Sujet Précédent Sujet Suivant

Send.exe (impossible de surpimer)

Résolu
Nowax -  
 Nowax -
Bonjour,
S'il vous plait les gens,j'ai un gros problème,après avoir exécuter un fichier .exe,il a disparu et après un autre est apparu sur mon bureau nome send.exe,et je ne sais pas comment faire pour le supprimer,et ça craint si c'est un virus espion,j'espère que vous allez me répondre et que ce problème soit résolu,je vous serez très reconnaissant.

37 réponses

Précédent
  • 1
  • 2
Réponse 21 / 37
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
ça va pas du tout .....

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved". 

:processes
explorer.exe


:Reg


:files
C:\Program Files\WindowsSecurity\SystemR1.exe       
C:\Program Files\WindowsSecurity\Send.exe       
C:\Program Files\WindowsSecurity\Systemx32.exe   
 C:\Program Files\WindowsSecurity\SystemR2.exe 
:services

:commands
[emptytemp]
[start explorer]


Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

0
Réponse 22 / 37
Nowax
 
Le voiçi le raporrt :

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== REGISTRY ==========
========== FILES ==========
File/Folder C:\Program Files\WindowsSecurity\SystemR1.exe not found.
C:\Program Files\WindowsSecurity\Send.exe moved successfully.
C:\Program Files\WindowsSecurity\Systemx32.exe moved successfully.
C:\Program Files\WindowsSecurity\SystemR2.exe moved successfully.
========== SERVICES/DRIVERS ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 431433904 bytes
->Temporary Internet Files folder emptied: 18909647 bytes
->FireFox cache emptied: 95020166 bytes

User: Administrateur.WINDOWS_XP
->Temp folder emptied: 344508579 bytes
->Temporary Internet Files folder emptied: 20497826 bytes
->Java cache emptied: 8533585 bytes
->FireFox cache emptied: 83842062 bytes

User: ADMINI~1~WIN

User: All Users

User: All Users.WINDOWS

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService.AUTORITE NT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes

User: NetworkService.AUTORITE NT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114937 bytes
%systemroot%\System32 .tmp files removed: 4371456 bytes
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_448.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 1901107 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 964,45 mb

OTM by OldTimer - Version 3.0.0.6 log created on 09012009_165522

Files moved on Reboot...
File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
C:\WINDOWS\temp\Perflib_Perfdata_448.dat moved successfully.

Registry entries deleted on Reboot...
0
Réponse 23 / 37
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Tres bien ,maintenant recolle moi un nouveau log Hijackthis .
0
Réponse 24 / 37
Nowax
 
Le voila . =)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:23, on 01/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\AEIWLSVC.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Olivetti\ANY_WAY\olMntrService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\notepad.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Trust\GM-4200 Gamer Mouse Optical\Panel.exe
C:\Program Files\Olivetti\ANY_WAY\olDvcStatus.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Menara\dslmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Xfire\Xfire.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Documents and Settings\Administrateur.WINDOWS_XP\Mes documents\Downloads\Programs\HiJackThis_2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10591&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bing.com/spresults.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.menara.ma/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Trust Gaming mouse] "C:\Program Files\Trust\GM-4200 Gamer Mouse Optical\Panel.exe"
O4 - HKLM\..\Run: [OlStatusMon] "C:\Program Files\Olivetti\ANY_WAY\olDvcStatus.exe" dvcStatusMinimize
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{0664814D-FC67-46EA-8C84-6F3B0A408565}: NameServer = 62.251.229.237 62.251.229.223
O17 - HKLM\System\CS1\Services\Tcpip\..\{0664814D-FC67-46EA-8C84-6F3B0A408565}: NameServer = 62.251.229.237 62.251.229.223
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Aeiwsvc - Unknown owner - C:\WINDOWS\system32\AEIWLSVC.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: olMntrService - Olivetti - C:\Program Files\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 37
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
c'est beaucoup mieux ;)

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\AEIWLSVC.EXE

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

======================

Te sert tu de la barre d'outils : "BearShare MediaBar " ?

