291c11
.reloc 0x58000 0x430c 0x5000 5.77 b674a3d644f3d09f38d7acf6d0593769
( 10 imports )
> WINMM.dll: PlaySoundA
> KERNEL32.dll: WaitForSingleObject, CreateThread, GetVersion, GetModuleHandleA, SetFilePointer, WriteFile, DebugBreak, HeapReAlloc, HeapFree, ExitProcess, QueryPerformanceCounter, Sleep, HeapSize, QueryPerformanceFrequency, LCMapStringW, GetCPInfo, GetACP, GetOEMCP, GetStdHandle, GetTickCount, GetWindowsDirectoryA, CreateFileA, GetFileSize, ReadFile, CloseHandle, DeleteFileA, GetCurrentThreadId, GetCurrentProcess, FlushInstructionCache, RtlUnwind, InterlockedIncrement, InterlockedDecrement, LoadLibraryA, GetProcAddress, lstrcatA, lstrcpyA, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, HeapDestroy, InitializeCriticalSection, HeapCreate, GetSystemInfo, HeapAlloc, DisableThreadLibraryCalls, IsDBCSLeadByte, lstrcpynA, lstrcmpiA, LoadLibraryExA, GetLastError, FindResourceA, LoadResource, SizeofResource, FreeLibrary, WideCharToMultiByte, GetModuleFileNameA, GetShortPathNameA, TerminateProcess, lstrlenA, MultiByteToWideChar, lstrlenW, GetStringTypeA, LCMapStringA, GetStringTypeW
> USER32.dll: DestroyCaret, GetScrollInfo, TrackPopupMenu, SetWindowsHookExA, UnhookWindowsHookEx, CallNextHookEx, GetMenuItemCount, GetMenuStringA, SetMenuItemInfoA, WindowFromDC, LoadImageA, GetWindowDC, PostMessageA, EnumThreadWindows, PeekMessageA, GetMessageA, DispatchMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadBitmapA, ShowWindow, SetFocus, GetDC, SetScrollInfo, SetWindowTextA, EnableWindow, GetSysColor, GetWindow, GetParent, CreateWindowExA, GetDesktopWindow, DrawTextA, SystemParametersInfoA, ClientToScreen, GetUpdateRgn, GetClassNameA, SendMessageA, GetCursorPos, GetWindowRect, GetWindowRgn, SetCapture, ReleaseCapture, GetWindowLongA, SetWindowLongA, RedrawWindow, BeginPaint, GetClientRect, EndPaint, ReleaseDC, IsWindowEnabled, InvalidateRect, IntersectRect, EqualRect, OffsetRect, SetWindowRgn, SetWindowPos, IsWindow, DestroyWindow, GetFocus, IsChild, UnionRect, PtInRect, GetKeyState, GetClassInfoExA, LoadCursorA, wsprintfA, RegisterClassExA, IsRectEmpty, EnableMenuItem, SetMenu, GetMenuItemID, GetSubMenu, GetMenuState, GetActiveWindow, AdjustWindowRect, GetMenu, GetWindowTextLengthA, GetWindowTextA, GetWindowPlacement, GetSystemMenu, UpdateWindow, GetIconInfo, CallWindowProcA, DrawIconEx, DefWindowProcA, LoadStringA, CharNextA, GetMenuItemInfoA
> GDI32.dll: RestoreDC, DeleteDC, SetWindowOrgEx, SetMapMode, SaveDC, LPtoDP, CreateDCA, BitBlt, SelectObject, CreateCompatibleDC, GetDeviceCaps, SelectClipRgn, GetCurrentObject, CreateFontIndirectA, GetClipBox, CreateDIBSection, ExtCreateRegion, GetRegionData, SetBkMode, GetStockObject, SetViewportOrgEx, SetTextColor, SetBkColor, CreateSolidBrush, RectInRegion, CombineRgn, OffsetRgn, CreateRectRgn, PtInRegion, DeleteObject, GetObjectA, CreateRectRgnIndirect
> comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA
