Virus Braviax : Merci de votre aide. Résolu

Question

Bonjour,

J'ai lu beaucoup de posts avant de poster à mon tour essayant de trouver seul la solution.
Voilà mon antivirus a supprimé ci dessus :

11/08/2009	15:38:44		Nom des virus que EXTRA.DAT peut détecter=	Aucun

12/08/2009	11:37:09	Statistiques :
12/08/2009	11:37:09	Fichiers analysés :	54878
12/08/2009	11:37:09	Fichiers détectés :	0
12/08/2009	11:37:09	Fichiers nettoyés :	0
12/08/2009	11:37:09	Fichiers supprimés :	0
12/08/2009	11:37:09	Fichiers déplacés :	0
12/08/2009	11:40:54		Version du moteur                       =	5.3.00
12/08/2009	11:40:54		Version du fichier DAT                  =	5705
12/08/2009	11:40:54		Nombre de signatures de virus dans EXTRA.DAT=	Aucun
12/08/2009	11:40:54		Nom des virus que EXTRA.DAT peut détecter=	Aucun
12/08/2009	13:42:59	Supprimé 	UNIKA\david	BN2A.tmp	C:\WINDOWS\system32\dllcache\figaro.sys	FakeAlert-C.dr (Cheval de Troie)
12/08/2009	13:49:12	Supprimé 	UNIKA\david	braviax.exe	C:\Documents and Settings\david\Local Settings\Temporary Internet Files\Content.IE5\N4DLD4XE\Install[1].exe	Generic FakeAlert.d!gen (Cheval de Troie)
12/08/2009	13:49:22	Supprimé 	UNIKA\david	braviax.exe	C:\Documents and Settings\david\Local Settings\Temporary Internet Files\Content.IE5\DANFK66R\Install[1].exe	Generic FakeAlert.d!gen (Cheval de Troie)
12/08/2009	13:49:25	Supprimé 	UNIKA\david	braviax.exe	C:\Documents and Settings\david\Local Settings\Temporary Internet Files\Content.IE5\X1PID6GC\Install[1].exe	Generic FakeAlert.d!gen (Cheval de Troie)
12/08/2009	13:49:29	Supprimé 	UNIKA\david	braviax.exe	C:\Documents and Settings\david\Local Settings\Temporary Internet Files\Content.IE5\N9CUC40Z\Install[1].exe	Generic FakeAlert.d!gen (Cheval de Troie)

12/08/2009	13:49:54	Statistiques :
12/08/2009	13:49:54	Fichiers analysés :	5303
12/08/2009	13:49:54	Fichiers détectés :	5
12/08/2009	13:49:54	Fichiers nettoyés :	0
12/08/2009	13:49:54	Fichiers supprimés :	5
12/08/2009	13:49:54	Fichiers déplacés :	0

Mon fils sur l'ordi n'a pu empêcher un redémarrage, bien sur windows n'a pas redémarré normalement. Maintenant je ne peux le démarrer en mode sans échec avec prise en charge du réseau. Je peux me connecter sur internet mais à chaque démarrage braviax.exe apparait.
Avec le gestionnaire de tâche, j'arrête le processus.

D'autres conséquences : mon antivirus ne fonctionne plus l'analyseur à l'accès est désactivé et je ne peux le réactiver.
De même, mon compte David n'est plus accessible je ne peux me connecter qu'avec le compte administrateur.
J'espère que malgré les vacances une bonne âme pourrait m'aider.

Je poste le scan de hi jack  comme souvent demandé

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:03:53, on 13/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Network Associates\VirusScan\mcconsol.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CANAL+ CANALSAT A LA DEMANDE] "C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\msconfig.exe /auto
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32egedit.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: cru629.dat
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
O23 - Service: cpuidle - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\srvany.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - C:\WINDOWS\System32\FTRTSVC.exe (file missing)
O23 - Service: Google Update Service (gupdate1c920d9504e2d24) (gupdate1c920d9504e2d24) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

Le sioux · Accepted Answer

Hello

Conseil matinal ;) :

Attention, il reste plusieurs drivers malsains listés par ComboFix ici 

https://forums.commentcamarche.net/forum/affich-13857426-virus-braviax-merci-de-votre-aide?page=2#35

Il serait bon d'installer la console de récupération puis d'envoyer un CFScript pour virer ce qui reste même si le PC se comporte deja mieux .

Salut.

jlpjlp · Answer

Slt,


scan avec malwarebyte , fais un scan rapide et colle le rapport obtenu et vire ce qui est trouvé:


https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

______________________

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

knix05 · Answer

Merci pour ta réponse.

Voici le scan avec mbam

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2611
Windows 5.1.2600 Service Pack 3 (Safe Mode)

13/08/2009 10:59:13
mbam-log-2009-08-13 (10-59-13).txt

Type de recherche: Examen rapide
Eléments examinés: 95421
Temps écoulé: 10 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\wisdstr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\figaro.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.

Je n'ai pas redémarré l'ordi car en même temps j'ai scanné avec antivirus (prend beaucoup de temps) voici le rapport :
12/08/2009	19:23:41	Nom des virus que EXTRA.DAT peut détecter                   =Aucun
12/08/2009	19:23:33	Analyse démarrée	UNIKA\Administrateur	Analyse à la demande
13/08/2009	10:08:01	Version du moteur                                           =5300
13/08/2009	10:08:01	Version du fichier DAT                                      =5705
13/08/2009	10:08:01	Nombre de signatures de virus dans EXTRA.DAT                =Aucun
13/08/2009	10:08:01	Nom des virus que EXTRA.DAT peut détecter                   =Aucun
13/08/2009	10:07:53	Analyse démarrée	UNIKA\Administrateur	Analyser tous les disques fixes
13/08/2009	10:11:00	Supprimé 	c:\Avenger\_scui.cpl	FakeAlert-FH.dll(Cheval de Troie)
13/08/2009	10:31:02	Supprimé 	c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\89QROLAV\Install[1].exe	Generic FakeAlert.d!gen(Cheval de Troie)
13/08/2009	10:31:02	Supprimé 	c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\89QROLAV\Install[2].exe	Generic FakeAlert.d!gen(Cheval de Troie)
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Résumé de l'analyse
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Processus analysés : 19
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Processus détectés : 0
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Processus nettoyés : 0
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Secteurs d'amorçage analysés : 1
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Secteurs d'amorçage détectés : 0
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Secteurs d'amorçage nettoyés : 0
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Fichiers analysés : 85872
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Fichiers avec des détections : 3
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Détections de fichiers : 3
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Fichiers nettoyés : 0
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Fichiers déplacés : 0
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Fichiers supprimés : 3
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Fichiers non analysés : 22
13/08/2009	11:20:11	Résumé de l'analyse	UNIKA\Administrateur	Heure d'exécution : 1:12:18
13/08/2009	11:20:11	Analyse terminée	UNIKA\Administrateur	Analyser tous les disques fixes



Voici le rapport RSIT


Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-08-13 11:23:16
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 25 GB (34%) free of 74 GB
Total RAM: 1023 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:23:20, on 13/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32	askmgr.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CANAL+ CANALSAT A LA DEMANDE] "C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\msconfig.exe /auto
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32egedit.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: cru629.dat
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
O23 - Service: cpuidle - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\srvany.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - C:\WINDOWS\System32\FTRTSVC.exe (file missing)
O23 - Service: Google Update Service (gupdate1c920d9504e2d24) (gupdate1c920d9504e2d24) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

jlpjlp · Answer

Télécharge et install UsbFix de C_XX & Chiquitine29
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe


Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisis l'option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

knix05 · Answer

Voici le rapport demandé !

############################## | UsbFix V6.017 |


############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |

C:\CB\CB.EXE  

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.017 ! |

jlpjlp · Answer

analyse ces 4 fichiers sur virus total et colle les rapports:  https://www.virustotal.com/gui/
C:\WINDOWS\ybytonafy.vbs
C:\WINDOWS\yxosy.bat
C:\WINDOWS\system32\msword98.exe 
C:\CB\CB.EXE 








je me mets ceci de coté:

2009-08-13 10:59:27 ----A---- C:\WINDOWS\system32\ejeoc.txt
2009-08-12 20:38:48 ----A---- C:\WINDOWS\ybytonafy.vbs
2009-08-12 20:38:48 ----A---- C:\Program Files\Fichiers communs	onugum.bat
2009-08-12 20:38:48 ----A---- C:\Program Files\Fichiers communs\kosa.dll
2009-08-12 20:38:48 ----A---- C:\Documents and Settings\All Users\Application Data\zypuroril.exe
2009-08-12 14:45:19 ----A---- C:\Program Files\Fichiers communs\cabyd.vbs
2009-08-12 14:45:18 ----A---- C:\WINDOWS\yxosy.bat
2009-08-12 14:45:18 ----A---- C:\Documents and Settings\All Users\Application Data\fyrop.bat
2009-08-12 13:41:42 ----A---- C:\WINDOWS\system32\msword98.exe

knix05 · Answer

Voici les scans des 4 fichiers mais je continue pour ceux que tu as mis de côté. Bon appétit et encore merci.



Fichier ybytonafy.vbs reçu le 2009.08.13 10:27:53 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 60 et 85 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.24	2009.08.13	-
AhnLab-V3	5.0.0.2	2009.08.12	-
AntiVir	7.9.1.1	2009.08.13	-
Antiy-AVL	2.0.3.7	2009.08.13	-
Authentium	5.1.2.4	2009.08.13	-
Avast	4.8.1335.0	2009.08.12	-
AVG	8.5.0.406	2009.08.13	-
BitDefender	7.2	2009.08.13	-
CAT-QuickHeal	10.00	2009.08.13	-
ClamAV	0.94.1	2009.08.13	-
Comodo	1964	2009.08.13	-
DrWeb	5.0.0.12182	2009.08.13	-
eSafe	7.0.17.0	2009.08.11	-
eTrust-Vet	31.6.6675	2009.08.13	-
F-Prot	4.4.4.56	2009.08.12	-
F-Secure	8.0.14470.0	2009.08.13	-
Fortinet	3.120.0.0	2009.08.13	-
GData	19	2009.08.13	-
Ikarus	T3.1.1.64.0	2009.08.13	-
Jiangmin	11.0.800	2009.08.13	-
K7AntiVirus	7.10.817	2009.08.12	-
Kaspersky	7.0.0.125	2009.08.13	-
McAfee	5707	2009.08.12	-
McAfee+Artemis	5707	2009.08.12	-
McAfee-GW-Edition	6.8.5	2009.08.13	-
Microsoft	1.4903	2009.08.13	-
NOD32	4331	2009.08.13	-
Norman	6.01.09	2009.08.12	-
nProtect	2009.1.8.0	2009.08.13	-
Panda	10.0.0.14	2009.08.12	-
PCTools	4.4.2.0	2009.08.12	-
Prevx	3.0	2009.08.13	-
Rising	21.42.32.00	2009.08.13	-
Sophos	4.44.0	2009.08.13	-
Sunbelt	3.2.1858.2	2009.08.13	-
Symantec	1.4.4.12	2009.08.13	-
TheHacker	6.3.4.3.383	2009.08.13	-
TrendMicro	8.950.0.1094	2009.08.13	-
VBA32	3.12.10.9	2009.08.13	-
ViRobot	2009.8.13.1883	2009.08.13	-
VirusBuster	4.6.5.0	2009.08.12	-
Information additionnelle
File size: 16258 bytes
MD5...: 05c48d3aa1af5c9717f8af8a51bdbd13
SHA1..: 32f2d8dcdcd3eb0247b3c018f55817191f906e4c
SHA256: c9d05b9200114097c8f2d2a26bd4fb2f0c7ecd14fd987b8e9887a89c8a1e1800
ssdeep: 384:vkSPqPP7SMJFH07r2KqipHoHtDfRAXXIYDMDjCPgwtV3Aa1CMamz:sS2P7N3
U5weMSgwL6i
PEiD..: -
TrID..: File type identification
MPEG Video (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set

 Fichier yxosy.bat reçu le 2009.08.13 10:30:30 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 4.
L'heure estimée de démarrage est entre 70 et 100 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.24	2009.08.13	-
AhnLab-V3	5.0.0.2	2009.08.12	-
AntiVir	7.9.1.1	2009.08.13	-
Antiy-AVL	2.0.3.7	2009.08.13	-
Authentium	5.1.2.4	2009.08.13	-
Avast	4.8.1335.0	2009.08.12	-
AVG	8.5.0.406	2009.08.13	-
BitDefender	7.2	2009.08.13	-
CAT-QuickHeal	10.00	2009.08.13	-
ClamAV	0.94.1	2009.08.13	-
Comodo	1964	2009.08.13	-
DrWeb	5.0.0.12182	2009.08.13	-
eSafe	7.0.17.0	2009.08.11	-
eTrust-Vet	31.6.6675	2009.08.13	-
F-Prot	4.4.4.56	2009.08.12	-
F-Secure	8.0.14470.0	2009.08.13	-
Fortinet	3.120.0.0	2009.08.13	-
GData	19	2009.08.13	-
Ikarus	T3.1.1.64.0	2009.08.13	-
Jiangmin	11.0.800	2009.08.13	-
K7AntiVirus	7.10.817	2009.08.12	-
Kaspersky	7.0.0.125	2009.08.13	-
McAfee	5707	2009.08.12	-
McAfee+Artemis	5707	2009.08.12	-
McAfee-GW-Edition	6.8.5	2009.08.13	-
Microsoft	1.4903	2009.08.13	-
NOD32	4331	2009.08.13	-
Norman	6.01.09	2009.08.12	-
nProtect	2009.1.8.0	2009.08.13	-
Panda	10.0.0.14	2009.08.12	-
PCTools	4.4.2.0	2009.08.12	-
Prevx	3.0	2009.08.13	-
Rising	21.42.32.00	2009.08.13	-
Sophos	4.44.0	2009.08.13	-
Sunbelt	3.2.1858.2	2009.08.13	-
Symantec	1.4.4.12	2009.08.13	-
TheHacker	6.3.4.3.383	2009.08.13	-
TrendMicro	8.950.0.1094	2009.08.13	-
VBA32	3.12.10.9	2009.08.13	-
ViRobot	2009.8.13.1883	2009.08.13	-
VirusBuster	4.6.5.0	2009.08.12	-
Information additionnelle
File size: 15088 bytes
MD5...: aa65f68cc86b9a0708118c56dad411b7
SHA1..: 7538296f58e768db7431851a5bf0eb52772b8fff
SHA256: 974d726b5dd6b6381ddda1f5dd233812e99c165764103707ad9802793b7de3a3
ssdeep: 384:TW5mpjkLKOa9TNjGyhyF0GdoMf9B/CCGd:TWm/bFpREF/TFB6Ce
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (F-Prot): ARJ

 Fichier msword98.exe.boese reçu le 2009.08.13 08:08:54 (UTC)
Situation actuelle: terminé
Résultat: 8/41 (19.51%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.24 	2009.08.13 	-
AhnLab-V3 	5.0.0.2 	2009.08.12 	-
AntiVir 	7.9.1.1 	2009.08.13 	-
Antiy-AVL 	2.0.3.7 	2009.08.13 	-
Authentium 	5.1.2.4 	2009.08.13 	-
Avast 	4.8.1335.0 	2009.08.12 	-
AVG 	8.5.0.406 	2009.08.12 	-
BitDefender 	7.2 	2009.08.13 	-
CAT-QuickHeal 	10.00 	2009.08.13 	-
ClamAV 	0.94.1 	2009.08.13 	-
Comodo 	1962 	2009.08.13 	TrojWare.Win32.Trojan.Injecter.~E
DrWeb 	5.0.0.12182 	2009.08.13 	Trojan.DownLoad.41506
eSafe 	7.0.17.0 	2009.08.11 	-
eTrust-Vet 	31.6.6673 	2009.08.12 	-
F-Prot 	4.4.4.56 	2009.08.12 	-
F-Secure 	8.0.14470.0 	2009.08.13 	-
Fortinet 	3.120.0.0 	2009.08.13 	-
GData 	19 	2009.08.13 	-
Ikarus 	T3.1.1.64.0 	2009.08.13 	-
Jiangmin 	11.0.800 	2009.08.13 	-
K7AntiVirus 	7.10.817 	2009.08.12 	-
Kaspersky 	7.0.0.125 	2009.08.13 	Trojan-Downloader.Win32.Mutant.edz
McAfee 	5707 	2009.08.12 	-
McAfee+Artemis 	5707 	2009.08.12 	Artemis!8E485A44934C
McAfee-GW-Edition 	6.8.5 	2009.08.13 	-
Microsoft 	1.4903 	2009.08.13 	-
NOD32 	4330 	2009.08.12 	a variant of Win32/Wigon.LW
Norman 	6.01.09 	2009.08.12 	-
nProtect 	2009.1.8.0 	2009.08.13 	-
Panda 	10.0.0.14 	2009.08.12 	Suspicious file
PCTools 	4.4.2.0 	2009.08.12 	-
Prevx 	3.0 	2009.08.13 	High Risk Cloaked Malware
Rising 	21.42.31.00 	2009.08.13 	-
Sophos 	4.44.0 	2009.08.13 	-
Sunbelt 	3.2.1858.2 	2009.08.13 	-
Symantec 	1.4.4.12 	2009.08.13 	-
TheHacker 	6.3.4.3.383 	2009.08.13 	-
TrendMicro 	8.950.0.1094 	2009.08.13 	-
VBA32 	3.12.10.9 	2009.08.13 	-
ViRobot 	2009.8.13.1883 	2009.08.13 	Trojan.Win32.Downloader.26686.L
VirusBuster 	4.6.5.0 	2009.08.12 	-
Information additionnelle
File size: 26686 bytes
MD5   : 8e485a44934c8f964ad3361c9c40eb62
SHA1  : 938b297de5c8497541f0219347d40b62ce00acd5
SHA256: 0737793e15c5161ae2c9c420172f6f98a9a49f3f273367ae021534713184b55f
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x346
timedatestamp.....: 0x4A76D7A6 (Mon Aug 3 14:27:18 2009)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x106 0x200 3.48 3b3ab53d190d27e105d3671121f00a12
.rdata 0x500 0x94 0x100 2.41 745b981e015d0fa0960d5deda9a2b87e
.data 0x600 0x15 0x100 0.39 adf093358e185b99ae981802989fb79c
.rsrc 0x700 0x3A0 0x400 2.47 9142ef7a19ad1e3396481a55dcdea6e9
.aaaa 0xB00 0x5E00 0x5E00 7.70 80514aa4a0b8c4673ce3f6c83882ad0a