Ensuite peux tu lancer MBAM (examen complet) et me coller le rapport .

0
Réponse 26 / 37
Nowax
 
Après avoir clické sur afficher le dernier rapport,non je n'utilise pas bearshare mediabar :

a-squared 4.0.0.101 2009.03.18 -
AhnLab-V3 5.0.0.2 2009.03.18 -
AntiVir 7.9.0.120 2009.03.18 -
Authentium 5.1.2.4 2009.03.18 -
Avast 4.8.1335.0 2009.03.18 -
AVG 8.0.0.237 2009.03.18 -
BitDefender 7.2 2009.03.18 -
CAT-QuickHeal 10.00 2009.03.18 -
ClamAV 0.94.1 2009.03.18 -
Comodo 1066 2009.03.18 -
DrWeb 4.44.0.09170 2009.03.18 -
eSafe 7.0.17.0 2009.03.18 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.18 -
F-Secure 8.0.14470.0 2009.03.18 -
Fortinet 3.117.0.0 2009.03.18 -
GData 19 2009.03.18 -
Ikarus T3.1.1.48.0 2009.03.18 -
K7AntiVirus 7.10.674 2009.03.17 -
Kaspersky 7.0.0.125 2009.03.18 -
McAfee 5557 2009.03.18 -
McAfee+Artemis 5557 2009.03.18 -
Microsoft 1.4502 2009.03.18 -
NOD32 3946 2009.03.18 -
Norman 6.00.06 2009.03.18 -
nProtect 2009.1.8.0 2009.03.18 -
Panda 10.0.0.10 2009.03.18 -
PCTools 4.4.2.0 2009.03.18 -
Prevx1 V2 2009.03.18 -
Rising 21.21.22.00 2009.03.18 -
Sophos 4.39.0 2009.03.18 -
Sunbelt 3.2.1858.2 2009.03.18 -
Symantec 1.4.4.12 2009.03.18 -
TheHacker 6.3.3.0.283 2009.03.16 -
TrendMicro 8.700.0.1004 2009.03.18 -
VBA32 3.12.10.1 2009.03.17 -
ViRobot 2009.3.18.1654 2009.03.18 -
VirusBuster 4.6.5.0 2009.03.18 -
Information additionnelle
File size: 69632 bytes
MD5 : f71d3a1bcc1226bae1fbed3438f58034
SHA1 : 5a9d0015724212c834840fda82475017d4b0868e
SHA256: a73edadfee12170a3cd0b7b372092cd2cd2fc339f741d35bdae678971b548b68
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5414
timedatestamp.....: 0x3BC53F78 (Thu Oct 11 08:43:04 2001)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9500 0xA000 6.30 048ab0f80f8ff9b4e0b649382a205ad8
.rdata 0xB000 0x183E 0x2000 4.41 a5baf12db8e5af5bb18acbcb37fd9616
.data 0xD000 0x2988 0x2000 1.80 d2814c7116658dc42b32092f145dfdc0
.rsrc 0x10000 0x1038 0x2000 2.65 598c58e93497211aded74194b02e3927

( 6 imports )