> ADVAPI32.dll: RegEnumKeyExA, RegEnumValueA, RegQueryInfoKeyA, RegSetValueExA, RegDeleteKeyA, RegOpenKeyExA, RegCloseKey, RegDeleteValueA, RegCreateKeyExA
> SHELL32.dll: ShellExecuteExA
> ole32.dll: OleLoadFromStream, OleSaveToStream, WriteClassStm, CreateOleAdviseHolder, OleRegGetMiscStatus, StringFromCLSID, ProgIDFromCLSID, OleRegGetUserType, CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc, CoTaskMemFree, CreateStreamOnHGlobal, StgCreateDocfile, StgOpenStorage, OleRegEnumVerbs
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_Draw
( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
PDFiD.: -
RDS...: NSRL Reference Data Set
( Hewlett Packard )
> HP Color LaserJet 2600n: actskin4.ocx
( Gateway )
> Gateway Drivers: actskin4.ocx
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.30 -
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.234 2009.07.30 -
Antiy-AVL 2.0.3.7 2009.07.30 -
Authentium 5.1.2.4 2009.07.29 -
Avast 4.8.1335.0 2009.07.29 -
AVG 8.5.0.387 2009.07.30 -
BitDefender 7.2 2009.07.30 -
CAT-QuickHeal 10.00 2009.07.30 -
ClamAV 0.94.1 2009.07.30 -
Comodo 1812 2009.07.30 -
DrWeb 5.0.0.12182 2009.07.30 -
eSafe 7.0.17.0 2009.07.29 Win32.Flooder.IM.VB.
eTrust-Vet 31.6.6647 2009.07.30 -
F-Prot 4.4.4.56 2009.07.29 -
F-Secure 8.0.14470.0 2009.07.30 -
Fortinet 3.120.0.0 2009.07.30 -
GData 19 2009.07.30 -
Ikarus T3.1.1.64.0 2009.07.30 -
Jiangmin 11.0.800 2009.07.30 -
K7AntiVirus 7.10.805 2009.07.29 -
Kaspersky 7.0.0.125 2009.07.30 -
McAfee 5692 2009.07.29 -
McAfee+Artemis 5692 2009.07.29 -
McAfee-GW-Edition 6.8.5 2009.07.30 -
Microsoft 1.4903 2009.07.30 -
NOD32 4290 2009.07.30 -
Norman 6.01.09 2009.07.29 -
nProtect 2009.1.8.0 2009.07.30 -
Panda 10.0.0.14 2009.07.29 -
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.30 -
Rising 21.40.32.00 2009.07.30 -
Sophos 4.44.0 2009.07.30 -
Sunbelt 3.2.1858.2 2009.07.29 -
Symantec 1.4.4.12 2009.07.30 -
TheHacker 6.3.4.3.378 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.30 -
VBA32 3.12.10.9 2009.07.30 -
ViRobot 2009.7.30.1861 2009.07.30 -
VirusBuster 4.6.5.0 2009.07.29 -
Information additionnelle
File size: 380928 bytes
MD5...: 99825c8aed2fa0ac76aa0fad770f44c1
SHA1..: 6d19de49d974f8645147d3001fe2cda73ed17742
SHA256: f05e0b9a6e426f1db6a3b6dab4d6c726b10901cd549524923b3703d390444ab9
ssdeep: 6144:uxd7LmGSqpUnENuRbGS0Pz6Te79qcaZnCDe:uxtLG4NuRbGS0e3qe
PEiD..: -
TrID..: File type identification
DirectShow filter (47.3%)
Windows OCX File (28.9%)
InstallShield setup (10.1%)
Win32 Executable MS Visual C++ (generic) (8.8%)
Win32 Executable Generic (2.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x31261
timedatestamp.....: 0x3e0961eb (Wed Dec 25 07:44:43 2002)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x32a35 0x33000 6.56 08284d743a673fe9f1d6d423e27dd5ae
.rdata 0x34000 0x5aa5 0x6000 5.70 a2d903e5865337546066edd2468bdad1
.data 0x3a000 0x7a74 0x8000 5.81 19adfa17f79c86ea12513d921f8decc8