( 1 imports )

> kernel32.dll: ExitProcess, GetModuleHandleA, VirtualAlloc

( 0 exports )
TrID  : File type identification
-
ssdeep: 768:ZcTrSdBhTH27tDn079tiNtF1xl8uhYB0q7z0cOD:lB1HW073qtF1z8uhW0qvs
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=34574DC73E2234B868FA00876748AC00A466A8AB
PEiD  : -
RDS   : NSRL Reference Data Set


 Fichier CB.EXE reçu le 2009.08.13 10:40:44 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 60 et 85 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.24	2009.08.13	-
AhnLab-V3	5.0.0.2	2009.08.12	-
AntiVir	7.9.1.1	2009.08.13	-
Antiy-AVL	2.0.3.7	2009.08.13	-
Authentium	5.1.2.4	2009.08.13	-
Avast	4.8.1335.0	2009.08.12	-
AVG	8.5.0.406	2009.08.13	-
BitDefender	7.2	2009.08.13	-
CAT-QuickHeal	10.00	2009.08.13	-
ClamAV	0.94.1	2009.08.13	-
Comodo	1964	2009.08.13	-
DrWeb	5.0.0.12182	2009.08.13	-
eSafe	7.0.17.0	2009.08.11	-
eTrust-Vet	31.6.6675	2009.08.13	-
F-Prot	4.4.4.56	2009.08.12	-
F-Secure	8.0.14470.0	2009.08.13	-
Fortinet	3.120.0.0	2009.08.13	-
GData	19	2009.08.13	-
Ikarus	T3.1.1.64.0	2009.08.13	-
Jiangmin	11.0.800	2009.08.13	-
K7AntiVirus	7.10.817	2009.08.12	-
Kaspersky	7.0.0.125	2009.08.13	-
McAfee	5707	2009.08.12	-
McAfee+Artemis	5707	2009.08.12	-
McAfee-GW-Edition	6.8.5	2009.08.13	-
Microsoft	1.4903	2009.08.13	-
NOD32	4331	2009.08.13	-
Norman	6.01.09	2009.08.12	-
nProtect	2009.1.8.0	2009.08.13	-
Panda	10.0.0.14	2009.08.12	-
PCTools	4.4.2.0	2009.08.12	-
Prevx	3.0	2009.08.13	-
Rising	21.42.32.00	2009.08.13	-
Sophos	4.44.0	2009.08.13	-
Sunbelt	3.2.1858.2	2009.08.13	-
Symantec	1.4.4.12	2009.08.13	-
TheHacker	6.3.4.3.383	2009.08.13	-
TrendMicro	8.950.0.1094	2009.08.13	-
VBA32	3.12.10.9	2009.08.13	-
ViRobot	2009.8.13.1883	2009.08.13	-
VirusBuster	4.6.5.0	2009.08.12	-
Information additionnelle
File size: 1060608 bytes
MD5...: 01811df2bf8284e1e065fff834bfb59d
SHA1..: ff9c97371dfd6a29e4c2385f49c72b52d3fc29d0
SHA256: b90f7823f4832f56a9e2c6ad868330243cb08cbd0d6d800e8c89fd1edafda53c
ssdeep: 24576:zg+0/PsBG3AUG92iVfLoTLvmAozw1HKmy:8eLoTLvmAozw1HKmy
PEiD..: -
TrID..: File type identification
DOS Executable Borland Pascal 7.0x (33.7%)
Generic Win/DOS Executable (33.1%)
DOS Executable Generic (33.1%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

knix05 · Answer

Voici les suivants que tu as mis de côté 

Pour l'instant il n'y a que msword98.exe qui soit détecté comme virus potentiel.

Merci pour ton aide.




 Fichier ejeoc.txt reçu le 2009.08.13 10:57:21 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

 Fichier ybytonafy.vbs reçu le 2009.08.13 10:27:53 (UTC)
Situation actuelle: terminé
Résultat: 0/41 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.24 	2009.08.13 	-
AhnLab-V3 	5.0.0.2 	2009.08.12 	-
AntiVir 	7.9.1.1 	2009.08.13 	-
Antiy-AVL 	2.0.3.7 	2009.08.13 	-
Authentium 	5.1.2.4 	2009.08.13 	-
Avast 	4.8.1335.0 	2009.08.12 	-
AVG 	8.5.0.406 	2009.08.13 	-
BitDefender 	7.2 	2009.08.13 	-
CAT-QuickHeal 	10.00 	2009.08.13 	-
ClamAV 	0.94.1 	2009.08.13 	-
Comodo 	1964 	2009.08.13 	-
DrWeb 	5.0.0.12182 	2009.08.13 	-
eSafe 	7.0.17.0 	2009.08.11 	-
eTrust-Vet 	31.6.6675 	2009.08.13 	-
F-Prot 	4.4.4.56 	2009.08.12 	-
F-Secure 	8.0.14470.0 	2009.08.13 	-
Fortinet 	3.120.0.0 	2009.08.13 	-
GData 	19 	2009.08.13 	-
Ikarus 	T3.1.1.64.0 	2009.08.13 	-
Jiangmin 	11.0.800 	2009.08.13 	-
K7AntiVirus 	7.10.817 	2009.08.12 	-
Kaspersky 	7.0.0.125 	2009.08.13 	-
McAfee 	5707 	2009.08.12 	-
McAfee+Artemis 	5707 	2009.08.12 	-
McAfee-GW-Edition 	6.8.5 	2009.08.13 	-
Microsoft 	1.4903 	2009.08.13 	-
NOD32 	4331 	2009.08.13 	-
Norman 	6.01.09 	2009.08.12 	-
nProtect 	2009.1.8.0 	2009.08.13 	-
Panda 	10.0.0.14 	2009.08.12 	-
PCTools 	4.4.2.0 	2009.08.12 	-
Prevx 	3.0 	2009.08.13 	-
Rising 	21.42.32.00 	2009.08.13 	-
Sophos 	4.44.0 	2009.08.13 	-
Sunbelt 	3.2.1858.2 	2009.08.13 	-
Symantec 	1.4.4.12 	2009.08.13 	-
TheHacker 	6.3.4.3.383 	2009.08.13 	-
TrendMicro 	8.950.0.1094 	2009.08.13 	-
VBA32 	3.12.10.9 	2009.08.13 	-
ViRobot 	2009.8.13.1883 	2009.08.13 	-
VirusBuster 	4.6.5.0 	2009.08.12 	-
Information additionnelle
File size: 16258 bytes
MD5   : 05c48d3aa1af5c9717f8af8a51bdbd13
SHA1  : 32f2d8dcdcd3eb0247b3c018f55817191f906e4c
SHA256: c9d05b9200114097c8f2d2a26bd4fb2f0c7ecd14fd987b8e9887a89c8a1e1800
TrID  : File type identification
MPEG Video (100.0%)
ssdeep: 384:vkSPqPP7SMJFH07r2KqipHoHtDfRAXXIYDMDjCPgwtV3Aa1CMamz:sS2P7N3U5weMSgwL6i
PEiD  : -
RDS   : NSRL Reference Data Set
-
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.24	2009.08.13	-
AhnLab-V3	5.0.0.2	2009.08.12	-
AntiVir	7.9.1.1	2009.08.13	-
Antiy-AVL	2.0.3.7	2009.08.13	-
Authentium	5.1.2.4	2009.08.13	-
Avast	4.8.1335.0	2009.08.12	-
AVG	8.5.0.406	2009.08.13	-
BitDefender	7.2	2009.08.13	-
CAT-QuickHeal	10.00	2009.08.13	-
ClamAV	0.94.1	2009.08.13	-
Comodo	1964	2009.08.13	-
DrWeb	5.0.0.12182	2009.08.13	-
eSafe	7.0.17.0	2009.08.11	-
eTrust-Vet	31.6.6675	2009.08.13	-
F-Prot	4.4.4.56	2009.08.12	-
F-Secure	8.0.14470.0	2009.08.13	-
Fortinet	3.120.0.0	2009.08.13	-
GData	19	2009.08.13	-
Ikarus	T3.1.1.64.0	2009.08.13	-
Jiangmin	11.0.800	2009.08.13	-
K7AntiVirus	7.10.817	2009.08.12	-
Kaspersky	7.0.0.125	2009.08.13	-
McAfee	5707	2009.08.12	-
McAfee+Artemis	5707	2009.08.12	-
McAfee-GW-Edition	6.8.5	2009.08.13	-
Microsoft	1.4903	2009.08.13	-
NOD32	4331	2009.08.13	-
Norman	6.01.09	2009.08.12	-
nProtect	2009.1.8.0	2009.08.13	-
Panda	10.0.0.14	2009.08.12	-
PCTools	4.4.2.0	2009.08.12	-
Prevx	3.0	2009.08.13	-
Rising	21.42.32.00	2009.08.13	-
Sophos	4.44.0	2009.08.13	-
Sunbelt	3.2.1858.2	2009.08.13	-
Symantec	1.4.4.12	2009.08.13	-
TheHacker	6.3.4.3.383	2009.08.13	-
TrendMicro	8.950.0.1094	2009.08.13	-
VBA32	3.12.10.9	2009.08.13	-
ViRobot	2009.8.13.1883	2009.08.13	-
VirusBuster	4.6.5.0	2009.08.12	-
Information additionnelle
File size: 1192 bytes
MD5...: 8b7d305044576c322f4380d4c53b4933
SHA1..: 04acac8638e7a5d2aab5ace2d1a005c2e91f1b2f
SHA256: 1df689f7ae5b403f3e28b6f6243cb084191dfd0c02485667790afcdfdd12f77a
ssdeep: 24:m7ef7ef4EpefIefIefueSXdSHLBef7ef4EpefIefIefueSXdSHLG:EE8pXXBJ
aNE8pXXBJaa
PEiD..: -
TrID..: File type identification
Lumena CEL bitmap (60.5%)
Corel Photo Paint (39.4%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set

 Fichier tonugum.bat reçu le 2009.08.13 11:04:42 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 60 et 85 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3	5.0.0.2	2009.08.12	-
AntiVir	7.9.1.1	2009.08.13	-
Antiy-AVL	2.0.3.7	2009.08.13	-
Authentium	5.1.2.4	2009.08.13	-
Avast	4.8.1335.0	2009.08.12	-
AVG	8.5.0.406	2009.08.13	-
BitDefender	7.2	2009.08.13	-
CAT-QuickHeal	10.00	2009.08.13	-
ClamAV	0.94.1	2009.08.13	-
Comodo	1964	2009.08.13	-
DrWeb	5.0.0.12182	2009.08.13	-
eSafe	7.0.17.0	2009.08.11	-
eTrust-Vet	31.6.6675	2009.08.13	-
F-Prot	4.4.4.56	2009.08.12	-
F-Secure	8.0.14470.0	2009.08.13	-
Fortinet	3.120.0.0	2009.08.13	-
GData	19	2009.08.13	-
Ikarus	T3.1.1.64.0	2009.08.13	-
Jiangmin	11.0.800	2009.08.13	-
K7AntiVirus	7.10.817	2009.08.12	-
Kaspersky	7.0.0.125	2009.08.13	-
McAfee	5707	2009.08.12	-
McAfee+Artemis	5707	2009.08.12	-
McAfee-GW-Edition	6.8.5	2009.08.13	-
Microsoft	1.4903	2009.08.13	-
NOD32	4331	2009.08.13	-
Norman	6.01.09	2009.08.12	-
nProtect	2009.1.8.0	2009.08.13	-
Panda	10.0.0.14	2009.08.12	-
PCTools	4.4.2.0	2009.08.12	-
Prevx	3.0	2009.08.13	-
Rising	21.42.32.00	2009.08.13	-
Sophos	4.44.0	2009.08.13	-
Sunbelt	3.2.1858.2	2009.08.13	-
Symantec	1.4.4.12	2009.08.13	-
TheHacker	6.3.4.3.383	2009.08.13	-
TrendMicro	8.950.0.1094	2009.08.13	-
VBA32	3.12.10.9	2009.08.13	-
ViRobot	2009.8.13.1883	2009.08.13	-
VirusBuster	4.6.5.0	2009.08.12	-
Information additionnelle
File size: 10347 bytes
MD5...: 6375d11fe39b0287c9131c30fdd17b20
SHA1..: 086893e2738d472c1ebef507fe87992722097b1f
SHA256: b2ebfca78cb78ad072644be08af57f5938fd9ddad0a4c5a3a677b36b00a86d14
ssdeep: 192:OzUP+KddBhjixSJAoMy0yVzoXFCaTHz/N3YVrFVv2+I/xQ4XjWlwU1Qg:OzU
vzXIsApoVgw2HFYVr6+I/S0jWj1H
PEiD..: -
TrID..: File type identification
MPEG Video (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

 Fichier kosa.dll reçu le 2009.08.13 11:25:46 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 60 et 85 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.24	2009.08.13	-
AhnLab-V3	5.0.0.2	2009.08.12	-
AntiVir	7.9.1.1	2009.08.13	-
Antiy-AVL	2.0.3.7	2009.08.13	-
Authentium	5.1.2.4	2009.08.13	-
Avast	4.8.1335.0	2009.08.12	-
AVG	8.5.0.406	2009.08.13	-
BitDefender	7.2	2009.08.13	-
CAT-QuickHeal	10.00	2009.08.13	-
ClamAV	0.94.1	2009.08.13	-
Comodo	1964	2009.08.13	-
DrWeb	5.0.0.12182	2009.08.13	-
eSafe	7.0.17.0	2009.08.11	-
eTrust-Vet	31.6.6675	2009.08.13	-
F-Prot	4.4.4.56	2009.08.12	-
F-Secure	8.0.14470.0	2009.08.13	-
Fortinet	3.120.0.0	2009.08.13	-
GData	19	2009.08.13	-
Ikarus	T3.1.1.64.0	2009.08.13	-
Jiangmin	11.0.800	2009.08.13	-
K7AntiVirus	7.10.817	2009.08.12	-
Kaspersky	7.0.0.125	2009.08.13	-
McAfee	5707	2009.08.12	-
McAfee+Artemis	5707	2009.08.12	-
McAfee-GW-Edition	6.8.5	2009.08.13	-
Microsoft	1.4903	2009.08.13	-
NOD32	4331	2009.08.13	-
Norman	6.01.09	2009.08.12	-
nProtect	2009.1.8.0	2009.08.13	-
Panda	10.0.0.14	2009.08.12	-
PCTools	4.4.2.0	2009.08.12	-
Prevx	3.0	2009.08.13	-
Rising	21.42.32.00	2009.08.13	-
Sophos	4.44.0	2009.08.13	-
Sunbelt	3.2.1858.2	2009.08.13	-
Symantec	1.4.4.12	2009.08.13	-
TheHacker	6.3.4.3.383	2009.08.13	-
TrendMicro	8.950.0.1094	2009.08.13	-
VBA32	3.12.10.9	2009.08.13	-
ViRobot	2009.8.13.1883	2009.08.13	-
VirusBuster	4.6.5.0	2009.08.12	-
Information additionnelle
File size: 15488 bytes
MD5...: 99c05d338821505ca2f8736c3578620f
SHA1..: 6972cadad5a6d977d5a2d50ff4ed05404c5f2f0b
SHA256: cc4e57de115bb57fa349ae89bde21d401082cfd2118a9a673f167f125220b770
ssdeep: 192:vobU00q//phasVS8ADEuxMesmfx9OsXCvsfVD8Ei/n4z+N+Myk3ISCLunGRR
LTFU:AbUQRFA4uxppAeCoVfA3GbFgr
PEiD..: -

jlpjlp · Answer

pas besoin de faire les autres car les fichiers ont été mis au même moment donc si 1 non infecté c'est bon!



Pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

_______________

telecharge combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

_________________

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :





File::
C:\WINDOWS\system32\msword98.exe 





Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

knix05 · Answer

J'ai suivi tes instructions mais je n'ai pas eu les étapes à savoir choisir 1

voici le rapport 

ComboFix 09-08-10.06 - Administrateur 13/08/2009 14:57.2.1 - NTFSx86 NETWORK
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1023.704 [GMT 2:00]
Running from: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Command switches used :: c:\documents and settings\Administrateur\Bureau\CFscript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
"c:\windows\system32\msword98.exe"
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\windows\system32\braviax.exe
c:\windows\system32\dllcache\figaro.sys
c:\windows\system32\msword98.exe
c:\windows\system32\wisdstr.exe

c:\windows\system32\drivers\beep.sys . . . is infected!!


.
(((((((((((((((((((((((((   Files Created from 2009-07-13 to 2009-08-13  )))))))))))))))))))))))))))))))
.

