Sujet Précédent Sujet Suivant

Infection PC

Résolu/Fermé
kam28 - 31 août 2009 à 16:17
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 1 sept. 2009 à 23:37
Bonjour,

Mon PC s'est fait contaminer par plusieurs sortes de spywares.
J'ai d'abord été infecté par "AV Care". J'ai réussi à m'en débarrasser en supprimant les fichiers manuellement qui se trouvaient dans des dossiers comme "Program Files".
Ensuite ce fut le tour de "Total Security 4.52". Celui-ci étant plus coriace j'ai décidé de télécharger Malwarebyte. Or à cause de "Total Security" je n'arrivais pas à lancer Malwarebyte après l'installation et mon antivirus (Norton) a affiché un message comme quoi la protection est désactivé (même si dans la seconde qui suit il s'est réactivé).

Depuis que ce message est apparut, je ne peux plus scanner mon PC avec mon antivirus ( le message suivant apprait: Error: "Scan Engine Error 0x20000058") et je ne peux plus scanner de fichiers manuellement.
Bien sur plusieurs désinstallation/ré-installation des logiciels concernés n'ont rien changer au problème de Malwarebyte et de Norton.

Cependant j'ai trouver une solution pour faire fonctionner Malwarebyte qui consistait a renommer l'.exe de Malwarebyte. Du coup j'ai pu scanner mon pc avec Malwarebyte et supprimer les infections...enfin je croyait avoir réussi à les supprimer puisque que je n'avais plus de pop-up "Total Security". Or plusieurs problèmes persistent:
- le problème de mon anitvirus n'est toujours pas régler
- je n'arrive pas à lancer d'autres logiciels anti-spyware comme Spybot (même problème du début avec Malware)
- depuis mon infection par "AV Care" j'ai un problème très étrange avec les moteurs de recherche sur Internet. Quand je fais une recherche sur google, yahoo, bing, aussi bien avec IE8 que firefox 3.13, je me retrouve parfois avec une page de résultats blanche. De plus lorsque je clique sur un des liens google proposés après une recherche cela m'envoie quelque fois sur un lien (publicitaire) complètement différent de ma recherche initiale.

Voila je remercie ceux qui auront eu le courage de lire ce texte et la gentillesse de m'aider^^
A voir également:

18 réponses

Réponse 1 / 18
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
31 août 2009 à 16:31
Bonjour,

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

* si l'installation de la console de récupération ne se fait, arrête la procédure.

* lorsque l'on va te demander d'enregistrer combofix.exe, renomme le antitruc.exe avant de l'enregistrer sur ton Bureau (le renommer après ne sert à rien).


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
0
Réponse 2 / 18
kam28
31 août 2009 à 17:55
Merci pour ton aide
Voila le rapport de ComboFix^^ :

ComboFix 09-08-30.04 - Kamel 31/08/2009 17:35.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2047.1587 [GMT 2:00]
Running from: c:\documents and settings\Kamel\Bureau\antitruc.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\WinPCap
c:\program files\WinPCap\rpcapd.exe
c:\windows\Installer\285810.msp
c:\windows\Installer\285811.msp
c:\windows\Installer\285819.msp
c:\windows\Installer\348c713.msp
c:\windows\Installer\348c71b.msp
c:\windows\Installer\348c723.msp
c:\windows\Installer\3ca94.msp
c:\windows\Installer\5536f1.msp
c:\windows\run.log
c:\windows\system32\drivers\f6ab10ee.sys
c:\windows\system32\drivers\kbiwkmskdaysxw.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\drivers\UACoeqlgiyevj.sys
c:\windows\system32\kbiwkmfujokkym.dll
c:\windows\system32\kbiwkmiqjwswut.dat
c:\windows\system32\kbiwkmpiqomlwa.dll
c:\windows\system32\kbiwkmxdlsowuc.dat
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\UACbccqqmvwyn.dll
c:\windows\system32\UACdvvppkcgpb.dll
c:\windows\system32\UACguqlwdhwny.db
c:\windows\system32\uacinit.dll
c:\windows\system32\UACmnbyqjlfvg.dat
c:\windows\system32\UACrvotuockxc.dll
c:\windows\system32\UACslktvmfdka.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_kbiwkmbavbdmrr
-------\Legacy_kbiwkmbavbdmrr
-------\Service_UACd.sys
-------\Legacy_UACd.sys
-------\Legacy_npf
-------\Service_npf
-------\Service_f6ab10ee


((((((((((((((((((((((((( Files Created from 2009-07-28 to 2009-08-31 )))))))))))))))))))))))))))))))
.