.rsrc 0x42000 0x15d70 0x16000 5.11 e94be16f3a90642412d1d38151291c11
.reloc 0x58000 0x430c 0x5000 5.77 b674a3d644f3d09f38d7acf6d0593769
( 10 imports )
> WINMM.dll: PlaySoundA
> KERNEL32.dll: WaitForSingleObject, CreateThread, GetVersion, GetModuleHandleA, SetFilePointer, WriteFile, DebugBreak, HeapReAlloc, HeapFree, ExitProcess, QueryPerformanceCounter, Sleep, HeapSize, QueryPerformanceFrequency, LCMapStringW, GetCPInfo, GetACP, GetOEMCP, GetStdHandle, GetTickCount, GetWindowsDirectoryA, CreateFileA, GetFileSize, ReadFile, CloseHandle, DeleteFileA, GetCurrentThreadId, GetCurrentProcess, FlushInstructionCache, RtlUnwind, InterlockedIncrement, InterlockedDecrement, LoadLibraryA, GetProcAddress, lstrcatA, lstrcpyA, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, HeapDestroy, InitializeCriticalSection, HeapCreate, GetSystemInfo, HeapAlloc, DisableThreadLibraryCalls, IsDBCSLeadByte, lstrcpynA, lstrcmpiA, LoadLibraryExA, GetLastError, FindResourceA, LoadResource, SizeofResource, FreeLibrary, WideCharToMultiByte, GetModuleFileNameA, GetShortPathNameA, TerminateProcess, lstrlenA, MultiByteToWideChar, lstrlenW, GetStringTypeA, LCMapStringA, GetStringTypeW
> USER32.dll: DestroyCaret, GetScrollInfo, TrackPopupMenu, SetWindowsHookExA, UnhookWindowsHookEx, CallNextHookEx, GetMenuItemCount, GetMenuStringA, SetMenuItemInfoA, WindowFromDC, LoadImageA, GetWindowDC, PostMessageA, EnumThreadWindows, PeekMessageA, GetMessageA, DispatchMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadBitmapA, ShowWindow, SetFocus, GetDC, SetScrollInfo, SetWindowTextA, EnableWindow, GetSysColor, GetWindow, GetParent, CreateWindowExA, GetDesktopWindow, DrawTextA, SystemParametersInfoA, ClientToScreen, GetUpdateRgn, GetClassNameA, SendMessageA, GetCursorPos, GetWindowRect, GetWindowRgn, SetCapture, ReleaseCapture, GetWindowLongA, SetWindowLongA, RedrawWindow, BeginPaint, GetClientRect, EndPaint, ReleaseDC, IsWindowEnabled, InvalidateRect, IntersectRect, EqualRect, OffsetRect, SetWindowRgn, SetWindowPos, IsWindow, DestroyWindow, GetFocus, IsChild, UnionRect, PtInRect, GetKeyState, GetClassInfoExA, LoadCursorA, wsprintfA, RegisterClassExA, IsRectEmpty, EnableMenuItem, SetMenu, GetMenuItemID, GetSubMenu, GetMenuState, GetActiveWindow, AdjustWindowRect, GetMenu, GetWindowTextLengthA, GetWindowTextA, GetWindowPlacement, GetSystemMenu, UpdateWindow, GetIconInfo, CallWindowProcA, DrawIconEx, DefWindowProcA, LoadStringA, CharNextA, GetMenuItemInfoA
> GDI32.dll: RestoreDC, DeleteDC, SetWindowOrgEx, SetMapMode, SaveDC, LPtoDP, CreateDCA, BitBlt, SelectObject, CreateCompatibleDC, GetDeviceCaps, SelectClipRgn, GetCurrentObject, CreateFontIndirectA, GetClipBox, CreateDIBSection, ExtCreateRegion, GetRegionData, SetBkMode, GetStockObject, SetViewportOrgEx, SetTextColor, SetBkColor, CreateSolidBrush, RectInRegion, CombineRgn, OffsetRgn, CreateRectRgn, PtInRegion, DeleteObject, GetObjectA, CreateRectRgnIndirect
> comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA
> ADVAPI32.dll: RegEnumKeyExA, RegEnumValueA, RegQueryInfoKeyA, RegSetValueExA, RegDeleteKeyA, RegOpenKeyExA, RegCloseKey, RegDeleteValueA, RegCreateKeyExA
> SHELL32.dll: ShellExecuteExA
> ole32.dll: OleLoadFromStream, OleSaveToStream, WriteClassStm, CreateOleAdviseHolder, OleRegGetMiscStatus, StringFromCLSID, ProgIDFromCLSID, OleRegGetUserType, CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc, CoTaskMemFree, CreateStreamOnHGlobal, StgCreateDocfile, StgOpenStorage, OleRegEnumVerbs
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_Draw
( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
PDFiD.: -
RDS...: NSRL Reference Data Set
( Hewlett Packard )
> HP Color LaserJet 2600n: actskin4.ocx
( Gateway )
> Gateway Drivers: actskin4.ocx
second rapport C:\Windows\system32\algi.exe :
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.30 -
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.234 2009.07.30 -
Antiy-AVL 2.0.3.7 2009.07.30 -
Authentium 5.1.2.4 2009.07.29 -
Avast 4.8.1335.0 2009.07.29 -
AVG 8.5.0.387 2009.07.30 -
BitDefender 7.2 2009.07.30 -
CAT-QuickHeal 10.00 2009.07.30 -
ClamAV 0.94.1 2009.07.30 -
Comodo 1812 2009.07.30 -
DrWeb 5.0.0.12182 2009.07.30 -
eSafe 7.0.17.0 2009.07.29 -
eTrust-Vet 31.6.6647 2009.07.30 -
F-Prot 4.4.4.56 2009.07.29 -
F-Secure 8.0.14470.0 2009.07.30 -
Fortinet 3.120.0.0 2009.07.30 -
GData 19 2009.07.30 -
Ikarus T3.1.1.64.0 2009.07.30 -
Jiangmin 11.0.800 2009.07.30 -
K7AntiVirus 7.10.805 2009.07.29 -
Kaspersky 7.0.0.125 2009.07.30 -
McAfee 5692 2009.07.29 -
McAfee+Artemis 5692 2009.07.29 -
McAfee-GW-Edition 6.8.5 2009.07.30 -
Microsoft 1.4903 2009.07.30 -
NOD32 4290 2009.07.30 -
Norman 6.01.09 2009.07.29 -
nProtect 2009.1.8.0 2009.07.30 -
Panda 10.0.0.14 2009.07.29 -
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.30 -
Rising 21.40.32.00 2009.07.30 -
Sophos 4.44.0 2009.07.30 -
Sunbelt 3.2.1858.2 2009.07.29 -
Symantec 1.4.4.12 2009.07.30 -
TheHacker 6.3.4.3.378 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.30 -
VBA32 3.12.10.9 2009.07.30 -
ViRobot 2009.7.30.1861 2009.07.30 -
VirusBuster 4.6.5.0 2009.07.29 -
Information additionnelle
File size: 58880 bytes
MD5...: e69fb0e3112c40fdc0ef7d21a52dc951
SHA1..: 14c785ed9ff7eddcb066a5e62dc8fde9fe28af75
SHA256: 6fb299330edef77dc91fc279d90d8adea138ec98342116121f5879b50070963d
ssdeep: 1536:XdeySOdIJUmbRVNWpa/IbhH4w9Tmga9JH3QJB:Xde4eh8CIbhHe9+JB
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x7124
timedatestamp.....: 0x4549b2cd (Thu Nov 02 08:56:45 2006)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xafd2 0xb000 6.19 f7774cabd92a905904372b11db3b7579
.data 0xc000 0x780 0x400 3.03 e12550d9ec12210dfa801975552b680a
.rsrc 0xd000 0x1fc8 0x2000 5.50 35ea9fd16e4baee0c2c286075353929c
.reloc 0xf000 0xdbc 0xe00 5.89 40e3f6a317f7b7ae6f1cffdba9d99eda
( 8 imports )