2009-08-13 12:01 . 2009-08-13 12:01	28160	----a-w-	c:\windows\system32\dllcache\beep.sys
2009-08-13 10:00 . 2009-08-13 10:02	--------	d-----w-	C:\UsbFix
2009-08-13 09:23 . 2009-08-13 09:23	--------	d-----w-	C:sit
2009-08-12 18:40 . 2009-08-12 18:40	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Google
2009-08-12 18:38 . 2009-08-12 18:38	18464	----a-w-	c:\documents and settings\NetworkService\Local Settings\Application Data\ilazer.sys
2009-08-12 18:38 . 2009-08-12 18:38	16258	----a-w-	c:\windows\ybytonafy.vbs
2009-08-12 18:38 . 2009-08-12 18:38	15851	----a-w-	c:\documents and settings\NetworkService\Local Settings\Application Data\ylumi.vbs
2009-08-12 18:38 . 2009-08-12 18:38	15488	----a-w-	c:\program files\Fichiers communs\kosa.dll
2009-08-12 18:38 . 2009-08-12 18:38	12719	----a-w-	c:\documents and settings\All Users\Application Data\zypuroril.exe
2009-08-12 18:38 . 2009-08-12 18:38	11985	----a-w-	c:\documents and settings\NetworkService\Application Data\idemecigec.scr
2009-08-12 18:38 . 2009-08-12 18:38	10347	----a-w-	c:\program files\Fichiers communs	onugum.bat
2009-08-12 17:33 . 2009-08-12 17:34	--------	d-----w-	c:\windows\ERUNT
2009-08-12 17:32 . 2009-08-12 17:34	--------	d-----w-	C:\SDFix
2009-08-12 15:09 . 2009-08-12 15:09	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-08-12 15:09 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-12 15:09 . 2009-08-12 15:09	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-08-12 15:09 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-12 14:57 . 2009-08-12 14:57	--------	d--h--w-	c:\documents and settings\Administrateur\Voisinage réseau
2009-08-12 13:46 . 2009-08-12 13:48	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Adobe
2009-08-12 12:45 . 2009-08-12 12:45	18377	----a-w-	c:\program files\Fichiers communs\cabyd.vbs
2009-08-12 12:45 . 2009-08-12 12:45	15179	----a-w-	c:\windows\xugekil.pif
2009-08-12 12:45 . 2009-08-12 12:45	19978	----a-w-	c:\documents and settings\All Users\Application Data\fyrop.bat
2009-08-12 12:45 . 2009-08-12 12:45	17890	----a-w-	c:\documents and settings\NetworkService\Application Data	asazifaq.exe
2009-08-12 12:45 . 2009-08-12 12:45	16631	----a-w-	c:\windows\selytecu.pif
2009-08-12 12:45 . 2009-08-12 12:45	15088	----a-w-	c:\windows\yxosy.bat
2009-08-12 12:45 . 2009-08-12 12:45	13096	----a-w-	c:\windows\umetecyd.reg
2009-08-12 12:45 . 2009-08-12 12:45	11264	----a-w-	c:\windows\pizawo.bin
2009-08-12 12:45 . 2009-08-12 12:45	11228	----a-w-	c:\documents and settings\NetworkService\Application Data\fuweqivefu.sys
2009-08-12 12:41 . 2008-12-11 06:38	159600	----a-w-	c:\windows\system32\drivers\pctgntdi.sys
2009-08-12 12:41 . 2009-04-03 08:18	130936	----a-w-	c:\windows\system32\drivers\PCTCore.sys
2009-08-12 12:41 . 2008-12-18 09:16	73840	----a-w-	c:\windows\system32\drivers\PCTAppEvent.sys
2009-08-12 12:41 . 2009-08-12 12:42	--------	d-----w-	c:\program files\Fichiers communs\PC Tools
2009-08-12 12:41 . 2008-12-10 09:36	64392	----a-w-	c:\windows\system32\drivers\pctplsg.sys
2009-08-12 12:41 . 2009-08-12 12:48	--------	d-----w-	c:\program files\Spyware Doctor
2009-08-12 12:41 . 2009-08-12 12:41	--------	d-----w-	c:\documents and settings\All Users\Application Data\PC Tools
2009-08-12 12:41 . 2009-08-12 12:41	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\PC Tools
2009-08-12 12:34 . 2009-08-12 19:30	--------	d-----w-	c:\windows\BDOSCAN8
2009-08-12 12:34 . 2009-08-12 12:34	--------	d-----w-	c:\windows\LastGood
2009-08-12 12:24 . 2009-08-12 12:24	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-08-12 12:18 . 2009-08-12 12:18	--------	d-sh--w-	c:\documents and settings\Administrateur\IETldCache
2009-08-12 12:17 . 2009-08-13 12:57	--------	d-----w-	c:\documents and settings\Administrateur\Bureau
2009-08-12 11:42 . 2009-08-12 11:42	619584	----a-w-	c:\windows\system32\dllcache
tfs.sys
2009-08-12 09:43 . 2009-08-12 09:43	--------	d-----w-	c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-08-12 09:42 . 2009-08-12 09:42	--------	d-----w-	c:\program files\DAEMON Tools Toolbar
2009-08-12 09:42 . 2009-08-12 09:42	--------	d-----w-	c:\program files\DAEMON Tools Lite
2009-08-12 09:36 . 2009-08-12 09:36	721904	----a-w-	c:\windows\system32\drivers\sptd.sys
2009-08-11 18:55 . 2009-08-11 18:55	--------	d-----w-	c:\windows\Logs
2009-08-11 18:50 . 2009-08-11 18:57	--------	d-----w-	c:\documents and settings\All Users\Application Data\Sports Interactive
2009-07-29 13:08 . 2009-07-03 16:57	55296	------w-	c:\windows\system32\dllcache\msfeedsbs.dll
2009-07-29 13:08 . 2009-07-03 16:57	594432	------w-	c:\windows\system32\dllcache\msfeeds.dll
2009-07-16 18:57 . 2009-07-16 18:57	--------	d-----w-	c:\program files\Fichiers communs\Windows Live

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-13 09:37 . 2006-01-25 21:54	--------	d-----w-	c:\program files\CCleaner
2009-08-12 18:38 . 2009-08-12 18:38	15999	----a-w-	c:\program files\Fichiers communs\lopogip.inf
2009-08-12 18:38 . 2009-08-12 18:38	12092	----a-w-	c:\documents and settings\All Users\Application Data\hutaxah.reg
2009-08-12 18:38 . 2009-08-12 18:38	11040	----a-w-	c:\program files\Fichiers communs\ajokazazes.db
2009-08-12 14:50 . 2008-06-08 13:19	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2009-08-12 12:45 . 2009-08-12 12:45	12643	----a-w-	c:\program files\Fichiers communs\dutydud.db
2009-08-12 11:42 . 1979-12-31 23:00	619584	----a-w-	c:\windows\system32\drivers
tfs.sys
2009-07-22 12:05 . 2009-05-01 18:31	--------	d-----w-	c:\program files\Steam
2009-07-15 20:04 . 2008-06-04 11:37	--------	d-----w-	c:\program files\Messenger Plus! Live
2009-07-03 16:57 . 2004-07-07 16:59	915456	----a-w-	c:\windows\system32\wininet.dll
2009-07-02 15:43 . 2005-09-27 22:35	--------	d-----w-	c:\program files\Google
2009-06-24 08:06 . 2009-05-03 09:31	--------	d-----w-	c:\program files\GRETECH
2009-06-23 20:28 . 2009-06-23 20:27	--------	d-----w-	c:\program files\Fichiers communs\ArcSoft
2009-06-23 20:26 . 2006-02-23 19:29	--------	d-----w-	c:\program files\ArcSoft
2009-06-23 20:26 . 2002-12-05 01:45	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-06-23 20:22 . 2009-06-23 20:22	--------	d-----w-	c:\program files\QuickTime
2009-06-23 20:21 . 2009-06-23 20:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\Apple Computer
2009-06-23 20:21 . 2009-06-23 20:21	--------	d-----w-	c:\program files\Apple Software Update
2009-06-23 20:21 . 2009-06-23 20:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\Apple
2009-06-20 16:55 . 2004-11-21 09:56	50832	-c-ha-w-	c:\windows\system32\mlfcache.dat
2009-06-20 15:49 . 2009-06-20 15:49	--------	d-----w-	c:\documents and settings\All Users\Application Data\CDTEST 3
2009-06-16 14:40 . 1979-12-31 23:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:40 . 1979-12-31 23:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-03 19:10 . 2003-09-05 21:17	1297408	----a-w-	c:\windows\system32\quartz.dll
.

------- Sigcheck -------


[-] 2009-08-13 12:01	28160	88894AD22A4911EDF9B73FD35D5E165C	c:\windows\system32\dllcache\beep.sys

[-] 2007-02-09 11:23	574976	05AB81909514BFD69CBB1F2C147CF6B9	c:\windows\$hf_mig$\KB930916\SP2QFE
tfs.sys
[-] 2007-02-09 11:10	574464	!HASH: COULD NOT OPEN FILE !!!!!	c:\windows\$NtServicePackUninstall$
tfs.sys
[7] 2008-04-13 19:15	574976	78A08DD6A8D65E697C18E1DB01C5CDCA	c:\windows\ServicePackFiles\i386
tfs.sys
[-] 2009-08-12 11:42	619584	4DFB45D14330ACE7FD32EE8DBCF50C97	c:\windows\system32\dllcache
tfs.sys
[-] 2009-08-12 11:42	619584	4DFB45D14330ACE7FD32EE8DBCF50C97	c:\windows\system32\drivers
tfs.sys

c:\windows\system32\appmgmts.dll ... is missing !!
c:\windows\system32\drivers\beep.sys ... is missing !!
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-25 94208]
"Network Associates Error Reporting Service"="c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"CANAL+ CANALSAT A LA DEMANDE"="c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe" [2009-04-28 170072]
"MSConfig"="c:\windows\msconfig.exe" [2004-04-18 147968]
"nwiz"="nwiz.exe" - c:\windows\system32
wiz.exe [2007-12-05 1626112]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0SsiEfr.e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^EPSON Status Monitor 3 Environment Check 2.lnk]
backup=c:\windows\pss\EPSON Status Monitor 3 Environment Check 2.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Exif Launcher.lnk]
backup=c:\windows\pss\Exif Launcher.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WmdmPmSp"=2 (0x2)
"WebClient"=2 (0x2)
"UPS"=3 (0x3)
"Themes"=2 (0x2)
"seclogon"=2 (0x2)
"SCardSvr"=3 (0x3)
"PolicyAgent"=2 (0x2)
"NtmsSvc"=3 (0x3)
"mnmsrvc"=3 (0x3)
"LmHosts"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\Steam\steamapps\david.savelli@wanadoo.fr\day of defeat\hl.exe"=
"c:\Program Files\Steam\steamapps\david.savelli@wanadoo.fr\half-life\hl.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [12/08/2009 14:41 130936]
R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [11/09/2006 23:19 58016]
S2 CanalPlus.VOD;CanalPlus.VOD;c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [28/04/2009 17:33 188416]
S2 cpuidle;cpuidle;c:\windows\system32\drivers\etc\CPUIDLE\srvany.exe [29/08/1996 23:00 13312]
S2 gupdate1c920d9504e2d24;Google Update Service (gupdate1c920d9504e2d24);c:\program files\Google\Update\GoogleUpdate.exe [27/09/2008 21:43 133104]
S2 PV8630;PV8631 WDM Device Driver;c:\windows\system32\A1236.SYS [17/04/2004 17:14 19096]
S2 SVKP;SVKP; [x]
S3 cusbohcn;cusbohcn; [x]
S3 Kbdhltevcsia;Kbdhltevcsia; [x]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [12/08/2009 14:41 348752]
S3 SIS163u;SiS 163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [15/09/2006 21:49 167424]
S3 STAC97NA;SigmaTel 3D Environmental Audio;c:\windows\system32\drivers\stac97na.sys [01/01/1980 01:00 296179]
S3 STAC97NH;STAC97NH;c:\windows\system32\drivers\stac97nh.sys [01/01/1980 01:00 231983]
S3 uir1100a;UIR1100A;c:\windows\system32\drivers\uir1100a.sys [06/11/2008 19:41 31048]
S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [01/01/1980 01:00 1432836]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32undll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder

2009-06-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]

2009-07-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-09-27 19:50]
.
.
------- Supplementary Scan -------
.
mStart Page = hxxp://www.google.com
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
DPF: Microsoft XML Parser for Java
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles
mm1df47.default\
FF - plugin: c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD
pCpVod.dll
FF - plugin: c:\program files\Fichiers communs\mpDRM\NPMPDRM.dll
FF - plugin: c:\program files\Google\Google Earth Plugin
pgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3
pPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.7
pGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pGoogleGadgetPluginFirefoxWin.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPMPDRM.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pornap.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-13 15:03
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-790525478-1644491937-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,14,c7,84,a2,e2,62,38,4c,8f,7d,e8,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,14,c7,84,a2,e2,62,38,4c,8f,7d,e8,\

[HKEY_USERS\S-1-5-21-790525478-1644491937-725345543-500\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040710900063D11C8EF10054038389C"="C?\WINDOWS\System32\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\æHôwæ*]
"DisplayName"="\09"
"DeviceDesc"="\09"
"ProviderName"=""
"MFG"="?"
"ReinstallString"="2002, 6.13.10.6166"
"DeviceInstanceIds"=multi:"\00"

[HKEY_LOCAL_MACHINE\software\mpDRM\LicenseStore*]
@DACL=
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(376)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2009-08-13 15:05
ComboFix-quarantined-files.txt  2009-08-13 13:05
ComboFix2.txt  2009-08-13 12:03

Pre-Run: 26 355 576 832 octets libres
Post-Run: 26 336 141 312 octets libres

294	--- E O F ---	2009-08-02 08:59


Si j'ai mal fait l'opération merci de me l'indiquer je refais immédiatement. Je crois que je vais craquer ...

jlpjlp · Answer

repare windows:
https://www.commentcamarche.net/informatique/windows/25-verifier-et-reparer-des-fichiers-systeme-avec-windows-10/

______________



colle le rapport d'un scan en ligne
avec un des suivants:


Panda en ligne :
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

knix05 · Answer

malheureusement sfc /scannow ne marche et je n'ai jamais le CD windows seulement préinstallé. 
On est arrivé au bout du bout ?
Autre solution pour remplacer les fichiers corrompus ou manquants ?

J'ai un CD de restauration du système de mon portable avec XP SP2 cela pourrait-il marcher ?

jlpjlp · Answer

tu dois pouvoir créer un cd de restauration : regarde ton manuel  et fais en un c'est important en cas de plantage du pc

le cd xp de ton autre ordi devrait marcher si c'est la même version  (pro ou perso)

jlpjlp · Answer

Télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.
(attention bien mettre :files)


:processes
explorer.exe
:files
C:\Documents and Settings\david\Local Settings\Application Data\Downloaded Installations\{A4366A17-E432-4380-A0E4-9BFFA4B054A4}\CANAL+ CANALSAT A LA DEMANDE.msi
C:\Documents and Settings\david\Local Settings\Application Data\Downloaded Installations\{A4366A17-E432-4380-A0E4-9BFFA4B054A4}\CANAL+ CANALSAT A LA DEMANDE.msi[unk_0085]
C:\WINDOWS\Installer\1b46df6.msi
C:\WINDOWS\Installer\1b46df6.msi[unk_0114]
C:\Documents and Settings\david\Bureau\applis\eChanblard.exe
C:\Program Files\Mozilla Firefox\SmitfraudFix\IEDFix.C.exe
C:\Program Files\Mozilla Firefox\SmitfraudFix\404Fix.exe
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\UbiSoft\SetupUbi.exe
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\SmitfraudFix.exe
C:\Documents and Settings\david\Local Settings\Temp\BN2A.tmp
C:\Documents and Settings\david\msword98.exe
:commands
[purity]
[emptytemp]
[start explorer]

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
___________________________

lance tool cleaner et vire tout
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

_____________________________
répare windows;
https://www.commentcamarche.net/informatique/windows/25-verifier-et-reparer-des-fichiers-systeme-avec-windows-10/

______________________
encore des soucis??
refais panda et colle le rapport pour voir

knix05 · Answer

braviax.exe est de retour à chaque redémarrage !

C'est insupportable ! 

Je refais toutes les manips que tu m'as proposées ! 

Ou sinon je reste en mode sans échec toute ma vie ! 

J'attends de tes nouvelles.

Encore merci

jlpjlp · Answer

ok fais le reste

braviax de retour a chaque demarrage? que veux tu dire? quel fichier est infecté?

jlpjlp · Answer

Pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

_______________

telecharge combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

_________________

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :





Driver::
figaro
beep
File::
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KSZUUEES\Install[1].exe
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\wisdstr.exe
C:\WINDOWS	emp\BN1.tmp
C:\Documents and Settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd
C:\Documents and Settings\david\Local Settings\Temp\BN2A.tmp
C:\Documents and Settings\david\msword98.exe
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\dllcache\figaro.sys
C:\WINDOWS\system32\drivers\beep.sys




Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


___________________

verifie avec stinger ou avenger si c'est bon

jlpjlp · Answer

Télécharger OAD (Outil d'Aide au Diagnostic) < http://sosvirus.changelog.fr/OAD.exe >
&#8594; Enregistre-le sur ton bureau
&#8594; Lancer 'OAD.exe' en faisant un double clique sur le fichier
&#8594; Saisir la valeur recherchée -> ' braviax ' ( fait un copier/coller )

puis avec  oashdihasidhasuidhiasdhiashdiuasdhasd

&#8594; Type de recherche : sélectionner l'option 6 puis valide [entrée]
&#8594; OAD va maintenant rechercher le fichier.
&#8594; Laisse-le travailler jusqu'à ce qu'il en ait terminé.
&#8594; Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.

------------- Patienter. --------------

&#8594; Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
&#8594; Faire un copier/coller de ce rapport dans ton prochain post.


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note: Certains Antivirus peuvent émettre une alerte lors du téléchargement / utilisation > ignore


_______________________________

---> Télécharge GMER :
http://www2.gmer.net/gmer.zip

---> Extrais le contenu du ZIP puis renomme "gmer.exe" en "bypass.exe"

---> Onglet "Rootkit" ; clique sur "Scan" puis patiente.

---> En fin de traitement, clique sur "Save..." et enregistre sur ton Bureau "301108.txt".

---> Double-clique sur "301108.txt" ; le rapport apparaît, poste-le.

knix05 · Answer

La suite de stinger

McAfee® Stinger Version 10.0.1.624 built on Jul  6 2009

Copyright © 2009 McAfee, Inc. All Rights Reserved.

Virus data file v1000 created on Jul 6 2009.

Ready to scan for 897 viruses, trojans and variants.