2009-08-31 12:26 . 2009-08-31 15:34 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-08-30 17:07 . 2004-03-04 21:46 83168 ----a-w- c:\windows\system32\S32EVNT1.DLL
2009-08-30 17:07 . 2004-03-04 21:46 82832 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2009-08-30 13:46 . 2009-08-30 13:46 -------- d-----w- c:\program files\NVIDIA Corporation
2009-08-30 13:46 . 2009-08-30 13:46 -------- d-----w- c:\documents and settings\All Users\Application Data\NVIDIA Corporation
2009-08-30 13:46 . 2008-08-02 10:20 122880 ----a-w- c:\windows\system32\nvcodins.dll
2009-08-30 13:46 . 2008-08-02 10:20 8822784 ----a-w- c:\windows\system32\nvoglnt.dll
2009-08-30 13:46 . 2008-08-02 10:20 1368064 ----a-w- c:\windows\system32\nvcuda.dll
2009-08-30 13:46 . 2008-08-02 10:20 122880 ----a-w- c:\windows\system32\nvcod.dll
2009-08-30 13:46 . 2008-08-02 10:20 6049536 ----a-w- c:\windows\system32\nv4_disp.dll
2009-08-30 13:46 . 2008-08-02 10:20 475136 ----a-w- c:\windows\system32\nvapi.dll
2009-08-30 13:46 . 2008-08-02 10:20 6121856 -c--a-w- c:\windows\system32\dllcache\nv4_mini.sys
2009-08-30 13:46 . 2008-08-02 10:20 6121856 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2009-08-30 13:37 . 2009-08-30 13:38 -------- d-----w- c:\program files\SystemRequirementsLab
2009-08-30 13:37 . 2009-08-30 13:37 290816 ----a-w- c:\documents and settings\Kamel\Application Data\SystemRequirementsLab\SRLProxy_nvd_4.dll
2009-08-30 13:37 . 2009-08-30 13:37 290816 ----a-w- c:\documents and settings\Kamel\Application Data\SystemRequirementsLab\SRLProxy_nvd_3.dll
2009-08-30 13:37 . 2009-08-30 13:37 290816 ----a-w- c:\documents and settings\Kamel\Application Data\SystemRequirementsLab\SRLProxy_nvd_2.dll
2009-08-30 13:37 . 2009-08-30 13:37 290816 ----a-w- c:\documents and settings\Kamel\Application Data\SystemRequirementsLab\SRLProxy_nvd_1.dll
2009-08-30 13:37 . 2009-08-30 13:37 -------- d-----w- c:\documents and settings\Kamel\Application Data\SystemRequirementsLab
2009-08-29 21:38 . 2009-08-30 16:45 8 ----a-w- c:\windows\system32\nvModes.dat
2009-08-29 21:28 . 2009-08-29 21:28 -------- d-----w- c:\documents and settings\All Users\Application Data\nView_Profiles
2009-08-29 15:23 . 2009-08-31 15:41 -------- d-----w- c:\program files\Symantec AntiVirus
2009-08-29 01:20 . 2009-08-29 01:20 -------- d-----w- c:\documents and settings\Kamel\Application Data\Malwarebytes
2009-08-29 01:13 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-29 01:13 . 2009-08-29 01:20 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-29 01:13 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-28 13:45 . 2009-08-31 12:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-28 13:43 . 2009-08-28 13:43 -------- d-----w- c:\program files\CCleaner
2009-08-28 13:21 . 2009-08-28 13:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-28 03:09 . 2009-08-28 03:09 -------- d-----w- c:\documents and settings\Kamel\Application Data\Logs
2009-08-17 01:03 . 2008-08-02 10:20 2981888 ----a-w- c:\windows\system32\nvwssr.dll
2009-08-17 01:02 . 2008-08-02 10:20 229376 ----a-w- c:\windows\system32\nvmccs.dll
2009-08-16 22:57 . 2009-08-16 22:57 2189856 ----a-w- c:\windows\system32\nvcuvid.dll
2009-08-16 22:57 . 2009-08-16 22:57 1706528 ----a-w- c:\windows\system32\nvcuvenc.dll