> ADVAPI32.dll: SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, RegNotifyChangeKeyValue, StartServiceCtrlDispatcherW, RegQueryValueExW, RegEnumKeyExW, SystemFunction036
> KERNEL32.dll: DeleteTimerQueueEx, CloseHandle, Sleep, WaitForMultipleObjects, CreateEventW, HeapSetInformation, WaitForSingleObject, SetEvent, CreateThread, DeleteTimerQueueTimer, CreateTimerQueueTimer, GetCurrentProcessId, DuplicateHandle, GetCurrentProcess, RaiseException, GetLastError, CreateTimerQueue, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, InterlockedDecrement, InterlockedIncrement, InterlockedExchange, InterlockedCompareExchange, GetStartupInfoW, SetUnhandledExceptionFilter, BindIoCompletionCallback, WriteFile, ReadFile, HeapFree, GetProcessHeap, HeapAlloc, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA
> msvcrt.dll: _controlfp, __1type_info@@UAE@XZ, _onexit, __CxxFrameHandler3, _purecall, _CxxThrowException, memcpy, free, _wcsicmp, memcpy_s, _lock, __dllonexit, _unlock, _terminate@@YAXXZ, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _exit, _cexit, __wgetmainargs, malloc, _callnewh, _what@exception@@UBEPBDXZ, realloc, memmove, isdigit, memset, __0exception@@QAE@ABV0@@Z, __0exception@@QAE@XZ, __1exception@@UAE@XZ, memmove_s, _except_handler4_common
> ATL.DLL: -, -, -, -, -, -
> WS2_32.dll: -, WSASocketW, -, -, -, -, -, -, -, -, WSAIoctl, -, -, -, -
> ole32.dll: CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc, CoUninitialize, CoInitializeEx, CLSIDFromString
> OLEAUT32.dll: -, -
> WSOCK32.dll: -, -
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
( Microsoft )
> Installed Vista Ultimate: alg.exe
Les deux derniers n'existent pas
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.30 -
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.234 2009.07.30 -
Antiy-AVL 2.0.3.7 2009.07.30 -
Authentium 5.1.2.4 2009.07.29 -
Avast 4.8.1335.0 2009.07.29 -
AVG 8.5.0.387 2009.07.30 -
BitDefender 7.2 2009.07.30 -
CAT-QuickHeal 10.00 2009.07.30 -
ClamAV 0.94.1 2009.07.30 -
Comodo 1812 2009.07.30 -
DrWeb 5.0.0.12182 2009.07.30 -
eSafe 7.0.17.0 2009.07.29 -
eTrust-Vet 31.6.6647 2009.07.30 -
F-Prot 4.4.4.56 2009.07.29 -
F-Secure 8.0.14470.0 2009.07.30 -
Fortinet 3.120.0.0 2009.07.30 -
GData 19 2009.07.30 -
Ikarus T3.1.1.64.0 2009.07.30 -
Jiangmin 11.0.800 2009.07.30 -
K7AntiVirus 7.10.805 2009.07.29 -
Kaspersky 7.0.0.125 2009.07.30 -
McAfee 5692 2009.07.29 -
McAfee+Artemis 5692 2009.07.29 -
McAfee-GW-Edition 6.8.5 2009.07.30 -
Microsoft 1.4903 2009.07.30 -
NOD32 4290 2009.07.30 -
Norman 6.01.09 2009.07.29 -
nProtect 2009.1.8.0 2009.07.30 -
Panda 10.0.0.14 2009.07.29 -
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.30 -
Rising 21.40.32.00 2009.07.30 -
Sophos 4.44.0 2009.07.30 -
Sunbelt 3.2.1858.2 2009.07.29 -
Symantec 1.4.4.12 2009.07.30 -
TheHacker 6.3.4.3.378 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.30 -
VBA32 3.12.10.9 2009.07.30 -