Scan initiated on Fri Aug 14 19:54:19 2009

  Number of clean files: 25205



Scan initiated on Fri Aug 14 20:11:43 2009

C:\Qoobox\Quarantine\C\WINDOWS\system32\dllcache\figaro.sys.vir

     Found the FakeAlert-C.dr trojan !!!

C:\Qoobox\Quarantine\C\WINDOWS\system32\dllcache\figaro.sys.vir has been deleted.

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\beep.sys.vir

     Found the FakeAlert-C.dr trojan !!!

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\beep.sys.vir has been deleted.

C:\WINDOWS\system32\dllcache\beep.sys

     Found the FakeAlert-C.dr trojan !!!

C:\WINDOWS\system32\dllcache\beep.sys has been deleted.

  Number of clean files: 343789

  Number of Trojans: 3

  Number of files deleted: 3

plus le rapport de MBAM 

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 6
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\david\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\david\Local Settings\Temp\BN2A.tmp (Trojan.Agent) -> Quarantined and deleted successfully.


est ce que je peux supprimer manuellement ?

jlpjlp · Answer

vire manuellement 

fais le message 23

a plus

knix05 · Answer

Salut, 

ça continue encore et encore ...Comme j'ai été obligé de relancer braviax est revenu malgré la suppression dans les clés de registre des éléments de braviax. 
Par contre je ne peux plus activer le parefeu windows du coup sur la livebox j'ai mis un parefeu au niveau de contrôle maxi.
Voici le compte rendu de viruscan.

15/08/2009	09:05:58	Version du moteur                                           =5300
15/08/2009	09:05:58	Version du fichier DAT                                      =5709
15/08/2009	09:05:58	Nombre de signatures de virus dans EXTRA.DAT                =Aucun
15/08/2009	09:05:58	Nom des virus que EXTRA.DAT peut détecter                   =Aucun
15/08/2009	09:05:54	Analyse démarrée	UNIKA\david	Analyse à la demande
15/08/2009	09:42:21	Supprimé 	c:\System Volume Information\_restore{59F21D55-E169-4490-BAEE-023C831C851A}\RP0\A0000860.sys	FakeAlert-C.dr(Cheval de Troie)
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Résumé de l'analyse
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Processus analysés : 39
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Processus détectés : 0
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Processus nettoyés : 0
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Secteurs d'amorçage analysés : 1
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Secteurs d'amorçage détectés : 0
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Secteurs d'amorçage nettoyés : 0
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Fichiers analysés : 84745
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Fichiers avec des détections : 1
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Détections de fichiers : 1
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Fichiers nettoyés : 0
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Fichiers déplacés : 0
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Fichiers supprimés : 1
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Fichiers non analysés : 25
15/08/2009	09:58:27	Résumé de l'analyse	UNIKA\david	Heure d'exécution : 0:52:33
15/08/2009	09:58:27	Analyse terminée	UNIKA\david	Analyse à la demande

Le compte rendu OAD
 15/08/2009 ---- 10:10:59,21  

----------------------------------
§§§§§§ [oashdihasidhasuidhiasdhiashdiuasdhasd 6] §§§§§§
----------------------------------
[X] Registre
[  ] Fichier (rapide)
[  ] Fichier (disque systeme)
[X] Fichier (complete)




********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

pour braviax 

 15/08/2009 ---- 10:12:54,71  

----------------------------------
§§§§§§ [braviax] §§§§§§
----------------------------------
[X] Registre
[  ] Fichier (rapide)
[  ] Fichier (disque systeme)
[X] Fichier (complete)




********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"braviax"=""

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"braviax"=""

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"braviax"=""

*******************
     [Fichier] 
*******************

c:\WINDOWS\system32\braviax.exe


*********************
     [Même date] 
*********************

C:\hiberfil.sys 
C:\pagefile.sys 
C:\Program 
C:esultat.txt 
C:\WINDOWS 
C:\WINDOWS\. 
C:\WINDOWS\.. 
C:\WINDOWS\0.log 
C:\WINDOWS\bootstat.dat 
C:\WINDOWS\system32 
C:\WINDOWS	emp 
C:\WINDOWS\wiadebug.log 
C:\WINDOWS\wiaservc.log 
C:\WINDOWS\WindowsUpdate.log 
C:\WINDOWS\system32\. 
C:\WINDOWS\system32\.. 
C:\WINDOWS\system32\braviax.exe 
C:\WINDOWS\system32\dllcache 
C:\WINDOWS\system32\drivers 
C:\WINDOWS\system32\LogFiles 
C:\WINDOWS\system32\wpa.dbl 
C:\WINDOWS\system32\drivers\. 
C:\WINDOWS\system32\drivers\.. 



----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

J'avais supprimé avec regedit les 3 clés de registres mais en redémarrant elles sont revenues ....

voici le rapport gmer : très long le scan !


en mode sans échec j'appuie sur esc pour ne pas charger A347bus.sys est un fichier contaminé ?