> advapi32.dll: OpenThreadToken, GetTokenInformation, OpenProcessToken, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, GetLengthSid, CopySid, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegEnumValueA, RegQueryInfoKeyA, RegEnumKeyExA, RegCreateKeyExA, RegDeleteKeyA, RegOpenKeyExA, StartServiceCtrlDispatcherA, ControlService, DeleteService, CreateServiceA, RegDeleteValueA, RegSetValueExA, RegCloseKey, RegQueryValueExA, SetServiceStatus, RegisterServiceCtrlHandlerA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, OpenSCManagerA, OpenServiceA, CloseServiceHandle
> kernel32.dll: lstrcatA, CloseHandle, GetCurrentProcess, GetCurrentThread, LeaveCriticalSection, EnterCriticalSection, lstrcpyA, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, LoadLibraryA, GetProcAddress, IsDBCSLeadByte, lstrcpynA, LoadLibraryExA, GetLastError, FindResourceA, LoadResource, SizeofResource, FreeLibrary, WideCharToMultiByte, GetShortPathNameA, MultiByteToWideChar, lstrlenW, InterlockedIncrement, DeleteCriticalSection, InitializeCriticalSection, GetModuleFileNameA, lstrlenA, GetCommandLineA, lstrcmpiA, GetCurrentThreadId, InterlockedDecrement, SetStdHandle, FlushFileBuffers, GetOEMCP, GetACP, GetCPInfo, IsBadCodePtr, IsBadReadPtr, SetUnhandledExceptionFilter, SetFilePointer, WriteFile, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, RtlUnwind, HeapFree, HeapAlloc, HeapReAlloc, GetModuleHandleA, GetStartupInfoA, GetVersion, ExitProcess, TlsSetValue, TlsAlloc, SetLastError, TlsGetValue, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, TerminateProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA
> ole32.dll: CoUninitialize, CoInitialize, CoTaskMemFree, CoTaskMemAlloc, CoTaskMemRealloc, CoRegisterClassObject, CoRevokeClassObject, CoCreateInstance, CoInitializeSecurity
> oleaut32.dll: -, -, -, -, -, -, -
> setupapi.dll: SetupDiCallClassInstaller, SetupDiSetClassInstallParamsA, SetupDiOpenDevRegKey, SetupDiEnumDeviceInfo, SetupDiGetClassDevsA, CM_Get_DevNode_Status, SetupDiDestroyDeviceInfoList
> user32.dll: PostThreadMessageA, MessageBoxA, LoadStringA, GetMessageA, DispatchMessageA, CharNextA

( 0 exports )
TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 1536:boO0y1uy5MhOAysYjTVapJrmcWI0pjyOKweKG:uyTsjTKdIkyOKweKG
PEiD : Armadillo v1.71
RDS : NSRL Reference Data Set
-
0
Réponse 27 / 37
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Il me manque l'entete du rapport VT ,peux tu me le poster en entier ?
0
Réponse 28 / 37
Nowax
 
VOila j'ai recopier tous le rapport VT :

Fichier AEIWLSVC.EXE reçu le 2009.03.18 20:16:28 (UTC)
Situation actuelle: terminé
Résultat: 0/38 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.18 -
AhnLab-V3 5.0.0.2 2009.03.18 -
AntiVir 7.9.0.120 2009.03.18 -
Authentium 5.1.2.4 2009.03.18 -
Avast 4.8.1335.0 2009.03.18 -
AVG 8.0.0.237 2009.03.18 -
BitDefender 7.2 2009.03.18 -
CAT-QuickHeal 10.00 2009.03.18 -
ClamAV 0.94.1 2009.03.18 -
Comodo 1066 2009.03.18 -
DrWeb 4.44.0.09170 2009.03.18 -
eSafe 7.0.17.0 2009.03.18 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.18 -
F-Secure 8.0.14470.0 2009.03.18 -
Fortinet 3.117.0.0 2009.03.18 -
GData 19 2009.03.18 -
Ikarus T3.1.1.48.0 2009.03.18 -
K7AntiVirus 7.10.674 2009.03.17 -
Kaspersky 7.0.0.125 2009.03.18 -
McAfee 5557 2009.03.18 -
McAfee+Artemis 5557 2009.03.18 -
Microsoft 1.4502 2009.03.18 -
NOD32 3946 2009.03.18 -
Norman 6.00.06 2009.03.18 -
nProtect 2009.1.8.0 2009.03.18 -
Panda 10.0.0.10 2009.03.18 -
PCTools 4.4.2.0 2009.03.18 -
Prevx1 V2 2009.03.18 -
Rising 21.21.22.00 2009.03.18 -
Sophos 4.39.0 2009.03.18 -
Sunbelt 3.2.1858.2 2009.03.18 -
Symantec 1.4.4.12 2009.03.18 -
TheHacker 6.3.3.0.283 2009.03.16 -
TrendMicro 8.700.0.1004 2009.03.18 -
VBA32 3.12.10.1 2009.03.17 -
ViRobot 2009.3.18.1654 2009.03.18 -
VirusBuster 4.6.5.0 2009.03.18 -
Information additionnelle
File size: 69632 bytes
MD5 : f71d3a1bcc1226bae1fbed3438f58034
SHA1 : 5a9d0015724212c834840fda82475017d4b0868e
SHA256: a73edadfee12170a3cd0b7b372092cd2cd2fc339f741d35bdae678971b548b68
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5414
timedatestamp.....: 0x3BC53F78 (Thu Oct 11 08:43:04 2001)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9500 0xA000 6.30 048ab0f80f8ff9b4e0b649382a205ad8
.rdata 0xB000 0x183E 0x2000 4.41 a5baf12db8e5af5bb18acbcb37fd9616
.data 0xD000 0x2988 0x2000 1.80 d2814c7116658dc42b32092f145dfdc0
.rsrc 0x10000 0x1038 0x2000 2.65 598c58e93497211aded74194b02e3927