2009-08-16 22:57 . 2009-08-16 22:57 1597690 ----a-w- c:\windows\system32\nvdata.bin
2009-08-14 11:36 . 2009-08-14 11:36 70936 ----a-w- c:\windows\system32\PhysXLoader.dll
2009-08-12 17:38 . 2009-06-05 07:46 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
2009-08-09 01:47 . 2009-08-09 01:47 -------- d-----w- c:\documents and settings\Kamel\Application Data\InstallShield
2009-08-09 01:03 . 2009-08-09 11:42 -------- d-----w- c:\windows\SxsCaPendDel
2009-08-08 01:00 . 2009-08-08 01:00 -------- d-----w- c:\program files\MSXML 4.0
2009-08-06 16:05 . 2005-03-11 16:37 1986560 ----a-w- c:\windows\system32\AudFile.dll
2009-08-06 16:05 . 2005-02-24 11:11 1212416 ----a-w- c:\windows\system32\AudioInfos.dll
2009-08-06 16:05 . 2005-02-24 10:51 348160 ----a-w- c:\windows\system32\WMAFile.dll
2009-08-06 16:05 . 2003-01-26 10:41 40960 ----a-w- c:\windows\system32\SSubTmr6.dll
2009-08-06 16:05 . 2000-10-01 16:00 119568 ----a-w- c:\windows\system32\VB6FR.DLL
2009-08-06 16:05 . 1999-03-25 16:00 101888 ----a-w- c:\windows\system32\VB6STKIT.DLL
2009-08-06 16:05 . 1998-07-12 20:00 15360 ----a-w- c:\windows\system32\inetfr.DLL
2009-08-06 16:05 . 2003-04-18 13:29 82432 ----a-w- c:\windows\system32\msxml4r.dll
2009-08-06 16:05 . 2003-04-18 13:29 44544 ----a-w- c:\windows\system32\msxml4a.dll
2009-08-06 16:05 . 1998-07-12 20:00 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2009-08-06 16:05 . 1998-07-12 16:00 32768 ----a-w- c:\windows\system32\CMDLGFR.DLL
2009-08-05 09:06 . 2009-08-05 09:06 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-08-02 22:21 . 2009-08-02 22:21 23320 ----a-w- c:\windows\system32\PhysXDevice.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-31 15:42 . 2008-09-09 14:28 -------- d-----w- c:\program files\Steam
2009-08-30 17:08 . 2008-08-21 17:48 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2009-08-30 17:07 . 2008-08-21 17:49 -------- d-----w- c:\program files\Symantec
2009-08-30 17:07 . 2008-08-21 17:48 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2009-08-30 13:47 . 2008-08-24 12:33 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2009-08-29 19:29 . 2008-09-02 14:54 -------- d-----w- c:\documents and settings\Kamel\Application Data\GrabIt
2009-08-28 02:53 . 2008-08-17 17:38 42944 ----a-w- c:\documents and settings\Kamel\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-24 13:41 . 2008-10-11 18:12 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-08-17 01:03 . 2009-08-17 01:03 143360 ----a-w- c:\windows\system32\nvcolor.exe
2009-08-16 22:57 . 2008-08-24 12:33 485920 ----a-w- c:\windows\system32\nvudisp.exe
2009-08-11 10:35 . 2008-08-24 12:33 485920 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-08-09 01:46 . 2008-08-17 07:31 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-08-09 01:07 . 2001-09-28 12:00 80748 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-09 01:07 . 2001-09-28 12:00 500900 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-05 09:06 . 2001-09-28 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-03 18:12 . 2008-09-04 09:40 -------- d-----w- c:\documents and settings\Kamel\Application Data\dvdcss
2009-07-17 18:56 . 2001-09-28 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 00:18 . 2008-08-17 17:28 233472 ------w- c:\windows\system32\wmpdxm.dll