GMER 1.0.15.15020 [bypass.exe] - http://www.gmer.net
Rootkit scan 2009-08-15 13:04:41
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            a347bus.sys (Plug and Play BIOS Extension/ )                                                                         ZwClose [0xF74DA028]
SSDT            a347bus.sys (Plug and Play BIOS Extension/ )                                                                         ZwCreateKey [0xF74D9FE0]
SSDT            a347bus.sys (Plug and Play BIOS Extension/ )                                                                         ZwCreatePagingFile [0xF74CDB00]
SSDT            86D7E109                                                                                                             ZwCreateThread
SSDT            a347bus.sys (Plug and Play BIOS Extension/ )                                                                         ZwEnumerateKey [0xF74CE5DC]
SSDT            a347bus.sys (Plug and Play BIOS Extension/ )                                                                         ZwEnumerateValueKey [0xF74DA120]
SSDT            a347bus.sys (Plug and Play BIOS Extension/ )                                                                         ZwOpenFile [0xF74CDB40]
SSDT            a347bus.sys (Plug and Play BIOS Extension/ )                                                                         ZwOpenKey [0xF74D9FA4]
SSDT            a347bus.sys (Plug and Play BIOS Extension/ )                                                                         ZwQueryKey [0xF74CE5FC]
SSDT            a347bus.sys (Plug and Play BIOS Extension/ )                                                                         ZwQueryValueKey [0xF74DA076]
SSDT            a347bus.sys (Plug and Play BIOS Extension/ )                                                                         ZwSetSystemPowerState [0xF74D9550]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\services.exe[552] kernel32.dll!VirtualProtectEx                                                  7C801A61 5 Bytes  JMP 3700737C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] kernel32.dll!VirtualProtect                                                    7C801AD4 5 Bytes  JMP 3700733E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] kernel32.dll!LoadLibraryA                                                      7C801D7B 5 Bytes  JMP 370074F0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] kernel32.dll!GetStartupInfoA                                                   7C801EF2 5 Bytes  JMP 37007436 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] kernel32.dll!GetProcAddress                                                    7C80AE40 5 Bytes  JMP 370074B2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] kernel32.dll!CreatePipe                                                        7C81D83F 5 Bytes  JMP 370073F8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] kernel32.dll!PeekNamedPipe                                                     7C860977 5 Bytes  JMP 370073BA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] kernel32.dll!WinExec                                                           7C86250D 5 Bytes  JMP 37007474 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] ADVAPI32.dll!RegOpenKeyA                                                       77DAEFC8 5 Bytes  JMP 3700752E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] msvcrt.dll!system                                                              77BF93C7 5 Bytes  JMP 3700775C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] msvcrt.dll!_creat                                                              77BFD40F 5 Bytes  JMP 370076A2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] msvcrt.dll!_read                                                               77BFFAA3 3 Bytes  JMP 3700771E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] msvcrt.dll!_read + 4                                                           77BFFAA7 1 Byte  [BF]
.text           C:\WINDOWS\system32\services.exe[552] msvcrt.dll!_write                                                              77C00303 5 Bytes  JMP 370076E0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] WS2_32.dll!select                                                              719F30A8 5 Bytes  JMP 37007626 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] WS2_32.dll!socket                                                              719F4211 5 Bytes  JMP 3700756C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] WS2_32.dll!bind                                                                719F4480 5 Bytes  JMP 370075E8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] WS2_32.dll!send                                                                719F4C27 5 Bytes  JMP 370075AA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] WS2_32.dll!recv                                                                719F676F 5 Bytes  JMP 37007664 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] WININET.dll!InternetReadFile                                                   404B654B 5 Bytes  JMP 3700779A C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] WININET.dll!InternetOpenA                                                      404CD688 5 Bytes  JMP 37007816 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\services.exe[552] WININET.dll!InternetOpenUrlA                                                   404CF39C 5 Bytes  JMP 370077D8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] kernel32.dll!VirtualProtectEx                                                     7C801A61 5 Bytes  JMP 3700737C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] kernel32.dll!VirtualProtect                                                       7C801AD4 5 Bytes  JMP 3700733E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] kernel32.dll!LoadLibraryA                                                         7C801D7B 5 Bytes  JMP 370074F0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] kernel32.dll!GetStartupInfoA                                                      7C801EF2 5 Bytes  JMP 37007436 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] kernel32.dll!GetProcAddress                                                       7C80AE40 5 Bytes  JMP 370074B2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] kernel32.dll!CreatePipe                                                           7C81D83F 5 Bytes  JMP 370073F8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] kernel32.dll!PeekNamedPipe                                                        7C860977 5 Bytes  JMP 370073BA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] kernel32.dll!WinExec                                                              7C86250D 5 Bytes  JMP 37007474 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] ADVAPI32.dll!RegOpenKeyA                                                          77DAEFC8 5 Bytes  JMP 3700752E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] msvcrt.dll!system                                                                 77BF93C7 5 Bytes  JMP 3700775C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] msvcrt.dll!_creat                                                                 77BFD40F 5 Bytes  JMP 370076A2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] msvcrt.dll!_read                                                                  77BFFAA3 3 Bytes  JMP 3700771E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] msvcrt.dll!_read + 4                                                              77BFFAA7 1 Byte  [BF]
.text           C:\WINDOWS\system32\lsass.exe[568] msvcrt.dll!_write                                                                 77C00303 5 Bytes  JMP 370076E0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] WS2_32.dll!select                                                                 719F30A8 5 Bytes  JMP 37007626 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] WS2_32.dll!socket                                                                 719F4211 5 Bytes  JMP 3700756C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] WS2_32.dll!bind                                                                   719F4480 5 Bytes  JMP 370075E8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] WS2_32.dll!send                                                                   719F4C27 5 Bytes  JMP 370075AA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] WS2_32.dll!recv                                                                   719F676F 5 Bytes  JMP 37007664 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] WININET.dll!InternetReadFile                                                      404B654B 5 Bytes  JMP 3700779A C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] WININET.dll!InternetOpenA                                                         404CD688 5 Bytes  JMP 37007816 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\lsass.exe[568] WININET.dll!InternetOpenUrlA                                                      404CF39C 5 Bytes  JMP 370077D8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] kernel32.dll!VirtualProtectEx                                        7C801A61 5 Bytes  JMP 3700737C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] kernel32.dll!VirtualProtect                                          7C801AD4 5 Bytes  JMP 3700733E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] kernel32.dll!LoadLibraryA                                            7C801D7B 5 Bytes  JMP 370074F0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] kernel32.dll!GetStartupInfoA                                         7C801EF2 5 Bytes  JMP 37007436 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] kernel32.dll!GetProcAddress                                          7C80AE40 5 Bytes  JMP 370074B2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] kernel32.dll!CreatePipe                                              7C81D83F 5 Bytes  JMP 370073F8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] kernel32.dll!PeekNamedPipe                                           7C860977 5 Bytes  JMP 370073BA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] kernel32.dll!WinExec                                                 7C86250D 5 Bytes  JMP 37007474 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] ADVAPI32.dll!RegOpenKeyA                                             77DAEFC8 5 Bytes  JMP 3700752E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] msvcrt.dll!system                                                    77BF93C7 5 Bytes  JMP 3700775C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] msvcrt.dll!_creat                                                    77BFD40F 5 Bytes  JMP 370076A2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] msvcrt.dll!_read                                                     77BFFAA3 3 Bytes  JMP 3700771E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] msvcrt.dll!_read + 4                                                 77BFFAA7 1 Byte  [BF]
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] msvcrt.dll!_write                                                    77C00303 5 Bytes  JMP 370076E0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] WS2_32.dll!select                                                    719F30A8 5 Bytes  JMP 37007626 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] WS2_32.dll!socket                                                    719F4211 5 Bytes  JMP 3700756C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] WS2_32.dll!bind                                                      719F4480 5 Bytes  JMP 370075E8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] WS2_32.dll!send                                                      719F4C27 5 Bytes  JMP 370075AA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] WS2_32.dll!recv                                                      719F676F 5 Bytes  JMP 37007664 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] WININET.dll!InternetReadFile                                         404B654B 5 Bytes  JMP 3700779A C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] WININET.dll!InternetOpenA                                            404CD688 5 Bytes  JMP 37007816 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe[620] WININET.dll!InternetOpenUrlA                                         404CF39C 5 Bytes  JMP 370077D8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] kernel32.dll!VirtualProtectEx                                                   7C801A61 5 Bytes  JMP 3700737C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] kernel32.dll!VirtualProtect                                                     7C801AD4 5 Bytes  JMP 3700733E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] kernel32.dll!LoadLibraryA                                                       7C801D7B 5 Bytes  JMP 370074F0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] kernel32.dll!GetStartupInfoA                                                    7C801EF2 5 Bytes  JMP 37007436 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] kernel32.dll!GetProcAddress                                                     7C80AE40 5 Bytes  JMP 370074B2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] kernel32.dll!CreatePipe                                                         7C81D83F 5 Bytes  JMP 370073F8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] kernel32.dll!PeekNamedPipe                                                      7C860977 5 Bytes  JMP 370073BA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] kernel32.dll!WinExec                                                            7C86250D 5 Bytes  JMP 37007474 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] ADVAPI32.dll!RegOpenKeyA                                                        77DAEFC8 5 Bytes  JMP 3700752E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] msvcrt.dll!system                                                               77BF93C7 5 Bytes  JMP 3700775C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] msvcrt.dll!_creat                                                               77BFD40F 5 Bytes  JMP 370076A2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] msvcrt.dll!_read                                                                77BFFAA3 3 Bytes  JMP 3700771E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] msvcrt.dll!_read + 4                                                            77BFFAA7 1 Byte  [BF]
.text           C:\WINDOWS\system32\svchost.exe[756] msvcrt.dll!_write                                                               77C00303 5 Bytes  JMP 370076E0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] WS2_32.dll!select                                                               719F30A8 5 Bytes  JMP 37007626 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] WS2_32.dll!socket                                                               719F4211 5 Bytes  JMP 3700756C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] WS2_32.dll!bind                                                                 719F4480 5 Bytes  JMP 370075E8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] WS2_32.dll!send                                                                 719F4C27 5 Bytes  JMP 370075AA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] WS2_32.dll!recv                                                                 719F676F 5 Bytes  JMP 37007664 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] WININET.dll!InternetReadFile                                                    404B654B 5 Bytes  JMP 3700779A C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] WININET.dll!InternetOpenA                                                       404CD688 5 Bytes  JMP 37007816 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[756] WININET.dll!InternetOpenUrlA                                                    404CF39C 5 Bytes  JMP 370077D8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] kernel32.dll!VirtualProtectEx                                                   7C801A61 5 Bytes  JMP 3700737C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] kernel32.dll!VirtualProtect                                                     7C801AD4 5 Bytes  JMP 3700733E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] kernel32.dll!LoadLibraryA                                                       7C801D7B 5 Bytes  JMP 370074F0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] kernel32.dll!GetStartupInfoA                                                    7C801EF2 5 Bytes  JMP 37007436 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] kernel32.dll!GetProcAddress                                                     7C80AE40 5 Bytes  JMP 370074B2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] kernel32.dll!CreatePipe                                                         7C81D83F 5 Bytes  JMP 370073F8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] kernel32.dll!PeekNamedPipe                                                      7C860977 5 Bytes  JMP 370073BA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] kernel32.dll!WinExec                                                            7C86250D 5 Bytes  JMP 37007474 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] ADVAPI32.dll!RegOpenKeyA                                                        77DAEFC8 5 Bytes  JMP 3700752E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] msvcrt.dll!system                                                               77BF93C7 5 Bytes  JMP 3700775C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] msvcrt.dll!_creat                                                               77BFD40F 5 Bytes  JMP 370076A2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] msvcrt.dll!_read                                                                77BFFAA3 3 Bytes  JMP 3700771E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] msvcrt.dll!_read + 4                                                            77BFFAA7 1 Byte  [BF]
.text           C:\WINDOWS\system32\svchost.exe[832] msvcrt.dll!_write                                                               77C00303 5 Bytes  JMP 370076E0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] WS2_32.dll!select                                                               719F30A8 5 Bytes  JMP 37007626 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] WS2_32.dll!socket                                                               719F4211 5 Bytes  JMP 3700756C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] WS2_32.dll!bind                                                                 719F4480 5 Bytes  JMP 370075E8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] WS2_32.dll!send                                                                 719F4C27 5 Bytes  JMP 370075AA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] WS2_32.dll!recv                                                                 719F676F 5 Bytes  JMP 37007664 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] WININET.dll!InternetReadFile                                                    404B654B 5 Bytes  JMP 3700779A C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] WININET.dll!InternetOpenA                                                       404CD688 5 Bytes  JMP 37007816 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[832] WININET.dll!InternetOpenUrlA                                                    404CF39C 5 Bytes  JMP 370077D8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] kernel32.dll!VirtualProtectEx         7C801A61 5 Bytes  JMP 3700737C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] kernel32.dll!VirtualProtect           7C801AD4 5 Bytes  JMP 3700733E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] kernel32.dll!LoadLibraryA             7C801D7B 5 Bytes  JMP 370074F0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] kernel32.dll!GetStartupInfoA          7C801EF2 5 Bytes  JMP 37007436 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] kernel32.dll!GetProcAddress           7C80AE40 5 Bytes  JMP 370074B2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] kernel32.dll!CreatePipe               7C81D83F 5 Bytes  JMP 370073F8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] kernel32.dll!PeekNamedPipe            7C860977 5 Bytes  JMP 370073BA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] kernel32.dll!WinExec                  7C86250D 5 Bytes  JMP 37007474 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] ADVAPI32.dll!RegOpenKeyA              77DAEFC8 5 Bytes  JMP 3700752E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] msvcrt.dll!system                     77BF93C7 5 Bytes  JMP 3700775C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] msvcrt.dll!_creat                     77BFD40F 5 Bytes  JMP 370076A2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] msvcrt.dll!_read                      77BFFAA3 3 Bytes  JMP 3700771E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] msvcrt.dll!_read + 4                  77BFFAA7 1 Byte  [BF]
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] msvcrt.dll!_write                     77C00303 5 Bytes  JMP 370076E0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] WS2_32.dll!select                     719F30A8 5 Bytes  JMP 37007626 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] WS2_32.dll!socket                     719F4211 5 Bytes  JMP 3700756C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] WS2_32.dll!bind                       719F4480 5 Bytes  JMP 370075E8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] WS2_32.dll!send                       719F4C27 5 Bytes  JMP 370075AA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] WS2_32.dll!recv                       719F676F 5 Bytes  JMP 37007664 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] WININET.dll!InternetReadFile          404B654B 5 Bytes  JMP 3700779A C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] WININET.dll!InternetOpenA             404CD688 5 Bytes  JMP 37007816 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\Program Files\Network Associates\Common Framework\FrameworkService.exe[872] WININET.dll!InternetOpenUrlA          404CF39C 5 Bytes  JMP 370077D8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!VirtualProtectEx                                                   7C801A61 5 Bytes  JMP 3700737C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!VirtualProtect                                                     7C801AD4 5 Bytes  JMP 3700733E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!LoadLibraryA                                                       7C801D7B 5 Bytes  JMP 370074F0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!GetStartupInfoA                                                    7C801EF2 5 Bytes  JMP 37007436 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!GetProcAddress                                                     7C80AE40 5 Bytes  JMP 370074B2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreatePipe                                                         7C81D83F 5 Bytes  JMP 370073F8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!PeekNamedPipe                                                      7C860977 5 Bytes  JMP 370073BA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!WinExec                                                            7C86250D 5 Bytes  JMP 37007474 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] ADVAPI32.dll!RegOpenKeyA                                                        77DAEFC8 5 Bytes  JMP 3700752E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!system                                                               77BF93C7 5 Bytes  JMP 3700775C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_creat                                                               77BFD40F 5 Bytes  JMP 370076A2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_read                                                                77BFFAA3 3 Bytes  JMP 3700771E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_read + 4                                                            77BFFAA7 1 Byte  [BF]
.text           C:\WINDOWS\system32\svchost.exe[884] msvcrt.dll!_write                                                               77C00303 5 Bytes  JMP 370076E0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] WS2_32.dll!select                                                               719F30A8 5 Bytes  JMP 37007626 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] WS2_32.dll!socket                                                               719F4211 5 Bytes  JMP 3700756C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] WS2_32.dll!bind                                                                 719F4480 5 Bytes  JMP 370075E8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] WS2_32.dll!send                                                                 719F4C27 5 Bytes  JMP 370075AA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] WS2_32.dll!recv                                                                 719F676F 5 Bytes  JMP 37007664 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] WININET.dll!InternetReadFile                                                    404B654B 5 Bytes  JMP 3700779A C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] WININET.dll!InternetOpenA                                                       404CD688 5 Bytes  JMP 37007816 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\system32\svchost.exe[884] WININET.dll!InternetOpenUrlA                                                    404CF39C 5 Bytes  JMP 370077D8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] kernel32.dll!VirtualProtectEx                                                   7C801A61 5 Bytes  JMP 3700737C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] kernel32.dll!VirtualProtect                                                     7C801AD4 5 Bytes  JMP 3700733E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] kernel32.dll!LoadLibraryA                                                       7C801D7B 5 Bytes  JMP 370074F0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] kernel32.dll!GetStartupInfoA                                                    7C801EF2 5 Bytes  JMP 37007436 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] kernel32.dll!GetProcAddress                                                     7C80AE40 5 Bytes  JMP 370074B2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] kernel32.dll!CreatePipe                                                         7C81D83F 5 Bytes  JMP 370073F8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] kernel32.dll!PeekNamedPipe                                                      7C860977 5 Bytes  JMP 370073BA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] kernel32.dll!WinExec                                                            7C86250D 5 Bytes  JMP 37007474 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] ADVAPI32.dll!RegOpenKeyA                                                        77DAEFC8 5 Bytes  JMP 3700752E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] msvcrt.dll!system                                                               77BF93C7 5 Bytes  JMP 3700775C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] msvcrt.dll!_creat                                                               77BFD40F 5 Bytes  JMP 370076A2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] msvcrt.dll!_read                                                                77BFFAA3 3 Bytes  JMP 3700771E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] msvcrt.dll!_read + 4                                                            77BFFAA7 1 Byte  [BF]
.text           C:\WINDOWS\System32\svchost.exe[976] msvcrt.dll!_write                                                               77C00303 5 Bytes  JMP 370076E0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] WS2_32.dll!select                                                               719F30A8 5 Bytes  JMP 37007626 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] WS2_32.dll!socket                                                               719F4211 5 Bytes  JMP 3700756C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] WS2_32.dll!bind                                                                 719F4480 5 Bytes  JMP 370075E8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] WS2_32.dll!send                                                                 719F4C27 5 Bytes  JMP 370075AA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] WS2_32.dll!recv                                                                 719F676F 5 Bytes  JMP 37007664 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] WININET.dll!InternetReadFile                                                    404B654B 5 Bytes  JMP 3700779A C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] WININET.dll!InternetOpenA                                                       404CD688 5 Bytes  JMP 37007816 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[976] WININET.dll!InternetOpenUrlA                                                    404CF39C 5 Bytes  JMP 370077D8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] kernel32.dll!VirtualProtectEx                                                   7C801A61 5 Bytes  JMP 3700737C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] kernel32.dll!VirtualProtect                                                     7C801AD4 5 Bytes  JMP 3700733E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] kernel32.dll!LoadLibraryA                                                       7C801D7B 5 Bytes  JMP 370074F0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] kernel32.dll!GetStartupInfoA                                                    7C801EF2 5 Bytes  JMP 37007436 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] kernel32.dll!GetProcAddress                                                     7C80AE40 5 Bytes  JMP 370074B2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] kernel32.dll!CreatePipe                                                         7C81D83F 5 Bytes  JMP 370073F8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] kernel32.dll!PeekNamedPipe                                                      7C860977 5 Bytes  JMP 370073BA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] kernel32.dll!WinExec                                                            7C86250D 5 Bytes  JMP 37007474 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] ADVAPI32.dll!RegOpenKeyA                                                        77DAEFC8 5 Bytes  JMP 3700752E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] msvcrt.dll!system                                                               77BF93C7 5 Bytes  JMP 3700775C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] msvcrt.dll!_creat                                                               77BFD40F 5 Bytes  JMP 370076A2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] msvcrt.dll!_read                                                                77BFFAA3 3 Bytes  JMP 3700771E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] msvcrt.dll!_read + 4                                                            77BFFAA7 1 Byte  [BF]
.text           C:\WINDOWS\System32\svchost.exe[988] msvcrt.dll!_write                                                               77C00303 5 Bytes  JMP 370076E0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] WS2_32.dll!select                                                               719F30A8 5 Bytes  JMP 37007626 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] WS2_32.dll!socket                                                               719F4211 5 Bytes  JMP 3700756C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] WS2_32.dll!bind                                                                 719F4480 5 Bytes  JMP 370075E8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] WS2_32.dll!send                                                                 719F4C27 5 Bytes  JMP 370075AA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] WS2_32.dll!recv                                                                 719F676F 5 Bytes  JMP 37007664 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] WININET.dll!InternetReadFile                                                    404B654B 5 Bytes  JMP 3700779A C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] WININET.dll!InternetOpenA                                                       404CD688 5 Bytes  JMP 37007816 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[988] WININET.dll!InternetOpenUrlA                                                    404CF39C 5 Bytes  JMP 370077D8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] kernel32.dll!VirtualProtectEx                                                          7C801A61 5 Bytes  JMP 3700737C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] kernel32.dll!VirtualProtect                                                            7C801AD4 5 Bytes  JMP 3700733E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] kernel32.dll!LoadLibraryA                                                              7C801D7B 5 Bytes  JMP 370074F0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] kernel32.dll!GetStartupInfoA                                                           7C801EF2 5 Bytes  JMP 37007436 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] kernel32.dll!CreatePipe                                                                7C81D83F 5 Bytes  JMP 370073F8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] kernel32.dll!PeekNamedPipe                                                             7C860977 5 Bytes  JMP 370073BA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] kernel32.dll!WinExec                                                                   7C86250D 5 Bytes  JMP 37007474 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] ADVAPI32.dll!RegOpenKeyA                                                               77DAEFC8 5 Bytes  JMP 3700752E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] msvcrt.dll!system                                                                      77BF93C7 5 Bytes  JMP 3700775C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] msvcrt.dll!_creat                                                                      77BFD40F 5 Bytes  JMP 370076A2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] msvcrt.dll!_read                                                                       77BFFAA3 3 Bytes  JMP 3700771E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] msvcrt.dll!_read + 4                                                                   77BFFAA7 1 Byte  [BF]
.text           C:\WINDOWS\Explorer.EXE[1432] msvcrt.dll!_write                                                                      77C00303 5 Bytes  JMP 370076E0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] WININET.dll!InternetReadFile                                                           404B654B 5 Bytes  JMP 3700779A C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] WININET.dll!InternetOpenA                                                              404CD688 5 Bytes  JMP 37007816 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] WININET.dll!InternetOpenUrlA                                                           404CF39C 5 Bytes  JMP 370077D8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!select                                                                      719F30A8 5 Bytes  JMP 37007626 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!socket                                                                      719F4211 5 Bytes  JMP 3700756C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!bind                                                                        719F4480 5 Bytes  JMP 370075E8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!send                                                                        719F4C27 5 Bytes  JMP 370075AA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!recv                                                                        719F676F 5 Bytes  JMP 37007664 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] kernel32.dll!VirtualProtectEx                                                  7C801A61 5 Bytes  JMP 3700737C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] kernel32.dll!VirtualProtect                                                    7C801AD4 5 Bytes  JMP 3700733E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] kernel32.dll!LoadLibraryA                                                      7C801D7B 5 Bytes  JMP 370074F0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] kernel32.dll!GetStartupInfoA                                                   7C801EF2 5 Bytes  JMP 37007436 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] kernel32.dll!GetProcAddress                                                    7C80AE40 5 Bytes  JMP 370074B2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] kernel32.dll!CreatePipe                                                        7C81D83F 5 Bytes  JMP 370073F8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] kernel32.dll!PeekNamedPipe                                                     7C860977 5 Bytes  JMP 370073BA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] kernel32.dll!WinExec                                                           7C86250D 5 Bytes  JMP 37007474 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] ADVAPI32.dll!RegOpenKeyA                                                       77DAEFC8 5 Bytes  JMP 3700752E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] msvcrt.dll!system                                                              77BF93C7 5 Bytes  JMP 3700775C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] msvcrt.dll!_creat                                                              77BFD40F 5 Bytes  JMP 370076A2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] msvcrt.dll!_read                                                               77BFFAA3 3 Bytes  JMP 3700771E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] msvcrt.dll!_read + 4                                                           77BFFAA7 1 Byte  [BF]
.text           C:\WINDOWS\System32\svchost.exe[1512] msvcrt.dll!_write                                                              77C00303 5 Bytes  JMP 370076E0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] WS2_32.dll!select                                                              719F30A8 5 Bytes  JMP 37007626 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] WS2_32.dll!socket                                                              719F4211 5 Bytes  JMP 3700756C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] WS2_32.dll!bind                                                                719F4480 5 Bytes  JMP 370075E8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] WS2_32.dll!send                                                                719F4C27 5 Bytes  JMP 370075AA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] WS2_32.dll!recv                                                                719F676F 5 Bytes  JMP 37007664 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] WININET.dll!InternetReadFile                                                   404B654B 5 Bytes  JMP 3700779A C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] WININET.dll!InternetOpenA                                                      404CD688 5 Bytes  JMP 37007816 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[1512] WININET.dll!InternetOpenUrlA                                                   404CF39C 5 Bytes  JMP 370077D8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[2756] kernel32.dll!VirtualProtectEx                                                  7C801A61 5 Bytes  JMP 3700737C C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[2756] kernel32.dll!VirtualProtect                                                    7C801AD4 5 Bytes  JMP 3700733E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[2756] kernel32.dll!LoadLibraryA                                                      7C801D7B 5 Bytes  JMP 370074F0 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[2756] kernel32.dll!GetStartupInfoA                                                   7C801EF2 5 Bytes  JMP 37007436 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[2756] kernel32.dll!GetProcAddress                                                    7C80AE40 5 Bytes  JMP 370074B2 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[2756] kernel32.dll!CreatePipe                                                        7C81D83F 5 Bytes  JMP 370073F8 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[2756] kernel32.dll!PeekNamedPipe                                                     7C860977 5 Bytes  JMP 370073BA C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[2756] kernel32.dll!WinExec                                                           7C86250D 5 Bytes  JMP 37007474 C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchost.exe[2756] ADVAPI32.dll!RegOpenKeyA                                                       77DAEFC8 5 Bytes  JMP 3700752E C:\WINDOWS\system32\EntApi.dll (EntAPI/Network Associates, Inc)
.text           C:\WINDOWS\System32\svchos

knix05 · Answer

le rapport OAD après la nouvelle infection, j'ai supprimé le fichier et la clé de registre.

Est ce suffisant ? J'en doute d'autres pistes ?

Merci beaucoup.

[  ] Fichier (disque systeme)
[X] Fichier (complete)




********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"braviax"=""

*******************
     [Fichier] 
*******************

c:\WINDOWS\system32\braviax.exe


*********************
     [Même date] 
*********************

C:\hiberfil.sys 
C:\pagefile.sys 
C:\Program 
C:esultat.txt 
C:\WINDOWS 
C:\WINDOWS\. 
C:\WINDOWS\.. 
C:\WINDOWS\0.log 
C:\WINDOWS\bootstat.dat 
C:\WINDOWS\QTFont.qfn 
C:\WINDOWS\system32 
C:\WINDOWS	emp 
C:\WINDOWS\wiadebug.log 
C:\WINDOWS\wiaservc.log 
C:\WINDOWS\WindowsUpdate.log 
C:\WINDOWS\system32\. 
C:\WINDOWS\system32\.. 
C:\WINDOWS\system32\braviax.exe 
C:\WINDOWS\system32\dllcache 
C:\WINDOWS\system32\drivers 
C:\WINDOWS\system32\LogFiles 
C:\WINDOWS\system32\wpa.dbl 
C:\WINDOWS\system32\drivers\. 
C:\WINDOWS\system32\drivers\.. 



----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

knix05 · Answer

Après plusieurs redémarrages forcés, braviax revient tout le temps. J'ai installé un pare-feu outpost qui a bloqué les tentatives pour installer les fichiers infectés habituels. Par contre il n'a pu à nouveau que braviax s'installe en win32 et qu'il apparaisse dans la barre des taches. 
Le pare-feu a l'avantage de bloquer les tentatives d'intrusion mais n'empêche en rien que le retour de braviax.
Je supprime à chaque fois les clés de registre et tous les fichiers temporaires mais braviax revient inlassablement.

Quelles opérations faudrait il que je fasse à présent car depuis deux jours c'est l'enfer. 

Je sais que je suis pénible avec cette m. de virus mais je crois que je vais abandonner ...

Pourrais tu m'indiquer la marche à suivre et me dire ce que tu souhaites pour repartir de 0 !

Merci.

jlpjlp · Answer

Pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

_______________


Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :





File::
c:\WINDOWS\system32\braviax.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Run]
"braviax"=-


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


______________________________



mets la version gratuite de bitdefender qui ne rentrera pas en conflit avec ton antivirus et colle un rapport avec

https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/29063.html

jlpjlp · Answer

ensuite remets un rapport rsit pour faire le point

knix05 · Answer

Bonjour,

Merci pour la réponse cependant braviax n'est pas revenu avec le parefeu c'est la bonne nouvelle.
Par contre j'ai toujours aavec MBAM des cochonneries

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2611
Windows 5.1.2600 Service Pack 3

16/08/2009 07:37:03
mbam-log-2009-08-16 (07-36-58).txt

Type de recherche: Examen rapide
Eléments examinés: 100909
Temps écoulé: 22 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS	emp\BN4.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS	emp\BN5.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS	emp\BN6.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS	emp\BN7.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.
J'ai supprimé la selection mais tout reviendra au prochain demarrage !
Pour les clés de registre que puis je faire je les ai modifié mais puis les supprimer ?

J'attends de tes nouvelles.
Bonne journée

jlpjlp · Answer

ok
tout vient de lui  C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex)

______________

il doit y avoir un autre fichier qui le réactive meme après suppression , il faut le trouver

_____________

redemarre , et fais oad sans le supprimer avant



Télécharger OAD (Outil d'Aide au Diagnostic) < http://sosvirus.changelog.fr/OAD.exe >
&#8594; Enregistre-le sur ton bureau
&#8594; Lancer 'OAD.exe' en faisant un double clique sur le fichier
&#8594; Saisir la valeur recherchée -> ' oashdihasidhasuidhiasdhiashdiuasdhasd ' ( fait un copier/coller )


&#8594; Type de recherche : sélectionner l'option 6 puis valide [entrée]
&#8594; OAD va maintenant rechercher le fichier.
&#8594; Laisse-le travailler jusqu'à ce qu'il en ait terminé.
&#8594; Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.

------------- Patienter. --------------

&#8594; Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
&#8594; Faire un copier/coller de ce rapport dans ton prochain post.