ViRobot 2009.7.30.1861 2009.07.30 -
VirusBuster 4.6.5.0 2009.07.29 -
Information additionnelle
File size: 58880 bytes
MD5...: e69fb0e3112c40fdc0ef7d21a52dc951
SHA1..: 14c785ed9ff7eddcb066a5e62dc8fde9fe28af75
SHA256: 6fb299330edef77dc91fc279d90d8adea138ec98342116121f5879b50070963d
ssdeep: 1536:XdeySOdIJUmbRVNWpa/IbhH4w9Tmga9JH3QJB:Xde4eh8CIbhHe9+JB
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x7124
timedatestamp.....: 0x4549b2cd (Thu Nov 02 08:56:45 2006)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xafd2 0xb000 6.19 f7774cabd92a905904372b11db3b7579
.data 0xc000 0x780 0x400 3.03 e12550d9ec12210dfa801975552b680a
.rsrc 0xd000 0x1fc8 0x2000 5.50 35ea9fd16e4baee0c2c286075353929c
.reloc 0xf000 0xdbc 0xe00 5.89 40e3f6a317f7b7ae6f1cffdba9d99eda
( 8 imports )
> ADVAPI32.dll: SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, RegNotifyChangeKeyValue, StartServiceCtrlDispatcherW, RegQueryValueExW, RegEnumKeyExW, SystemFunction036
> KERNEL32.dll: DeleteTimerQueueEx, CloseHandle, Sleep, WaitForMultipleObjects, CreateEventW, HeapSetInformation, WaitForSingleObject, SetEvent, CreateThread, DeleteTimerQueueTimer, CreateTimerQueueTimer, GetCurrentProcessId, DuplicateHandle, GetCurrentProcess, RaiseException, GetLastError, CreateTimerQueue, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, InterlockedDecrement, InterlockedIncrement, InterlockedExchange, InterlockedCompareExchange, GetStartupInfoW, SetUnhandledExceptionFilter, BindIoCompletionCallback, WriteFile, ReadFile, HeapFree, GetProcessHeap, HeapAlloc, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA
> msvcrt.dll: _controlfp, __1type_info@@UAE@XZ, _onexit, __CxxFrameHandler3, _purecall, _CxxThrowException, memcpy, free, _wcsicmp, memcpy_s, _lock, __dllonexit, _unlock, _terminate@@YAXXZ, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _exit, _cexit, __wgetmainargs, malloc, _callnewh, _what@exception@@UBEPBDXZ, realloc, memmove, isdigit, memset, __0exception@@QAE@ABV0@@Z, __0exception@@QAE@XZ, __1exception@@UAE@XZ, memmove_s, _except_handler4_common
> ATL.DLL: -, -, -, -, -, -
> WS2_32.dll: -, WSASocketW, -, -, -, -, -, -, -, -, WSAIoctl, -, -, -, -
> ole32.dll: CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc, CoUninitialize, CoInitializeEx, CLSIDFromString
> OLEAUT32.dll: -, -
> WSOCK32.dll: -, -
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
( Microsoft )
> Installed Vista Ultimate: alg.exe
Les deux derniers n'existent pas
autant pour moi voila le dernier C:\Windows\system32\drivers\A502.sys :
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.30 -
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.234 2009.07.30 -
Antiy-AVL 2.0.3.7 2009.07.30 -
Authentium 5.1.2.4 2009.07.29 -
Avast 4.8.1335.0 2009.07.29 -
AVG 8.5.0.387 2009.07.30 -
BitDefender 7.2 2009.07.30 -
CAT-QuickHeal 10.00 2009.07.30 -
ClamAV 0.94.1 2009.07.30 -
Comodo 1812 2009.07.30 -