2009-07-12 21:14 . 2008-09-03 13:37 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-06-26 16:18 . 2001-09-28 12:00 663552 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:18 . 2008-08-17 17:28 81920 ------w- c:\windows\system32\ieencode.dll
2009-06-25 18:36 . 2001-09-28 12:00 95744 ----a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:36 . 2001-09-28 12:00 661504 ----a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:36 . 2001-09-28 12:00 527360 ----a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:36 . 2001-09-28 12:00 517120 ----a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:36 . 2001-09-28 12:00 48640 ----a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:36 . 2001-09-28 12:00 186880 ----a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:36 . 2001-09-28 12:00 177152 ----a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:36 . 2001-09-28 12:00 123392 ----a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 18:36 . 2001-09-28 12:00 47104 ----a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:36 . 2001-09-28 12:00 225280 ----a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:36 . 2001-09-28 12:00 16896 ----a-w- c:\windows\system32\mqise.dll
2009-06-25 18:36 . 2001-09-28 12:00 138240 ----a-w- c:\windows\system32\mqad.dll
2009-06-22 11:49 . 2001-09-28 12:00 19968 ----a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2001-09-28 12:00 117248 ----a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2001-09-28 12:00 4608 ----a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2001-09-28 12:00 91776 ----a-w- c:\windows\system32\drivers\mqac.sys
2009-06-16 14:54 . 2001-09-28 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:54 . 2001-09-28 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 11:33 . 2001-09-28 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 11:32 . 2001-09-28 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:23 . 2001-09-28 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2001-09-28 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-05 07:46 . 2008-08-16 17:35 655872 ----a-w- c:\windows\system32\mstscax.dll
2009-06-03 19:27 . 2001-09-28 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"Steam"="c:\program files\Steam\Steam.exe" [2009-06-11 1217784]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-03 36352]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-02 13570048]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-08-02 86016]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-02-29 66680]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2004-03-12 124128]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-07-31 16806912]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-08-02 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Steam\\SteamApps\\leopac\\counter-strike source\\hl2.exe"=
"g:\\Sopcast\\adv\\SopAdver.exe"=
"g:\\Sopcast\\SopCast.exe"=
"c:\\Program Files\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"g:\\PES2009\\pes2009.exe"=
"c:\\Documents and Settings\\Kamel\\Bureau\\pes2009.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"g:\\Football Manager 2009\\fm.exe"=
"g:\\Left 4 Dead\\left4dead.exe"=
"d:\\Emule\\emule.exe"=
"g:\\Games\\Call of Duty - World at War\\CoDWaWmp.exe"=
"g:\\Games\\Call of Duty - World at War\\CoDWaW.exe"=