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note: Certains Antivirus peuvent émettre une alerte lors du téléchargement / utilisation > ignore


_____________________
Pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

_______________


Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :



Driver::
oashdihasidhasuidhiasdhiashdiuasdhasd 
File::
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd 
c:\WINDOWS\system32\braviax.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Run]
"braviax"=-



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


______________________________


ensuite avec internet explorer colle un scan en ligne kaspersky ou avec bitdefender free

https://www.informatruc.com

knix05 · Answer

RootkitdetectiveR a trouvé peut-être la solution, non ?

Object-Name: ZwDeleteFile
Object-Path: C:\WINDOWS\system32\drivers\SandBox.sys

Object-Type: SSDT-hook
Object-Name: ZwDeleteKey
Object-Path: C:\WINDOWS\system32\drivers\SandBox.sys

Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: C:\WINDOWS\system32\drivers\SandBox.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateValueKey
Object-Path: C:\WINDOWS\system32\drivers\a347bus.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadDriver
Object-Path: C:\WINDOWS\system32\drivers\SandBox.sys

Object-Type: SSDT-hook
Object-Name: ZwMakeTemporaryObject
Object-Path: C:\WINDOWS\system32\drivers\SandBox.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: C:\WINDOWS\system32\drivers\SandBox.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: C:\WINDOWS\system32\drivers\SandBox.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: C:\WINDOWS\system32\drivers\SandBox.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenSection
Object-Path: C:\WINDOWS\system32\drivers\SandBox.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: C:\WINDOWS\system32\drivers\SandBox.sys

Object-Type: SSDT-hook
Object-Name: ZwProtectVirtualMemory
Object-Path: C:\WINDOWS\system32\drivers\SandBox.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryDirectoryFile
Object-Path: C:\WINDOWS\system32\drivers\SandBox.sys
                                                                                                                    
Cependant en redemaarranr BN5 est revenu dans le fichier temp de windows

Je vais suivre ta procédure.

à plus

jlpjlp · Answer

analyse ces fichiers sur virus total et dis moi lesquels sont considérés comme infectés: https://www.virustotal.com/gui/

C:\WINDOWS\randseed.rnd
C:\WINDOWS\wiadebug.log
C:\WINDOWS\wiaservc.log
C:\WINDOWS\WindowsUpdate.log
C:\WINDOWS\system32\284160.mht
C:\WINDOWS\system32\f7e161.dll
C:\WINDOWS\system32\f7e161.sys
c:\windows\system32\d5512.sys 
c:\windows\system32\drivers\v90drv.sys 
c:\windows\system32\ZDCndis5.SYS

knix05 · Answer

Je ferai ça ce soir par contre braviax revient dans la barre des taches en cours alors même que je bloque avec le parefeu toutes les demandes liées à braviax !
Il est vraiment tortueux et plutôt pénible cette saleté.

Merci de ton aide.

sKe69 · Answer

Salut à tous ,


grosse tuile du moment cette dernière variante ,



jlpjlp, 

je crois bien que le virus patch aussi :

c:\windows\system32\dllcache
tfs.sys 
c:\windows\system32\drivers
tfs.sys 


regarde les md5 donnée dans le rapport Combo :


------- Sigcheck ------- 

[-] 2007-02-09 11:23 574976 05AB81909514BFD69CBB1F2C147CF6B9 c:\windows\$hf_mig$\KB930916\SP2QFE
tfs.sys 
[-] 2007-02-09 11:10 574464 19A811EF5F1ED5C926A028CE107FF1AF c:\windows\$NtServicePackUninstall$
tfs.sys 
[7] 2008-04-13 19:15 574976 78A08DD6A8D65E697C18E1DB01C5CDCA c:\windows\ServicePackFiles\i386
tfs.sys 
[-] 2009-08-12 11:42 619584 4DFB45D14330ACE7FD32EE8DBCF50C97 c:\windows\system32\dllcache
tfs.sys 
[-] 2009-08-12 11:42 619584 4DFB45D14330ACE7FD32EE8DBCF50C97 c:\windows\system32\drivers
tfs.sys 


les 3 premiers sont clean , parcontre , les derniers ( 4DFB45D14330ACE7FD32EE8DBCF50C97 ) semblent être pourri ...


je pense qu'une analyse sur VT de ces 2 ntfs.sys serait la bien venu .... ;)


Bonne chance à vous deux ...


=)


A+

knix05 · Answer

Merci de ta contribution 

Après un test sur VT des deux derniers indiqués faut il simplement les supprimer ou utiliser combofix ?


D'autres pistes ???