( 6 imports )

> advapi32.dll: OpenThreadToken, GetTokenInformation, OpenProcessToken, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, GetLengthSid, CopySid, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegEnumValueA, RegQueryInfoKeyA, RegEnumKeyExA, RegCreateKeyExA, RegDeleteKeyA, RegOpenKeyExA, StartServiceCtrlDispatcherA, ControlService, DeleteService, CreateServiceA, RegDeleteValueA, RegSetValueExA, RegCloseKey, RegQueryValueExA, SetServiceStatus, RegisterServiceCtrlHandlerA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, OpenSCManagerA, OpenServiceA, CloseServiceHandle
> kernel32.dll: lstrcatA, CloseHandle, GetCurrentProcess, GetCurrentThread, LeaveCriticalSection, EnterCriticalSection, lstrcpyA, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, LoadLibraryA, GetProcAddress, IsDBCSLeadByte, lstrcpynA, LoadLibraryExA, GetLastError, FindResourceA, LoadResource, SizeofResource, FreeLibrary, WideCharToMultiByte, GetShortPathNameA, MultiByteToWideChar, lstrlenW, InterlockedIncrement, DeleteCriticalSection, InitializeCriticalSection, GetModuleFileNameA, lstrlenA, GetCommandLineA, lstrcmpiA, GetCurrentThreadId, InterlockedDecrement, SetStdHandle, FlushFileBuffers, GetOEMCP, GetACP, GetCPInfo, IsBadCodePtr, IsBadReadPtr, SetUnhandledExceptionFilter, SetFilePointer, WriteFile, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, RtlUnwind, HeapFree, HeapAlloc, HeapReAlloc, GetModuleHandleA, GetStartupInfoA, GetVersion, ExitProcess, TlsSetValue, TlsAlloc, SetLastError, TlsGetValue, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, TerminateProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA
> ole32.dll: CoUninitialize, CoInitialize, CoTaskMemFree, CoTaskMemAlloc, CoTaskMemRealloc, CoRegisterClassObject, CoRevokeClassObject, CoCreateInstance, CoInitializeSecurity
> oleaut32.dll: -, -, -, -, -, -, -
> setupapi.dll: SetupDiCallClassInstaller, SetupDiSetClassInstallParamsA, SetupDiOpenDevRegKey, SetupDiEnumDeviceInfo, SetupDiGetClassDevsA, CM_Get_DevNode_Status, SetupDiDestroyDeviceInfoList
> user32.dll: PostThreadMessageA, MessageBoxA, LoadStringA, GetMessageA, DispatchMessageA, CharNextA

( 0 exports )
TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 1536:boO0y1uy5MhOAysYjTVapJrmcWI0pjyOKweKG:uyTsjTKdIkyOKweKG
PEiD : Armadillo v1.71
RDS : NSRL Reference Data Set
-

ATENTION ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.
0
Réponse 29 / 37
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes : 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R3 - URLSearchHook: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)  
O2 - BHO: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)  
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE   
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k  
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h     
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/fr/       
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb


et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis!