S1 f4132cab;f4132cab;c:\windows\system32\drivers\f4132cab.sys --> c:\windows\system32\drivers\f4132cab.sys [?]
S2 bzod;bzod;c:\windows\system32\drivers\dojerl.sys --> c:\windows\system32\drivers\dojerl.sys [?]
S3 ASNDIS5;ASNDIS5 Protocol Driver;c:\windows\system32\ASNDIS5.sys [21/08/2008 20:29 16269]
S3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [02/05/2009 21:43 89600]
S3 savroam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [12/03/2004 15:18 169192]
.
Contents of the 'Scheduled Tasks' folder

2009-06-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-08-31 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-01 20:18]
.
- - - - ORPHANS REMOVED - - - -

Notify-AtiExtEvent - (no file)


.
------- Supplementary Scan -------
.
uInternet Settings,ProxyOverride = local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Kamel\Application Data\Mozilla\Firefox\Profiles\v200cxx8.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-31 17:41
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(3800)
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
c:\windows\system32\wmvcore.dll
c:\windows\system32\WMASF.DLL
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\program files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Symantec AntiVirus\DefWatch.exe
c:\program files\Symantec AntiVirus\Rtvscan.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\rundll32.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Completion time: 2009-08-31 17:44 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-31 15:44

Pre-Run: 3 567 050 752 octets libres
Post-Run: 2 650 472 448 octets libres

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
260 --- E O F --- 2009-08-26 01:00
0
Réponse 3 / 18
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
31 août 2009 à 18:54
Re,

fais un scan avec MalwareByte et popste le rapport.
0
Réponse 4 / 18
kam28
31 août 2009 à 19:07
OK j'ai lancé un examen complet avec Malwarebyte et je te posterait le rapport à la fin (d'ici 45 minutes environ).
A noter que que les 3 problèmes persistants que j'avais signalé dans mon premier message semblent résolu.
En effet je peux de nouveaux scanner avec mon antivirus sans problème et Spybot se lance sans problème. Maintenant je ne sais pas si le problème concernant Google a disparu mais il semble aussi avoir été résolu.
Par contre je voudrais savoir si je peux supprimer ComboFix car mon antivirus (Norton) m'affiche des messages d'alertes qui concernent des fichiers du répertoire ComboFix ( qui s'appelle "Qoobox"). Je le désinstalle manuellement ou je passe par CCleaner?
Voila encore merci pour ton aide :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
kam28
31 août 2009 à 19:50
Voila le rapport de Malwarebyte:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2720
Windows 5.1.2600 Service Pack 2

31/08/2009 19:48:05
mbam-log-2009-08-31 (19-47-59).txt

Type de recherche: Examen complet (C:\|D:\|F:\|G:\|J:\|)
Eléments examinés: 216147
Temps écoulé: 47 minute(s), 48 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\System32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\System32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\kbiwkmfujokkym.dll.vir (Rootkit.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\kbiwkmpiqomlwa.dll.vir (Rootkit.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACbccqqmvwyn.dll.vir (Rootkit.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACdvvppkcgpb.dll.vir (Rootkit.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACrvotuockxc.dll.vir (Rootkit.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACslktvmfdka.dll.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\kbiwkmskdaysxw.sys.vir (Rootkit.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACoeqlgiyevj.sys.vir (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{D1941F30-97C8-4E52-979F-02E256E039DE}\RP330\A0160566.sys (Rootkit.TDSS) -> No action taken.
C:\System Volume Information\_restore{D1941F30-97C8-4E52-979F-02E256E039DE}\RP330\A0160567.dll (Rootkit.TDSS) -> No action taken.
C:\System Volume Information\_restore{D1941F30-97C8-4E52-979F-02E256E039DE}\RP330\A0160568.dll (Rootkit.TDSS) -> No action taken.
C:\System Volume Information\_restore{D1941F30-97C8-4E52-979F-02E256E039DE}\RP330\A0160569.sys (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{D1941F30-97C8-4E52-979F-02E256E039DE}\RP330\A0160570.dll (Rootkit.TDSS) -> No action taken.
C:\System Volume Information\_restore{D1941F30-97C8-4E52-979F-02E256E039DE}\RP330\A0160571.dll (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{D1941F30-97C8-4E52-979F-02E256E039DE}\RP330\A0160572.dll (Rootkit.TDSS) -> No action taken.
C:\System Volume Information\_restore{D1941F30-97C8-4E52-979F-02E256E039DE}\RP330\A0160573.dll (Rootkit.TDSS) -> No action taken.
0
Réponse 6 / 18
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
31 août 2009 à 20:55
Re,

on peut encore avoir besoin de Combofix.

On va contrôler des fichiers :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : c:\documents and settings\Kamel\Application Data\SystemRequirementsLab\SRLProxy_nvd_1.dll

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

==
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.


Recommence le scan sur VirusTotal avec :

c:\windows\system32\drivers\f4132cab.sys

et c:\windows\system32\drivers\dojerl.sys
0
Réponse 7 / 18
kam28
31 août 2009 à 22:58
Ok je me prépare a faire ce que tu as dit mais je voudrais savoir si je dois supprimer les fichiers que Malwarebyte a détecté comme infectés? Je te demande cela car dans ces fichiers se trouvent certains fichiers du répertoire de ComboFix. J'ai peur qu' en les supprimant cela entraine des dysfonctionnements.
0
Réponse 8 / 18
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
31 août 2009 à 23:06
Re,

tu peux supprimer sans soucis tous les éléments décelés par MBAM.