jlpjlp · Answer

slt Ske69 

merci d'être passé 

car pas évident ce rootkit

a plus

knix05 · Answer

salut, deux fichiers concernés (cf. ci-dessous) Fichier randseed.rnd reçu le 2009.08.17 16:17:19 (UTC) Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE Résultat: 0/41 (0%) en train de charger les informations du serveur... Votre fichier est dans la file d'attente, en position: 2. L'heure estimée de démarrage est entre 50 et 71 secondes. Ne fermez pas la fenêtre avant la fin de l'analyse. L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats. Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. Votre fichier est, en ce moment, en cours d'analyse par VirusTotal, les résultats seront affichés au fur et à mesure de leur génération. Formaté Formaté Impression des résultats Impression des résultats Votre fichier a expiré ou n'existe pas. Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie. Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email: Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.24 2009.08.17 - AhnLab-V3 5.0.0.2 2009.08.17 - AntiVir 7.9.1.1 2009.08.17 - Antiy-AVL 2.0.3.7 2009.08.17 - Authentium 5.1.2.4 2009.08.17 - Avast 4.8.1335.0 2009.08.17 - AVG 8.5.0.406 2009.08.17 - BitDefender 7.2 2009.08.17 - CAT-QuickHeal 10.00 2009.08.17 - ClamAV 0.94.1 2009.08.17 - Comodo 2002 2009.08.17 - DrWeb 5.0.0.12182 2009.08.17 - eSafe 7.0.17.0 2009.08.17 - eTrust-Vet 31.6.6681 2009.08.17 - F-Prot 4.4.4.56 2009.08.16 - F-Secure 8.0.14470.0 2009.08.17 - Fortinet 3.120.0.0 2009.08.17 - GData 19 2009.08.17 - Ikarus T3.1.1.68.0 2009.08.17 - Jiangmin 11.0.800 2009.08.17 - K7AntiVirus 7.10.820 2009.08.17 - Kaspersky 7.0.0.125 2009.08.17 - McAfee 5712 2009.08.17 - McAfee+Artemis 5712 2009.08.17 - McAfee-GW-Edition 6.8.5 2009.08.17 - Microsoft 1.4903 2009.08.17 - NOD32 4342 2009.08.17 - Norman 6.01.09 2009.08.17 - nProtect 2009.1.8.0 2009.08.17 - Panda 10.0.0.14 2009.08.16 - PCTools 4.4.2.0 2009.08.17 - Prevx 3.0 2009.08.17 - Rising 21.43.04.00 2009.08.17 - Sophos 4.44.0 2009.08.17 - Sunbelt 3.2.1858.2 2009.08.16 - Symantec 1.4.4.12 2009.08.17 - TheHacker 6.3.4.3.383 2009.08.13 - TrendMicro 8.950.0.1094 2009.08.17 - VBA32 3.12.10.9 2009.08.17 - ViRobot 2009.8.17.1887 2009.08.17 - VirusBuster 4.6.5.0 2009.08.17 - Information additionnelle File size: 512 bytes MD5...: 33b83c67bb16a60339a8f45fd0da6053 SHA1..: 0c3f149b0f9f61fb0c1ab8b0639778667ccc3f80 SHA256: 2939dd3ff6c0b50faaeae832953044821c13686822f4c7b91bc96348d874756a ssdeep: 12:B8BaDsOdu139zCNqqYxhQgEqfLle5BieCo17WX4jzUJN:XjuiNJYxZfLlBwWX wK PEiD..: - TrID..: File type identification Unknown! PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set Fichier wiadebug.log reçu le 2009.08.17 16:20:49 (UTC) Situation actuelle: terminé Résultat: 0/41 (0.00%) Formaté Formaté Impression des résultats Impression des résultats Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.24 2009.08.17 - AhnLab-V3 5.0.0.2 2009.08.17 - AntiVir 7.9.1.1 2009.08.17 - Antiy-AVL 2.0.3.7 2009.08.17 - Authentium 5.1.2.4 2009.08.17 - Avast 4.8.1335.0 2009.08.17 - AVG 8.5.0.406 2009.08.17 - BitDefender 7.2 2009.08.17 - CAT-QuickHeal 10.00 2009.08.17 - ClamAV 0.94.1 2009.08.17 - Comodo 2002 2009.08.17 - DrWeb 5.0.0.12182 2009.08.17 - eSafe 7.0.17.0 2009.08.17 - eTrust-Vet 31.6.6681 2009.08.17 - F-Prot 4.4.4.56 2009.08.16 - F-Secure 8.0.14470.0 2009.08.17 - Fortinet 3.120.0.0 2009.08.17 - GData 19 2009.08.17 - Ikarus T3.1.1.68.0 2009.08.17 - Jiangmin 11.0.800 2009.08.17 - K7AntiVirus 7.10.820 2009.08.17 - Kaspersky 7.0.0.125 2009.08.17 - McAfee 5712 2009.08.17 - McAfee+Artemis 5712 2009.08.17 - McAfee-GW-Edition 6.8.5 2009.08.17 - Microsoft 1.4903 2009.08.17 - NOD32 4342 2009.08.17 - Norman 6.01.09 2009.08.17 - nProtect 2009.1.8.0 2009.08.17 - Panda 10.0.0.14 2009.08.16 - PCTools 4.4.2.0 2009.08.17 - Prevx 3.0 2009.08.17 - Rising 21.43.04.00 2009.08.17 - Sophos 4.44.0 2009.08.17 - Sunbelt 3.2.1858.2 2009.08.16 - Symantec 1.4.4.12 2009.08.17 - TheHacker 6.3.4.3.383 2009.08.13 - TrendMicro 8.950.0.1094 2009.08.17 - VBA32 3.12.10.9 2009.08.17 - ViRobot 2009.8.17.1887 2009.08.17 - VirusBuster 4.6.5.0 2009.08.17 - Information additionnelle File size: 230 bytes MD5 : 7be8a3c450959b60ff54f270696cfc26 SHA1 : aef63af80804c9620bab1aa13b4c354e63c9aefa SHA256: c16b16623a8bdd5d7d5678bd0b7eec0e9bf92f4df805cfa18e7e0acaded6206f TrID : File type identification Unknown! ssdeep: 6:HuSBUmF4nF2OdPmgNAfPF2OdPONBMygWykwew:OSBUibyOcAf8yiB7kxew PEiD : - RDS : NSRL Reference Data Set Fichier wiaservc.log reçu le 2009.08.17 16:26:57 (UTC) Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE Résultat: 0/41 (0%) en train de charger les informations du serveur... Votre fichier est dans la file d'attente, en position: 1. L'heure estimée de démarrage est entre 40 et 57 secondes. Ne fermez pas la fenêtre avant la fin de l'analyse. L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats. Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. Votre fichier est, en ce moment, en cours d'analyse par VirusTotal, les résultats seront affichés au fur et à mesure de leur génération. Formaté Formaté Impression des résultats Impression des résultats Votre fichier a expiré ou n'existe pas. Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie. Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email: Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.24 2009.08.17 - AhnLab-V3 5.0.0.2 2009.08.17 - AntiVir 7.9.1.1 2009.08.17 - Antiy-AVL 2.0.3.7 2009.08.17 - Authentium 5.1.2.4 2009.08.17 - Avast 4.8.1335.0 2009.08.17 - AVG 8.5.0.406 2009.08.17 - BitDefender 7.2 2009.08.17 - CAT-QuickHeal 10.00 2009.08.17 - ClamAV 0.94.1 2009.08.17 - Comodo 2002 2009.08.17 - DrWeb 5.0.0.12182 2009.08.17 - eSafe 7.0.17.0 2009.08.17 - eTrust-Vet 31.6.6681 2009.08.17 - F-Prot 4.4.4.56 2009.08.16 - F-Secure 8.0.14470.0 2009.08.17 - Fortinet 3.120.0.0 2009.08.17 - GData 19 2009.08.17 - Ikarus T3.1.1.68.0 2009.08.17 - Jiangmin 11.0.800 2009.08.17 - K7AntiVirus 7.10.820 2009.08.17 - Kaspersky 7.0.0.125 2009.08.17 - McAfee 5712 2009.08.17 - McAfee+Artemis 5712 2009.08.17 - McAfee-GW-Edition 6.8.5 2009.08.17 - Microsoft 1.4903 2009.08.17 - NOD32 4343 2009.08.17 - Norman 6.01.09 2009.08.17 - nProtect 2009.1.8.0 2009.08.17 - Panda 10.0.0.14 2009.08.16 - PCTools 4.4.2.0 2009.08.17 - Prevx 3.0 2009.08.17 - Rising 21.43.04.00 2009.08.17 - Sophos 4.44.0 2009.08.17 - Sunbelt 3.2.1858.2 2009.08.16 - Symantec 1.4.4.12 2009.08.17 - TheHacker 6.3.4.3.383 2009.08.13 - TrendMicro 8.950.0.1094 2009.08.17 - VBA32 3.12.10.9 2009.08.17 - ViRobot 2009.8.17.1887 2009.08.17 - VirusBuster 4.6.5.0 2009.08.17 - Information additionnelle File size: 50 bytes MD5...: 0ef553cbeea9e4deda153697cfa68ec2 SHA1..: 4a9d774179459bcaf491e8892cfb8ad97ed713a9 SHA256: 1fb9cee0fdf119bca371be53f7776a3f0d3092744e13bc79098e2c629b81d388 ssdeep: 3:7j9KERRddF0fvn:7o8Sfv PEiD..: - TrID..: File type identification Generic INI configuration (100.0%) PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set - Fichier WindowsUpdate.log reçu le 2009.08.17 16:29:32 (UTC) Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE Résultat: 0/41 (0%) en train de charger les informations du serveur... Votre fichier est dans la file d'attente, en position: 2. L'heure estimée de démarrage est entre 50 et 71 secondes. Ne fermez pas la fenêtre avant la fin de l'analyse. L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats. Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. Votre fichier est, en ce moment, en cours d'analyse par VirusTotal, les résultats seront affichés au fur et à mesure de leur génération. Formaté Formaté Impression des résultats Impression des résultats Votre fichier a expiré ou n'existe pas. Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie. Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email: Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.24 2009.08.17 - AhnLab-V3 5.0.0.2 2009.08.17 - AntiVir 7.9.1.1 2009.08.17 - Antiy-AVL 2.0.3.7 2009.08.17 - Authentium 5.1.2.4 2009.08.17 - Avast 4.8.1335.0 2009.08.17 - AVG 8.5.0.406 2009.08.17 - BitDefender 7.2 2009.08.17 - CAT-QuickHeal 10.00 2009.08.17 - ClamAV 0.94.1 2009.08.17 - Comodo 2002 2009.08.17 - DrWeb 5.0.0.12182 2009.08.17 - eSafe 7.0.17.0 2009.08.17 - eTrust-Vet 31.6.6681 2009.08.17 - F-Prot 4.4.4.56 2009.08.16 - F-Secure 8.0.14470.0 2009.08.17 - Fortinet 3.120.0.0 2009.08.17 - GData 19 2009.08.17 - Ikarus T3.1.1.68.0 2009.08.17 - Jiangmin 11.0.800 2009.08.17 - K7AntiVirus 7.10.820 2009.08.17 - Kaspersky 7.0.0.125 2009.08.17 - McAfee 5712 2009.08.17 - McAfee+Artemis 5712 2009.08.17 - McAfee-GW-Edition 6.8.5 2009.08.17 - Microsoft 1.4903 2009.08.17 - NOD32 4343 2009.08.17 - Norman 6.01.09 2009.08.17 - nProtect 2009.1.8.0 2009.08.17 - Panda 10.0.0.14 2009.08.16 - PCTools 4.4.2.0 2009.08.17 - Prevx 3.0 2009.08.17 - Rising 21.43.04.00 2009.08.17 - Sophos 4.44.0 2009.08.17 - Sunbelt 3.2.1858.2 2009.08.16 - Symantec 1.4.4.12 2009.08.17 - TheHacker 6.3.4.3.383 2009.08.13 - TrendMicro 8.950.0.1094 2009.08.17 - VBA32 3.12.10.9 2009.08.17 - ViRobot 2009.8.17.1887 2009.08.17 - VirusBuster 4.6.5.0 2009.08.17 - Information additionnelle File size: 205592 bytes MD5...: b49b6b04ca824e5061fc7d3bf6ced228 SHA1..: 64f3ae2b5aae2b618525bc1b282ef3d972e2dba2 SHA256: d568dd59fa1b0379cfa3af9233a169515e7d7eae7fccbddaccc6320291a7a33e ssdeep: 3072:D7HJtkVGipuWlt6zhfrAjY1aibIt9n3rhAFsKa:7SuWlt6zhfrAjY1aibIt 9n3rhAFsKa PEiD..: - TrID..: File type identification Unknown! PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set Fichier 2ea1.mht reçu le 2009.08.13 19:37:51 (UTC) Situation actuelle: terminé Résultat: 0/41 (0.00%) Formaté Formaté Impression des résultats Impression des résultats Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.24 2009.08.13 - AhnLab-V3 5.0.0.2 2009.08.13 - AntiVir 7.9.1.1 2009.08.13 - Antiy-AVL 2.0.3.7 2009.08.13 - Authentium 5.1.2.4 2009.08.13 - Avast 4.8.1335.0 2009.08.12 - AVG 8.5.0.406 2009.08.13 - BitDefender 7.2 2009.08.13 - CAT-QuickHeal 10.00 2009.08.13 - ClamAV 0.94.1 2009.08.13 - Comodo 1968 2009.08.13 - DrWeb 5.0.0.12182 2009.08.13 - eSafe 7.0.17.0 2009.08.13 - eTrust-Vet 31.6.6675 2009.08.13 - F-Prot 4.4.4.56 2009.08.13 - F-Secure 8.0.14470.0 2009.08.13 - Fortinet 3.120.0.0 2009.08.13 - GData 19 2009.08.13 - Ikarus T3.1.1.64.0 2009.08.13 - Jiangmin 11.0.800 2009.08.13 - K7AntiVirus 7.10.817 2009.08.12 - Kaspersky 7.0.0.125 2009.08.13 - McAfee 5708 2009.08.13 - McAfee+Artemis 5708 2009.08.13 - McAfee-GW-Edition 6.8.5 2009.08.13 - Microsoft 1.4903 2009.08.13 - NOD32 4333 2009.08.13 - Norman 6.01.09 2009.08.13 - nProtect 2009.1.8.0 2009.08.13 - Panda 10.0.0.14 2009.08.13 - PCTools 4.4.2.0 2009.08.12 - Prevx 3.0 2009.08.13 - Rising 21.42.34.00 2009.08.13 - Sophos 4.44.0 2009.08.13 - Sunbelt 3.2.1858.2 2009.08.13 - Symantec 1.4.4.12 2009.08.13 - TheHacker 6.3.4.3.383 2009.08.13 - TrendMicro 8.950.0.1094 2009.08.13 - VBA32 3.12.10.9 2009.08.13 - ViRobot 2009.8.13.1883 2009.08.13 - VirusBuster 4.6.5.0 2009.08.13 - Information additionnelle File size: 2335270 bytes MD5 : 00e7d2d63341b809bbbc01006e78e059 SHA1 : caeb474208bc9aa498c3568ae2d8d8d6b1937158 SHA256: 85ead410cfecdd9fd7eedd620d6fd731f87b00987d4bb9ec14e8f1d17e3c75bc TrID : File type identification Unknown! ssdeep: 24576:i2iDl35e1CUND70izA4iV4LnHh0RUPQDpVlofBFVcL0WRfpF892jk4D2Uytm4/2q:VS0C0lsY7MpSuZYJJR2CyEBCk77 PEiD : - packers (F-Prot): qp RDS : NSRL Reference Data Set - Fichier f7e161.dll reçu le 2009.08.17 16:37:29 (UTC) Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE Résultat: 1/41 (2.44%) en train de charger les informations du serveur... Votre fichier est dans la file d'attente, en position: ___. L'heure estimée de démarrage est entre ___ et ___ . Ne fermez pas la fenêtre avant la fin de l'analyse. L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats. Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. Votre fichier est, en ce moment, en cours d'analyse par VirusTotal, les résultats seront affichés au fur et à mesure de leur génération. Formaté Formaté Impression des résultats Impression des résultats Votre fichier a expiré ou n'existe pas. Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie. Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email: Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.24 2009.08.17 - AhnLab-V3 5.0.0.2 2009.08.17 - AntiVir 7.9.1.1 2009.08.17 - Antiy-AVL 2.0.3.7 2009.08.17 - Authentium 5.1.2.4 2009.08.17 - Avast 4.8.1335.0 2009.08.17 - AVG 8.5.0.406 2009.08.17 - BitDefender 7.2 2009.08.17 - CAT-QuickHeal 10.00 2009.08.17 - ClamAV 0.94.1 2009.08.17 - Comodo 1965 2009.08.17 - DrWeb 5.0.0.12182 2009.08.17 - eSafe 7.0.17.0 2009.08.17 - eTrust-Vet 31.6.6681 2009.08.17 - F-Prot 4.4.4.56 2009.08.16 - F-Secure 8.0.14470.0 2009.08.17 - Fortinet 3.120.0.0 2009.08.17 - GData 19 2009.08.17 - Ikarus T3.1.1.68.0 2009.08.17 - Jiangmin 11.0.800 2009.08.17 - K7AntiVirus 7.10.820 2009.08.17 - Kaspersky 7.0.0.125 2009.08.17 - McAfee 5712 2009.08.17 - McAfee+Artemis 5712 2009.08.17 - McAfee-GW-Edition 6.8.5 2009.08.17 - Microsoft 1.4903 2009.08.17 - NOD32 4343 2009.08.17 - Norman 2009.08.17 - nProtect 2009.1.8.0 2009.08.17 - Panda 10.0.0.14 2009.08.16 - PCTools 4.4.2.0 2009.08.17 - Prevx 3.0 2009.08.17 High Risk Cloaked Malware Rising 21.43.04.00 2009.08.17 - Sophos 4.44.0 2009.08.17 - Sunbelt 3.2.1858.2 2009.08.16 - Symantec 1.4.4.12 2009.08.17 - TheHacker 6.3.4.3.383 2009.08.13 - TrendMicro 8.950.0.1094 2009.08.17 - VBA32 3.12.10.9 2009.08.17 - ViRobot 2009.8.17.1887 2009.08.17 - VirusBuster 4.6.5.0 2009.08.17 - Information additionnelle File size: 128352 bytes MD5...: 64cf4a5abcee17219b5a2031a580cacf SHA1..: 49081df2aba526a047172bfa58212c6c38db536c SHA256: 4771279baddc5ac0ea6b205facc37b1f62c9a5e85c01a6c2a46e8b48bcce6d16 ssdeep: 6:idq2Vg3F+X32xlt4thbso0vggF6y4uM7sTyWTb/uTi7WpLW//+/aubMaLL:e9G SGB4fr0d6yVMGfYLWuSyMaLL PEiD..: - RDS...: NSRL Reference Data Set - pdfid.: - trid..: Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) http://info.prevx.com/aboutprogramtext.asp?PX5=E4FDA67B603B7C64F55301961A50220006E85AE8 Fichier f7e161.dll reçu le 2009.08.17 16:27:49 (UTC) Situation actuelle: terminé Résultat: 1/41 (2.44%) Formaté Formaté Impression des résultats Impression des résultats Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.24 2009.08.17 - AhnLab-V3 5.0.0.2 2009.08.17 - AntiVir 7.9.1.1 2009.08.17 - Antiy-AVL 2.0.3.7 2009.08.17 - Authentium 5.1.2.4 2009.08.17 - Avast 4.8.1335.0 2009.08.17 - AVG 8.5.0.406 2009.08.17 - BitDefender 7.2 2009.08.17 - CAT-QuickHeal 10.00 2009.08.17 - ClamAV 0.94.1 2009.08.17 - Comodo 1965 2009.08.17 - DrWeb 5.0.0.12182 2009.08.17 - eSafe 7.0.17.0 2009.08.17 - eTrust-Vet 31.6.6681 2009.08.17 - F-Prot 4.4.4.56 2009.08.16 - F-Secure 8.0.14470.0 2009.08.17 - Fortinet 3.120.0.0 2009.08.17 - GData 19 2009.08.17 - Ikarus T3.1.1.68.0 2009.08.17 - Jiangmin 11.0.800 2009.08.17 - K7AntiVirus 7.10.820 2009.08.17 - Kaspersky 7.0.0.125 2009.08.17 - McAfee 5712 2009.08.17 - McAfee+Artemis 5712 2009.08.17 - McAfee-GW-Edition 6.8.5 2009.08.17 - Microsoft 1.4903 2009.08.17 - NOD32 4343 2009.08.17 - Norman 2009.08.17 - nProtect 2009.1.8.0 2009.08.17 - Panda 10.0.0.14 2009.08.16 - PCTools 4.4.2.0 2009.08.17 - Prevx 3.0 2009.08.17 High Risk Cloaked Malware Rising 21.43.04.00 2009.08.17 - Sophos 4.44.0 2009.08.17 - Sunbelt 3.2.1858.2 2009.08.16 - Symantec 1.4.4.12 2009.08.17 - TheHacker 6.3.4.3.383 2009.08.13 - TrendMicro 8.950.0.1094 2009.08.17 - VBA32 3.12.10.9 2009.08.17 - ViRobot 2009.8.17.1887 2009.08.17 - VirusBuster 4.6.5.0 2009.08.17 - Information additionnelle File size: 128352 bytes MD5 : 64cf4a5abcee17219b5a2031a580cacf SHA1 : 49081df2aba526a047172bfa58212c6c38db536c SHA256: 4771279baddc5ac0ea6b205facc37b1f62c9a5e85c01a6c2a46e8b48bcce6d16 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x220 timedatestamp.....: 0x4663F240 (Mon Jun 4 13:06:40 2007) machinetype.......: 0x14C (Intel I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x220 0x5 0x20 0.79 78c11c3973b7c842a07b840c2c7ef5cb .rdata 0x240 0x54 0x60 1.75 a728c7b2c6e8b13fd794c77e8e48b6ae .reloc 0x2A0 0xC 0x20 0.20 62d5dc64502fa9ec708b4f6e79a09aef ( 0 imports ) ( 0 exports ) TrID : File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) ssdeep: 6:idq2Vg3F+X32xlt4thbso0vggF6y4uM7sTyWTb/uTi7WpLW//+/aubMaLL:e9GSGB4fr0d6yVMGfYLWuSyMaLL Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=E4FDA67B603B7C64F55301961A50220006E85AE8 PEiD : - RDS : NSRL Reference Data Set - Fichier v90drv.sys reçu le 2009.07.01 20:13:33 (UTC) Situation actuelle: terminé Résultat: 0/41 (0.00%) Formaté Formaté Impression des résultats Impression des résultats Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.07.01 - AhnLab-V3 5.0.0.2 2009.07.01 - AntiVir 7.9.0.199 2009.07.01 - Antiy-AVL 2.0.3.1 2009.07.01 - Authentium 5.1.2.4 2009.07.01 - Avast 4.8.1335.0 2009.07.01 - AVG 8.5.0.386 2009.07.01 - BitDefender 7.2 2009.07.01 - CAT-QuickHeal 10.00 2009.07.01 - ClamAV 0.94.1 2009.07.01 - Comodo 1537 2009.07.01 - DrWeb 5.0.0.12182 2009.07.01 - eSafe 7.0.17.0 2009.06.29 - eTrust-Vet 31.6.6591 2009.07.01 - F-Prot 4.4.4.56 2009.07.01 - F-Secure 8.0.14470.0 2009.07.01 - Fortinet 3.117.0.0 2009.07.01 - GData 19 2009.07.01 - Ikarus T3.1.1.64.0 2009.07.01 - Jiangmin 11.0.706 2009.07.01 - K7AntiVirus 7.10.768 2009.06.19 - Kaspersky 7.0.0.125 2009.07.01 - McAfee 5663 2009.07.01 - McAfee+Artemis 5663 2009.07.01 - McAfee-GW-Edition 6.7.6 2009.07.01 - Microsoft 1.4803 2009.07.01 - NOD32 4205 2009.07.01 - Norman 6.01.09 2009.07.01 - nProtect 2009.1.8.0 2009.07.01 - Panda 10.0.0.14 2009.07.01 - PCTools 4.4.2.0 2009.07.01 - Prevx 3.0 2009.07.01 - Rising 21.36.24.00 2009.07.01 - Sophos 4.43.0 2009.07.01 - Sunbelt 3.2.1858.2 2009.07.01 - Symantec 1.4.4.12 2009.07.01 - TheHacker 6.3.4.3.358 2009.06.30 - TrendMicro 8.950.0.1094 2009.07.01 - VBA32 3.12.10.7 2009.07.01 - ViRobot 2009.7.1.1814 2009.07.01 - VirusBuster 4.6.5.0 2009.07.01 - Information additionnelle File size: 1432836 bytes MD5 : 4a55bdd4a1ffe650c3c2f8687c2ea4c2 SHA1 : 7e128ec2c0290ae12ddca842ea20266bd0591169 SHA256: 9e2cdbda3bc17e7bf104357d46b1d6e5e14a6c9e2f40da4ce2671598616da8f1 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x127FB8 timedatestamp.....: 0x3BF3876C (Thu Nov 15 10:14:20 2001) machinetype.......: 0x14C (Intel I386) ( 9 sections ) name viradd virsiz rawdsiz ntrpy md5 _LDATA 0x340 0x200 0x200 6.83 65b737155c03b4fc528070f8cbe60fab .text 0x540 0x4C92C 0x4C940 6.76 5046901d9a4a78d8c3cf94330f225f6c _LTEXT 0x4CE80 0x425 0x440 5.98 e7f2fabea9a74e6353551213c3228133 .data 0x4D2C0 0xDA4F8 0xDA500 1.52 b2866c09a5119f948b948977aa573188 .CRT 0x1277C0 0xC 0x20 0.40 4a784dbc90e0a197d9edfa9a57bd8133 PAGE 0x1277E0 0x7B3 0x7C0 6.04 67f94a379380a1ace6f2b3736b60a410 INIT 0x127FA0 0x91A 0x920 6.44 06d2158670836e588bf88a91242b0bb1 .rsrc 0x1288C0 0x328 0x340 3.15 137a502dcfbe39e6adf2fc90d1b70d64 .reloc 0x128C00 0x341C 0x3420 5.79 426d150080079fc123a7195281928452 ( 2 imports ) > hal.dll: KeGetCurrentIrql, KfReleaseSpinLock, KfAcquireSpinLock > ntoskrnl.exe: IoDeleteSymbolicLink, IofCompleteRequest, IoReleaseCancelSpinLock, IoCreateDevice, IoDeleteDevice, KeRemoveEntryDeviceQueue, InterlockedExchange, DbgPrint, IoAcquireCancelSpinLock, ZwCreateKey, memmove, ZwQueryValueKey, IoStartNextPacket, ObfDereferenceObject, RtlAppendUnicodeStringToString, ZwOpenKey, ZwClose, RtlInitAnsiString, RtlIntegerToUnicodeString, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, IoGetDeviceObjectPointer, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, ExAllocatePoolWithTag, ExFreePool, strncpy, IoCreateSymbolicLink, RtlInitUnicodeString, IoRegisterShutdownNotification, _vsnprintf, IoUnregisterShutdownNotification ( 0 exports ) TrID : File type identification 68.0% (.EXE) Win32 Executable Generic (8527/13/3) 15.9% (.EXE) Generic Win/DOS Executable (2002/3) 15.9% (.EXE) DOS Executable Generic (2000/1) 0.0% (.CEL) Autodesk FLIC Image File (extensions: flc, fli, cel) (7/3) ssdeep: 6144:+ynj2G1xkZsoc8dQmZJwBr0vI5E96jTc3yC1E9mjEyFwQgv3Uu12w5zaGDRm9CIT:jnk7cLu9jBw5zaGDILe++++0hu9 PEiD : - RDS : NSRL Reference Data Set Fichier ntfs.sys reçu le 2009.08.17 11:33:02 (UTC) Situation actuelle: terminé Résultat: 17/41 (41.46%) Formaté Formaté Impression des résultats Impression des résultats Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.24 2009.08.17 Riskware.WinNT.Cutwail!IK AhnLab-V3 5.0.0.2 2009.08.15 - AntiVir 7.9.1.1 2009.08.17 SPR/Tool.Cutwail.L.7 Antiy-AVL 2.0.3.7 2009.08.17 Virus/Win32.Protector.gen Authentium 5.1.2.4 2009.08.17 - Avast 4.8.1335.0 2009.08.17 Win32:Cutwail-W AVG 8.5.0.406 2009.08.17 Rootkit-Pakes.M BitDefender 7.2 2009.08.17 Rootkit.Kobcka.Patched.A CAT-QuickHeal 10.00 2009.08.17 - ClamAV 0.94.1 2009.08.17 - Comodo 1999 2009.08.17 - DrWeb 5.0.0.12182 2009.08.17 BackDoor.Bulknet.404 eSafe 7.0.17.0 2009.08.16 - eTrust-Vet 31.6.6681 2009.08.17 - F-Prot 4.4.4.56 2009.08.16 - F-Secure 8.0.14470.0 2009.08.17 Virus.Win32.Protector.c Fortinet 3.120.0.0 2009.08.17 - GData 19 2009.08.17 Win32:Cutwail-W Ikarus T3.1.1.68.0 2009.08.17 VirTool.WinNT.Cutwail Jiangmin 11.0.800 2009.08.17 - K7AntiVirus 7.10.819 2009.08.14 - Kaspersky 7.0.0.125 2009.08.17 Virus.Win32.Protector.c McAfee 5711 2009.08.16 - McAfee+Artemis 5711 2009.08.16 Suspect-29!4DFB45D14330 McAfee-GW-Edition 6.8.5 2009.08.17 Riskware.Tool.Cutwail.L.7 Microsoft 1.4903 2009.08.17 VirTool:WinNT/Cutwail.L NOD32 4341 2009.08.17 a variant of Win32/Wigon.LX Norman 6.01.09 2009.08.14 - nProtect 2009.1.8.0 2009.08.17 - Panda 10.0.0.14 2009.08.16 Suspicious file PCTools 4.4.2.0 2009.08.16 - Prevx 3.0 2009.08.17 - Rising 21.43.02.00 2009.08.17 - Sophos 4.44.0 2009.08.17 Troj/NTFSKit-B Sunbelt 3.2.1858.2 2009.08.16 - Symantec 1.4.4.12 2009.08.17 - TheHacker 6.3.4.3.383 2009.08.13 - TrendMicro 8.950.0.1094 2009.08.17 - VBA32 3.12.10.9 2009.08.17 - ViRobot 2009.8.17.1887 2009.08.17 - VirusBuster 4.6.5.0 2009.08.16 - Information additionnelle File size: 619584 bytes MD5 : 4dfb45d14330ace7fd32ee8dbcf50c97 SHA1 : 68acbc940d1a1b6c60a83a47966e5ad720726511 SHA256: 1f2f208b733ef8f78cc4260c8eb10a8fe1bdf732f4c1545ea77eeed93fb15b29 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xE1A timedatestamp.....: 0x4A801BE2 (Mon Aug 10 15:08:50 2009) machinetype.......: 0x14C (Intel I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x280 0xC44 0xC60 5.81 76a4eddb9a7527105b73100cf196a03d .rdata 0xEE0 0x8 0x20 0.40 53bc69c7adc744494f3d55825e7d5c47 .data 0xF00 0x19 0x20 2.17 09023b0586a11b5dd790a88206791533 INIT 0xF20 0x4C 0x60 2.31 5d563cf002ad3c2ac3b51fb9d4bf721c .reloc 0xF80 0x964A2 0x964C0 6.66 5ff6ec9b658329da07c01fc956cde0cb ( 1 imports ) > hal.dll: KeGetCurrentIrql ( 0 exports ) TrID : File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) ssdeep: 12288:FtK9Nb8PCil77a7zxO4yTcIsRI9tBzEtRnW4VU:F49NI3anxSccjzEtRW4 PEiD : - RDS : NSRL Reference Data Set - Fichier ntfs.sys reçu le 2009.08.17 11:33:02 (UTC) Situation actuelle: terminé Résultat: 17/41 (41.46%) Formaté Formaté Impression des résultats Impression des résultats Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.24 2009.08.17 Riskware.WinNT.Cutwail!IK AhnLab-V3 5.0.0.2 2009.08.15 - AntiVir 7.9.1.1 2009.08.17 SPR/Tool.Cutwail.L.7 Antiy-AVL 2.0.3.7 2009.08.17 Virus/Win32.Protector.gen Authentium 5.1.2.4 2009.08.17 - Avast 4.8.1335.0 2009.08.17 Win32:Cutwail-W AVG 8.5.0.406 2009.08.17 Rootkit-Pakes.M BitDefender 7.2 2009.08.17 Rootkit.Kobcka.Patched.A CAT-QuickHeal 10.00 2009.08.17 - ClamAV 0.94.1 2009.08.17 - Comodo 1999 2009.08.17 - DrWeb 5.0.0.12182 2009.08.17 BackDoor.Bulknet.404 eSafe 7.0.17.0 2009.08.16 - eTrust-Vet 31.6.6681 2009.08.17 - F-Prot 4.4.4.56 2009.08.16 - F-Secure 8.0.14470.0 2009.08.17 Virus.Win32.Protector.c Fortinet 3.120.0.0 2009.08.17 - GData 19 2009.08.17 Win32:Cutwail-W Ikarus T3.1.1.68.0 2009.08.17 VirTool.WinNT.Cutwail Jiangmin 11.0.800 2009.08.17 - K7AntiVirus 7.10.819 2009.08.14 - Kaspersky 7.0.0.125 2009.08.17 Virus.Win32.Protector.c McAfee 5711 2009.08.16 - McAfee+Artemis 5711 2009.08.16 Suspect-29!4DFB45D14330 McAfee-GW-Edition 6.8.5 2009.08.17 Riskware.Tool.Cutwail.L.7 Microsoft 1.4903 2009.08.17 VirTool:WinNT/Cutwail.L NOD32 4341 2009.08.17 a variant of Win32/Wigon.LX Norman 6.01.09 2009.08.14 - nProtect 2009.1.8.0 2009.08.17 - Panda 10.0.0.14 2009.08.16 Suspicious file PCTools 4.4.2.0 2009.08.16 - Prevx 3.0 2009.08.17 - Rising 21.43.02.00 2009.08.17 - Sophos 4.44.0 2009.08.17 Troj/NTFSKit-B Sunbelt 3.2.1858.2 2009.08.16 - Symantec 1.4.4.12 2009.08.17 - TheHacker 6.3.4.3.383 2009.08.13 - TrendMicro 8.950.0.1094 2009.08.17 - VBA32 3.12.10.9 2009.08.17 - ViRobot 2009.8.17.1887 2009.08.17 - VirusBuster 4.6.5.0 2009.08.16 - Information additionnelle File size: 619584 bytes MD5 : 4dfb45d14330ace7fd32ee8dbcf50c97 SHA1 : 68acbc940d1a1b6c60a83a47966e5ad720726511 SHA256: 1f2f208b733ef8f78cc4260c8eb10a8fe1bdf732f4c1545ea77eeed93fb15b29 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xE1A timedatestamp.....: 0x4A801BE2 (Mon Aug 10 15:08:50 2009) machinetype.......: 0x14C (Intel I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x280 0xC44 0xC60 5.81 76a4eddb9a7527105b73100cf196a03d .rdata 0xEE0 0x8 0x20 0.40 53bc69c7adc744494f3d55825e7d5c47 .data 0xF00 0x19 0x20 2.17 09023b0586a11b5dd790a88206791533 INIT 0xF20 0x4C 0x60 2.31 5d563cf002ad3c2ac3b51fb9d4bf721c .reloc 0xF80 0x964A2 0x964C0 6.66 5ff6ec9b658329da07c01fc956cde0cb ( 1 imports ) > hal.dll: KeGetCurrentIrql ( 0 exports ) TrID : File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) ssdeep: 12288:FtK9Nb8PCil77a7zxO4yTcIsRI9tBzEtRnW4VU:F49NI3anxSccjzEtRW4 PEiD : - RDS : NSRL Reference Data Set - ZDCndis5.SYS C:\WINDOWS\system32\d5512.sys C:\WINDOWS\system32\f7e161.sys c:\windows\system32\d5512.sys Ces 4 fichiers sont introuvables ... De même la dernière analyse de viruscan avec la dernière mise à jour : un autre nom Bredolab.gen(Cheval de Troie) 17/08/2009 15:44:04 Version du moteur =5300 17/08/2009 15:44:04 Version du fichier DAT =5711 17/08/2009 15:44:04 Nombre de signatures de virus dans EXTRA.DAT =Aucun 17/08/2009 15:44:04 Nom des virus que EXTRA.DAT peut détecter =Aucun 17/08/2009 15:43:56 Analyse démarrée UNIKA\david Analyse à la demande 17/08/2009 16:32:34 Supprimé c:\System Volume Information\_restore{59F21D55-E169-4490-BAEE-023C831C851A}\RP0\A0000763.exe Bredolab.gen(Cheval de Troie) 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Résumé de l'analyse 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Processus analysés : 42 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Processus détectés : 0 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Processus nettoyés : 0 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Secteurs d'amorçage analysés : 1 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Secteurs d'amorçage détectés : 0 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Secteurs d'amorçage nettoyés : 0 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Fichiers analysés : 86477 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Fichiers avec des détections : 1 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Détections de fichiers : 1 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Fichiers nettoyés : 0 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Fichiers déplacés : 0 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Fichiers supprimés : 1 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Fichiers non analysés : 31 17/08/2009 16:49:52 Résumé de l'analyse UNIKA\david Heure d'exécution : 1:05:56 17/08/2009 16:49:52 Analyse terminée UNIKA\david Analyse à la demande Voilà bonne lecture !! C'est le feuilleton de l'été !