tutoriel en images:http://pageperso.aol.fr/balltrap34/Hijenr.gif

Ensuite dis moi si tu as encore des soucis ?
0
Réponse 30 / 37
Nowax
 
Non sayer c'est beaucoup mieux maintenant,je te remercie de ton soutien et du temps précieux que tu a du sacrifier pour m'aider,grâce a toi mon pc me souri de nouveau. =)
0
Réponse 31 / 37
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Je viens de m'apercevoir que j'ai oublié une chose :)

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

0
Réponse 32 / 37
Nowax
 
Je peux pas l'exécuter il m'affiche le même problème qui est apparut sur l'autre programme, ça me dit Windows ne trouve pas '''C:\ToolBar SD\ToolBarSD.cmd'.verifiez que vous avez entré le nom correctement et essayez à nouveau. Pour rechercher un fichier , clique sur le bouton démarrer , puis sur rechercher.
0
Réponse 33 / 37
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved". 

:processes
explorer.exe


:Reg


:files
C:\Program Files\AskBarDis\bar\bin\askBar.dll       
C:\Program Files\free-downloads.net\tbfree.dll       
:services

:commands
[start explorer]
[reboot]


Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Ensuite regarde si ces logiciels sont toujours éxistants (si tel est le cas supprimes les ) :

C:\Program Files\AskBarDis
C:\Program Files\DAEMON Tools Toolbar
C:\Program Files\VVSN
0
Réponse 34 / 37
Nowax
 
Voiçi le rapport .log :

========== PROCESSES ==========
Process explorer.exe killed successfully!
========== REGISTRY ==========
========== FILES ==========
File/Folder C:\Program Files\AskBarDis\bar\bin\askBar.dll not found.
File/Folder C:\Program Files\free-downloads.net\tbfree.dll not found.
========== SERVICES/DRIVERS ==========
========== COMMANDS ==========

OTM by OldTimer - Version 3.0.0.6 log created on 09022009_191502

Files moved on Reboot...

Registry entries deleted on Reboot...

Et à propos des logiciels,ils n'y sont pas dans.
0
Réponse 35 / 37
Nowax
 
Et à propos des logiciels,ils n'y sont pas dans C:\program files.
0
Réponse 36 / 37
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
C'est tout bon ,on finalise :

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pc-system.fr/
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
====================
Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration sain.

* Désactivation :
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur..
====================
Tu utilise les logiciels de P2P ,alors je te conseille de lire ceci : danger du P2P et des cracks

également un exemple concret ici ou l'internaute ne pouvait plus rien faire de sa machine ...

VoiloO ,bon surf et @ jamais ;)
0
Réponse 37 / 37
Nowax
 
Voila le rapport du TCleaner :

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\SDFIX: trouvé !
C:\_OTM: trouvé !
C:\Toolbar SD: trouvé !
C:\Documents and Settings\Administrateur.WINDOWS_XP\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Administrateur.WINDOWS_XP\Mes documents\Downloads\Programs\OTM.exe: trouvé !
C:\Documents and Settings\Administrateur.WINDOWS_XP\Mes documents\Downloads\Programs\ToolBarSD.exe: trouvé !
C:\Documents and Settings\Administrateur.WINDOWS_XP\Mes documents\Downloads\Programs\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\SDFix\catchme.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\Administrateur.WINDOWS_XP\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Administrateur.WINDOWS_XP\Mes documents\Downloads\Programs\OTM.exe: supprimé !
C:\Documents and Settings\Administrateur.WINDOWS_XP\Mes documents\Downloads\Programs\ToolBarSD.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\SDFix\catchme.exe: supprimé !
C:\Documents and Settings\Administrateur.WINDOWS_XP\Mes documents\Downloads\Programs\hijackthis.log: supprimé !
C:\SDFIX: supprimé !
C:\_OTM: supprimé !
C:\Toolbar SD: supprimé !
C:\Program Files\ZHPDiag: supprimé !
0