Ceux que tu redoutes sont des éléments de la Quarantaine de Combofix. Ce sont tous des fichiers infectés (et assez dangereux qui plus est).
0
Réponse 9 / 18
kam28
31 août 2009 à 23:26
Voila la 1ere analyse:
Fichier SRLProxy_nvd_1.dll reçu le 2009.08.27 15:00:39 (UTC)
Situation actuelle: terminé
Résultat: 1/41 (2.44%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.27 -
AhnLab-V3 5.0.0.2 2009.08.27 -
AntiVir 7.9.1.7 2009.08.27 -
Antiy-AVL 2.0.3.7 2009.08.24 -
Authentium 5.1.2.4 2009.08.27 -
Avast 4.8.1335.0 2009.08.26 -
AVG 8.5.0.406 2009.08.27 -
BitDefender 7.2 2009.08.27 -
CAT-QuickHeal 10.00 2009.08.27 -
ClamAV 0.94.1 2009.08.27 -
Comodo 2114 2009.08.27 -
DrWeb 5.0.0.12182 2009.08.27 -
eSafe 7.0.17.0 2009.08.27 -
eTrust-Vet 31.6.6704 2009.08.27 -
F-Prot 4.5.1.85 2009.08.26 -
F-Secure 8.0.14470.0 2009.08.27 -
Fortinet 3.120.0.0 2009.08.27 -
GData 19 2009.08.27 -
Ikarus T3.1.1.68.0 2009.08.27 -
Jiangmin 11.0.800 2009.08.27 -
K7AntiVirus 7.10.828 2009.08.26 -
Kaspersky 7.0.0.125 2009.08.27 -
McAfee 5721 2009.08.26 -
McAfee+Artemis 5721 2009.08.26 -
McAfee-GW-Edition 6.8.5 2009.08.27 Heuristic.BehavesLike.Win32.Downloader.I
Microsoft 1.4903 2009.08.27 -
NOD32 4373 2009.08.27 -
Norman 2009.08.26 -
nProtect 2009.1.8.0 2009.08.27 -
Panda 10.0.2.2 2009.08.27 -
PCTools 4.4.2.0 2009.08.27 -
Prevx 3.0 2009.08.27 -
Rising 21.44.11.00 2009.08.25 -
Sophos 4.45.0 2009.08.27 -
Sunbelt 3.2.1858.2 2009.08.26 -
Symantec 1.4.4.12 2009.08.27 -
TheHacker 6.3.4.3.388 2009.08.25 -
TrendMicro 8.950.0.1094 2009.08.27 -
VBA32 3.12.10.10 2009.08.27 -
ViRobot 2009.8.27.1905 2009.08.27 -
VirusBuster 4.6.5.0 2009.08.26 -
Information additionnelle
File size: 290816 bytes
MD5 : 2d4bb46dd675470d91f14bbd70bbc614
SHA1 : 37b2b5b4bc80c2a19490ff7c838ad3a68137554c
SHA256: b1a469761ce59be56386f2e7b3365f32aa1a63e4dddaccf166a2a95b2f8ef884
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1B523
timedatestamp.....: 0x49D646B9 (Fri Apr 3 19:26:17 2009)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x342B8 0x34400 6.54 b8e19920a37b463816afedc207fb547f
.rdata 0x36000 0xB45B 0xB600 5.90 95dff2c479d84eea7c60c4e38fa441bb
.data 0x42000 0x5CE8 0x4000 5.97 c26117fd449ac4f4bd33ed8a908ffe7f
.rsrc 0x48000 0x1B4 0x200 5.11 95306fe52dbafca111bac4da3d3e711e
.reloc 0x49000 0x2EEC 0x3000 5.43 d5f88257404082d22f2cc8af11797fd4

( 7 imports )