DrWeb 5.0.0.12182 2009.07.30 -
eSafe 7.0.17.0 2009.07.29 -
eTrust-Vet 31.6.6647 2009.07.30 -
F-Prot 4.4.4.56 2009.07.29 -
F-Secure 8.0.14470.0 2009.07.30 -
Fortinet 3.120.0.0 2009.07.30 -
GData 19 2009.07.30 -
Ikarus T3.1.1.64.0 2009.07.30 -
Jiangmin 11.0.800 2009.07.30 -
K7AntiVirus 7.10.805 2009.07.29 -
Kaspersky 7.0.0.125 2009.07.30 -
McAfee 5692 2009.07.29 -
McAfee+Artemis 5692 2009.07.29 -
McAfee-GW-Edition 6.8.5 2009.07.30 -
Microsoft 1.4903 2009.07.30 -
NOD32 4290 2009.07.30 -
Norman 6.01.09 2009.07.29 -
nProtect 2009.1.8.0 2009.07.30 -
Panda 10.0.0.14 2009.07.29 -
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.30 -
Rising 21.40.32.00 2009.07.30 -
Sophos 4.44.0 2009.07.30 -
Sunbelt 3.2.1858.2 2009.07.29 -
Symantec 1.4.4.12 2009.07.30 -
TheHacker 6.3.4.3.378 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.30 -
VBA32 3.12.10.9 2009.07.30 -
ViRobot 2009.7.30.1861 2009.07.30 -
VirusBuster 4.6.5.0 2009.07.29 -
Information additionnelle
File size: 20732 bytes
MD5...: d28ebccbcc8e720d2a0e8f306743fc32
SHA1..: 4fcf1d939ecee46bb5a3a76d5c05e1383259d6b4
SHA256: 02246f33763f42943b4d36d1054dde592532e6c34c32e8d780cd53fc3f396cfe
ssdeep: 384:II+SOmFFXpxClACRZl5MVsnqBcDk+LWNyC4NN9B4athiLlj:AmFNdCtCVzB4
4yrz4x
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x3c8
timedatestamp.....: 0x429d7987 (Wed Jun 01 09:01:59 2005)
machinetype.......: 0x14c (I386)
( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2c0 0x1fe2 0x2000 6.32 1afc5a49f69d19bbb82cb080ed5629ff
.data 0x22c0 0xc 0x20 0.00 70bc8f4b72a86921468bf8e8441dce51
.edata 0x22e0 0xc6 0xe0 4.20 48df8a498843844038de5e98a273a0f3
INIT 0x23c0 0x438 0x440 5.14 d8fc0b4173c57d4f5cf5e22fda398a67
.rsrc 0x2800 0x610 0x620 3.00 cc46ef809046563a5d39a8af8a60a85d
.reloc 0x2e20 0x1ac 0x1c0 5.28 6eb475ea007d19294e4389d1eeb0ed77
( 3 imports )
> ntoskrnl.exe: ExAllocatePoolWithTag, KeSetEvent, InterlockedDecrement, InterlockedIncrement, ZwClose, RtlQueryRegistryValues, IoOpenDeviceRegistryKey, IoDeleteDevice, IoDetachDevice, KeInitializeDpc, IoAttachDeviceToDeviceStack, ExFreePool, RtlInitUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, sprintf, PoRequestPowerIrp, PoCallDriver, PoStartNextPowerIrp, IoFreeIrp, IoAllocateIrp, ExQueueWorkItem, KeInsertQueueDpc, IoBuildDeviceIoControlRequest, KeWaitForSingleObject, IoCreateDevice, KeInitializeEvent, KeInitializeSpinLock, IofCallDriver, ObfReferenceObject, IofCompleteRequest
> HAL.dll: KfAcquireSpinLock, KeStallExecutionProcessor, KfReleaseSpinLock
> USBD.SYS: _USBD_CreateConfigurationRequestEx@8, _USBD_ParseConfigurationDescriptorEx@28, USBD_GetUSBDIVersion
( 5 exports )
UMSS_AbortTransfer, UMSS_GetMaxLun, UMSS_GetNextPDO, UMSS_RegisterCompletionHandler, UMSS_StartRequest
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.30 -
AhnLab-V3 5.0.0.2 2009.07.30 -
AntiVir 7.9.0.234 2009.07.30 -
Antiy-AVL 2.0.3.7 2009.07.30 -
Authentium 5.1.2.4 2009.07.29 -