jlpjlp · Answer

bien vu Ske69




clique droit sur ce fichier c:\windows\ServicePackFiles\i386
tfs.sys / choisis "copier" .
* ensuite tu cliques droit sur ton bureau / choisis "coller" afin d'avoir ce fichier "ntfs.sys" sain sous le coude .


* Puis supprimes manuellement et successivement ceux qui sont infectés ici :

c:\windows\system32\drivers
tfs.sys
c:\windows\system32\dllcache
tfs.sys

( tu cliques droit dessus / "supprimer" )

puis vide ta corbeille ...

ensuite:
 copie successivement le fichier ntfs.sys sain qui est sur ton bureau dans ces deux dossiers :

c:\windows\system32\drivers

et

c:\windows\system32\dllcache


______________________________

puis si tout est ok:

Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir un raccourci ) .

> Lance ZHPDiag depuis le raccouci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec la clé et le tournevis ) .

Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp .... 
______________________________


ensuite avec internet explorer colle un scan en ligne kaspersky ou avec bitdefender free

https://www.informatruc.com

Le sioux · Answer

Hello jlpjlp

Manip dangereuse ...

Cette infection patche plusieurs fichiers système généralement  Beep.sys et ntfs.sys.

Dans rapport ComboFix , je vois :

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! 

--> Il faut installer la console de récupération et relancer ComboFix !
(une deuxième passe avec CFScript devrait terminer le travail ;) )

Bonne continuation.

jlpjlp · Answer

ok merci le sioux

pour beep.sys il a été viré mais pas l'autre

c:\windows\system32\appmgmts.dll ... is missing !!
c:\windows\system32\drivers\beep.sys ... is missing !!

jlpjlp · Answer

ok donc merci de vos précieux conseils !: a tous les deux

knix05,
repasse un coup de combofix en ayant activé la console de récupération 

et colle nous le rapport

knix05 · Answer

J'ai déja fait la première manip à savoir effacer les deux fichiers et coller les fichiers sains !

J'attends. J'ai redémarré plus rien pas de braviax ni de BN7.temp. J'attends donc ton instruction.

Est ce grave d'avoir supprimé et d'avoir mis des fichiers propres ?

Bonne nuit

A demain matin

jlpjlp · Answer

non c'est bon . Refais un combofix en activamt la console de récupération et colle le rapport

jlpjlp · Answer

on va le faire direct: 
active bien la console de recupération

puis

Pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

_______________


Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :



Driver::
43e9
d5512
f7e161
ZDCndis5
File::
c:\windows\system32\43e9.dll
c:\windows\system32\43e9.sys
c:\windows\system32\f7e161.dll
c:\windows\system32\f7e161.sys
c:\windows\system32\d5512.dll
c:\windows\system32\d5512.sys
 c:\windows\system32\ZDCndis5.SYS


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

knix05 · Answer

J'ai trouvé combofix /u pour désinstaller mais le problème j'ai trouvé CF3663 dans system32 un fichier. Faut il le supprimer ?
Je ne peux toujours installer la console !

jlpjlp · Answer

Télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.



:processes
explorer.exe
:services
43e9
d5512
f7e161
ZDCndis5
:files
c:\windows\system32\43e9.dll
c:\windows\system32\43e9.sys
c:\windows\system32\f7e161.dll
c:\windows\system32\f7e161.sys
c:\windows\system32\d5512.dll
c:\windows\system32\d5512.sys
c:\windows\system32\ZDCndis5.SYS 
:commands
[purity]
[emptytemp]
[start explorer]

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

jlpjlp · Answer

ok 

lance tool cleaner et vire tout ce qui est trouvé et colle le rapport de suppression

https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
___________

remets un rapport rsit pour vérifier .


_____________

et
colle un scan en ligne de chez  kaspersky  pour vérifier ton pc
https://www.kaspersky.fr/downloads

ou
Fais un scan en ligne avec Panda  :

https://www.pandasecurity.com/?ref=www.pandasoftware.com/products/activescan 


 À plus

knix05 · Answer

Voici le log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by david at 2009-08-18 21:59:32
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 29 GB (39%) free of 74 GB
Total RAM: 1023 MB (41% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:06, on 18/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\srvany.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Garmin\gStart.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\david\Bureau\RSIT.exe
C:\Program Files	rend micro\david.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Program Files\Agnitum\Outpost Firewall\feedback.exe" /dump:os_startup
O4 - HKCU\..\Run: [gStart] C:\Garmin\gStart.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.mcafee.com
O15 - Trusted Zone: http://*.mcafeehelp.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: cpuidle - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\srvany.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - C:\WINDOWS\System32\FTRTSVC.exe (file missing)
O23 - Service: Google Update Service (gupdate1c920d9504e2d24) (gupdate1c920d9504e2d24) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

jlpjlp · Answer

ok fais le reste

a plus

knix05 · Answer

Salut matinal,

le scan de panda :

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-08-19 09:03:39
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
McAfee VirusScan Enterprise                  8.0.0.912                     No        Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00040610  VBS/Solow.CN                       Virus               No        0         Yes            No           C:\Documents and Settings\david\Local Settings\Application Data\Downloaded Installations\{A4366A17-E432-4380-A0E4-9BFFA4B054A4}\CANAL+ CANALSAT A LA DEMANDE.msi[unk_0085]
00040610  VBS/Solow.CN                       Virus               No        0         Yes            No           C:\System Volume Information\_restore{59F21D55-E169-4490-BAEE-023C831C851A}\RP4\A0000622.msi[unk_0114]
00040610  VBS/Solow.CN                       Virus               No        0         Yes            No           C:\System Volume Information\_restore{59F21D55-E169-4490-BAEE-023C831C851A}\RP4\A0000658.msi[unk_0085]
00055522  Eicar.Mod                          Virus               No        0         No             No           C:\QUARANTINE\Av-test.txt.Vir.1
00055522  Eicar.Mod                          Virus               No        0         No             No           C:\QUARANTINE\Av-test.txt.Vir.2
00055522  Eicar.Mod                          Virus               No        0         No             No           C:\QUARANTINE\Av-test.txt.Vir.0
00055522  Eicar.Mod                          Virus               No        0         No             No           C:\QUARANTINE\Av-test.txt.Vir
00199231  HackTool/EvID                      HackTools           No        0         No             No           C:\Documents and Settings\david\Bureau\applis\eChanblard.exe[EvID4226Patch.exe]
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              D
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                D
;===================================================================================================================================================================================
;===================================================================================================================================================================================
A priori le 
00055522  Eicar.Mod                          Virus               No        0         No             No           C:\QUARANTINE\Av-test.txt.Vir 

se déclenche quand j'ai lancé une application comme combobofix ou rsit je ne m'en rappelle plus !


A plus le bout du tu nnel n'est pas loin ....

jlpjlp · Answer

vire le dossier quarantine en suivant le lien:
C:\QUARANTINE



____________

ceci c'est toi qui a mis? ceci:

C:\Documents and Settings\david\Local Settings\Application Data\Downloaded Installations\{A4366A17-E432-4380-A0E4-9BFFA4B054A4}\CANAL+ CANALSAT A LA DEMANDE.msi[unk_0085]
____________



attends avant de faire la suite

Télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
(de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.



:processes
explorer.exe
:files
C:\Documents and Settings\david\Local Settings\Application Data\Downloaded Installations\{A4366A17-E432-4380-A0E4-9BFFA4B054A4}\CANAL+ CANALSAT A LA DEMANDE.msi
C:\Documents and Settings\david\Bureau\applis\eChanblard.exe[EvID4226Patch.ex­e]
C:\Documents and Settings\david\Bureau\applis\eChanblard.exe
:commands
[purity]
[emptytemp]
[start explorer]

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
________________


lance tool cleaner et vire tout ce qui est trouvé et colle le rapport de suppression

https://www.commentcamarche.net/telecharger/­291-toolscleaner
___________ 

désactive ta restauration puis redemarre le pc puis réactive là
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

knix05 · Answer

Impossible de supprimer quarantine même avec eraser. Le message d'alerte de viruscan se déclenche avec le processus explorer.exe 

Voici le rapport :


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\Documents and Settings\david\Local Settings\Application Data\Downloaded Installations\{A4366A17-E432-4380-A0E4-9BFFA4B054A4}\CANAL+ CANALSAT A LA DEMANDE.msi moved successfully.
File/Folder C:\Documents and Settings\david\Bureau\applis\eChanblard.exe[EvID4226Patch.ex­­e] not found.
C:\Documents and Settings\david\Bureau\applis\eChanblard.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
 
User: All Users
 
User: david
File delete failed. C:\Documents and Settings\david\Local Settings\Temp\etilqs_tQ9GW7Ds7ytTVLZVthp8 scheduled to be deleted on reboot.
->Temp folder emptied: 131330779 bytes
File delete failed. C:\Documents and Settings\david\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 3006747 bytes
->Java cache emptied: 127528 bytes
File delete failed. C:\Documents and Settings\david\Local Settings\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\david\Local Settings\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\david\Local Settings\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\david\Local Settings\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\david\Local Settings\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\david\Local Settings\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\XUL.mfl scheduled to be deleted on reboot.
->FireFox cache emptied: 60237350 bytes
 
User: Default User
->Temporary Internet Files folder emptied: 0 bytes
 
User: Invité
File delete failed. C:\Documents and Settings\Invité\Local Settings\Temp\hsperfdata_Invité\3880 scheduled to be deleted on reboot.
->Temp folder emptied: 65536 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\WINDOWS	emp\WFV10.tmp scheduled to be deleted on reboot.
Windows Temp folder emptied: 48394904 bytes
RecycleBin emptied: 111839360 bytes
 
Total Files Cleaned = 338,59 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 08192009_123352

Files moved on Reboot...
File C:\Documents and Settings\david\Local Settings\Temp\etilqs_tQ9GW7Ds7ytTVLZVthp8 not found!
C:\Documents and Settings\david\Local Settings\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\david\Local Settings\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\david\Local Settings\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\david\Local Settings\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\david\Local Settings\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\david\Local Settings\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\XUL.mfl moved successfully.
File move failed. C:\Documents and Settings\Invité\Local Settings\Temp\hsperfdata_Invité\3880 scheduled to be moved on reboot.
C:\WINDOWS	emp\WFV10.tmp moved successfully.

Registry entries deleted on Reboot...


rapport tools cleaner

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\_OTM: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\david\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\david\Mes documents\Rsit.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\david\Bureau\OTM.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis.exe: supprimé !
C:\Documents and Settings\david\Mes documents\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\Rsit: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

jlpjlp · Answer

désactive ton antivirus puis vire le dossier quarantine et vire combofix de ton bureau . Si impossible tu diras

jlpjlp · Answer

ok encore des soucis car celà sent la fin... . De la désinfection

jlpjlp · Answer

ok


garde malwarebyte en complément de mcafee (qui n'est pas le top en payant ...)


et ccleaner pour nettoyer régulièrement tes traces de surf:
https://www.malekal.com/tutoriel-ccleaner/




voilà

c'est bon

grand merci  Le sioux et Ske69!!!!

jlpjlp · Answer

Sinon, j'utilise Ccleaner depuis longtemps. Je ne connaissais MBAM. Une dernière question : est on obligé d'avoir un pare feu avec la livebox ? 

il est préferable de mettre le parefeu surtout si les mises a jour ne se font pas (bizarre: va dans le panneau de configuration puis MISES A JOUR AUTOMATIQUES et vérifie que les mises à jour se font)

Virus Braviax : Merci de votre aide.

53 réponses

Votre réponse

Discussions similaires

Newsletters