> advapi32.dll: RegOpenKeyExA, RegCloseKey, RegQueryValueExA
> kernel32.dll: GetLocaleInfoW, CreateFileW, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, FlushFileBuffers, WriteFile, lstrlenA, CloseHandle, SetFilePointer, CreateFileA, SetEndOfFile, DeleteFileA, WaitForSingleObject, GetModuleFileNameA, TlsSetValue, TlsGetValue, GetLastError, MultiByteToWideChar, WideCharToMultiByte, HeapFree, GetProcessHeap, InterlockedDecrement, UnhandledExceptionFilter, InitializeCriticalSectionAndSpinCount, LoadLibraryA, GetStringTypeW, GetStringTypeA, IsValidLocale, EnumSystemLocalesA, GetLocaleInfoA, GetUserDefaultLCID, GetModuleHandleA, GetConsoleMode, GetConsoleCP, SetStdHandle, VirtualAlloc, InterlockedIncrement, Sleep, InterlockedExchange, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetSystemTimeAsFileTime, RaiseException, RtlUnwind, TerminateProcess, GetCurrentProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCurrentThreadId, GetCommandLineA, HeapAlloc, ReadFile, HeapReAlloc, LCMapStringA, LCMapStringW, GetCPInfo, GetModuleHandleW, GetProcAddress, TlsAlloc, TlsFree, SetLastError, GetACP, GetOEMCP, IsValidCodePage, HeapSize, ExitProcess, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, HeapCreate, HeapDestroy, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId
> ole32.dll: CoCreateInstance, OleRun, CoInitialize
> oleaut32.dll: -, -, -, -, -, -
> shell32.dll: ShellExecuteExA
> version.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> wininet.dll: InternetReadFile, InternetCloseHandle, InternetQueryDataAvailable, InternetOpenUrlA, InternetOpenA

( 1 exports )

> _Java_SRLProxy_Init@16, _Java_SRLProxy_destroy@8, _Java_SRLProxy_getPresent@12, _Java_SRLProxy_getRanking@16, _Java_SRLProxy_getRating@16, _Java_SRLProxy_getUnknown@12, _Java_SRLProxy_getValue@12, _Java_SRLProxy_init@8, _Java_SRLProxy_putConfiguration@12, _Java_SRLProxy_putHost@12, _Java_SRLProxy_start@8, _Java_SRLProxy_stop@8
TrID : File type identification
-
ssdeep: 6144:976pAsV8KkwqPLSy2mvJo9TBY9RYaC6u:976isVtkwuGRmvJo9Tm
PEiD : -
RDS : NSRL Reference Data Set

Ensuite quand j'ai re-analysé le même fichier :

Fichier SRLProxy_nvd_1.dll reçu le 2009.08.31 21:19:58 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 1/41 (2.44%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 40 et 57 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.31 -
AhnLab-V3 5.0.0.2 2009.08.31 -
AntiVir 7.9.1.7 2009.08.31 -
Antiy-AVL 2.0.3.7 2009.08.31 -
Authentium 5.1.2.4 2009.08.31 -
Avast 4.8.1335.0 2009.08.31 -
AVG 8.5.0.406 2009.08.31 -
BitDefender 7.2 2009.08.31 -
CAT-QuickHeal 10.00 2009.08.31 -
ClamAV 0.94.1 2009.08.31 -
Comodo 2124 2009.08.31 -
DrWeb 5.0.0.12182 2009.08.31 -
eSafe 7.0.17.0 2009.08.31 -
eTrust-Vet 31.6.6713 2009.08.31 -
F-Prot 4.5.1.85 2009.08.31 -
F-Secure 8.0.14470.0 2009.08.31 -
Fortinet 3.120.0.0 2009.08.31 -
GData 19 2009.08.31 -
Ikarus T3.1.1.68.0 2009.08.31 -
Jiangmin 11.0.800 2009.08.31 -
K7AntiVirus 7.10.832 2009.08.31 -
Kaspersky 7.0.0.125 2009.08.31 -
McAfee 5726 2009.08.31 -
McAfee+Artemis 5726 2009.08.31 -
McAfee-GW-Edition 6.8.5 2009.08.31 Heuristic.BehavesLike.Win32.Downloader.I
Microsoft 1.5005 2009.08.31 -
NOD32 4385 2009.08.31 -
Norman 2009.08.31 -
nProtect 2009.1.8.0 2009.08.31 -
Panda 10.0.2.2 2009.08.31 -
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.08.31 -
Rising 21.45.04.00 2009.08.31 -
Sophos 4.45.0 2009.08.31 -
Sunbelt 3.2.1858.2 2009.08.31 -
Symantec 1.4.4.12 2009.08.31 -
TheHacker 6.3.4.3.393 2009.08.31 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.31 -
ViRobot 2009.8.31.1909 2009.08.31 -
VirusBuster 4.6.5.0 2009.08.31 -
Information additionnelle
File size: 290816 bytes
MD5...: 2d4bb46dd675470d91f14bbd70bbc614
SHA1..: 37b2b5b4bc80c2a19490ff7c838ad3a68137554c
SHA256: b1a469761ce59be56386f2e7b3365f32aa1a63e4dddaccf166a2a95b2f8ef884
ssdeep: 6144:976pAsV8KkwqPLSy2mvJo9TBY9RYaC6u:976isVtkwuGRmvJo9Tm
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1b523
timedatestamp.....: 0x49d646b9 (Fri Apr 03 17:26:17 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x342b8 0x34400 6.54 b8e19920a37b463816afedc207fb547f
.rdata 0x36000 0xb45b 0xb600 5.90 95dff2c479d84eea7c60c4e38fa441bb
.data 0x42000 0x5ce8 0x4000 5.97 c26117fd449ac4f4bd33ed8a908ffe7f
.rsrc 0x48000 0x1b4 0x200 5.11 95306fe52dbafca111bac4da3d3e711e
.reloc 0x49000 0x2eec 0x3000 5.43 d5f88257404082d22f2cc8af11797fd4