Avast 4.8.1335.0 2009.07.29 -
AVG 8.5.0.387 2009.07.30 -
BitDefender 7.2 2009.07.30 -
CAT-QuickHeal 10.00 2009.07.30 -
ClamAV 0.94.1 2009.07.30 -
Comodo 1812 2009.07.30 -
DrWeb 5.0.0.12182 2009.07.30 -
eSafe 7.0.17.0 2009.07.29 -
eTrust-Vet 31.6.6647 2009.07.30 -
F-Prot 4.4.4.56 2009.07.29 -
F-Secure 8.0.14470.0 2009.07.30 -
Fortinet 3.120.0.0 2009.07.30 -
GData 19 2009.07.30 -
Ikarus T3.1.1.64.0 2009.07.30 -
Jiangmin 11.0.800 2009.07.30 -
K7AntiVirus 7.10.805 2009.07.29 -
Kaspersky 7.0.0.125 2009.07.30 -
McAfee 5692 2009.07.29 -
McAfee+Artemis 5692 2009.07.29 -
McAfee-GW-Edition 6.8.5 2009.07.30 -
Microsoft 1.4903 2009.07.30 -
NOD32 4290 2009.07.30 -
Norman 6.01.09 2009.07.29 -
nProtect 2009.1.8.0 2009.07.30 -
Panda 10.0.0.14 2009.07.29 -
PCTools 4.4.2.0 2009.07.29 -
Prevx 3.0 2009.07.30 -
Rising 21.40.32.00 2009.07.30 -
Sophos 4.44.0 2009.07.30 -
Sunbelt 3.2.1858.2 2009.07.29 -
Symantec 1.4.4.12 2009.07.30 -
TheHacker 6.3.4.3.378 2009.07.30 -
TrendMicro 8.950.0.1094 2009.07.30 -
VBA32 3.12.10.9 2009.07.30 -
ViRobot 2009.7.30.1861 2009.07.30 -
VirusBuster 4.6.5.0 2009.07.29 -
Information additionnelle
File size: 20732 bytes
MD5...: d28ebccbcc8e720d2a0e8f306743fc32
SHA1..: 4fcf1d939ecee46bb5a3a76d5c05e1383259d6b4
SHA256: 02246f33763f42943b4d36d1054dde592532e6c34c32e8d780cd53fc3f396cfe
ssdeep: 384:II+SOmFFXpxClACRZl5MVsnqBcDk+LWNyC4NN9B4athiLlj:AmFNdCtCVzB4
4yrz4x
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x3c8
timedatestamp.....: 0x429d7987 (Wed Jun 01 09:01:59 2005)
machinetype.......: 0x14c (I386)
( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2c0 0x1fe2 0x2000 6.32 1afc5a49f69d19bbb82cb080ed5629ff
.data 0x22c0 0xc 0x20 0.00 70bc8f4b72a86921468bf8e8441dce51
.edata 0x22e0 0xc6 0xe0 4.20 48df8a498843844038de5e98a273a0f3
INIT 0x23c0 0x438 0x440 5.14 d8fc0b4173c57d4f5cf5e22fda398a67
.rsrc 0x2800 0x610 0x620 3.00 cc46ef809046563a5d39a8af8a60a85d
.reloc 0x2e20 0x1ac 0x1c0 5.28 6eb475ea007d19294e4389d1eeb0ed77
( 3 imports )
> ntoskrnl.exe: ExAllocatePoolWithTag, KeSetEvent, InterlockedDecrement, InterlockedIncrement, ZwClose, RtlQueryRegistryValues, IoOpenDeviceRegistryKey, IoDeleteDevice, IoDetachDevice, KeInitializeDpc, IoAttachDeviceToDeviceStack, ExFreePool, RtlInitUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, sprintf, PoRequestPowerIrp, PoCallDriver, PoStartNextPowerIrp, IoFreeIrp, IoAllocateIrp, ExQueueWorkItem, KeInsertQueueDpc, IoBuildDeviceIoControlRequest, KeWaitForSingleObject, IoCreateDevice, KeInitializeEvent, KeInitializeSpinLock, IofCallDriver, ObfReferenceObject, IofCompleteRequest
> HAL.dll: KfAcquireSpinLock, KeStallExecutionProcessor, KfReleaseSpinLock
> USBD.SYS: _USBD_CreateConfigurationRequestEx@8, _USBD_ParseConfigurationDescriptorEx@28, USBD_GetUSBDIVersion
( 5 exports )
UMSS_AbortTransfer, UMSS_GetMaxLun, UMSS_GetNextPDO, UMSS_RegisterCompletionHandler, UMSS_StartRequest
PDFiD.: -
RDS...: NSRL Reference Data Set
-