( 7 imports )
> WININET.dll: InternetReadFile, InternetCloseHandle, InternetQueryDataAvailable, InternetOpenUrlA, InternetOpenA
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> KERNEL32.dll: GetLocaleInfoW, CreateFileW, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, FlushFileBuffers, WriteFile, lstrlenA, CloseHandle, SetFilePointer, CreateFileA, SetEndOfFile, DeleteFileA, WaitForSingleObject, GetModuleFileNameA, TlsSetValue, TlsGetValue, GetLastError, MultiByteToWideChar, WideCharToMultiByte, HeapFree, GetProcessHeap, InterlockedDecrement, UnhandledExceptionFilter, InitializeCriticalSectionAndSpinCount, LoadLibraryA, GetStringTypeW, GetStringTypeA, IsValidLocale, EnumSystemLocalesA, GetLocaleInfoA, GetUserDefaultLCID, GetModuleHandleA, GetConsoleMode, GetConsoleCP, SetStdHandle, VirtualAlloc, InterlockedIncrement, Sleep, InterlockedExchange, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetSystemTimeAsFileTime, RaiseException, RtlUnwind, TerminateProcess, GetCurrentProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCurrentThreadId, GetCommandLineA, HeapAlloc, ReadFile, HeapReAlloc, LCMapStringA, LCMapStringW, GetCPInfo, GetModuleHandleW, GetProcAddress, TlsAlloc, TlsFree, SetLastError, GetACP, GetOEMCP, IsValidCodePage, HeapSize, ExitProcess, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, HeapCreate, HeapDestroy, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId
> ADVAPI32.dll: RegOpenKeyExA, RegCloseKey, RegQueryValueExA
> SHELL32.dll: ShellExecuteExA
> ole32.dll: CoCreateInstance, OleRun, CoInitialize
> OLEAUT32.dll: -, -, -, -, -, -

( 12 exports )
_Java_SRLProxy_Init@16, _Java_SRLProxy_destroy@8, _Java_SRLProxy_getPresent@12, _Java_SRLProxy_getRanking@16, _Java_SRLProxy_getRating@16, _Java_SRLProxy_getUnknown@12, _Java_SRLProxy_getValue@12, _Java_SRLProxy_init@8, _Java_SRLProxy_putConfiguration@12, _Java_SRLProxy_putHost@12, _Java_SRLProxy_start@8, _Java_SRLProxy_stop@8
RDS...: NSRL Reference Data Set
-
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
pdfid.: -
0
Réponse 10 / 18
kam28
31 août 2009 à 23:32
Les deux autres fichiers à analyser n'existent pas, je ne les trouvent pas à l'endroit que tu as indiqué.
0
Réponse 11 / 18
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
1 sept. 2009 à 00:07
Re,

un réexamen du rapport m'amène à te demander de soumettre à VirusTotal 2 autres fichiers :

c:\windows\system32\mqbkup.exe

c:\windows\system32\telnet.exe

N'oublie pas de demander un réexamen si le fichier a déjà été examiné.

Seul le rapport de ce réexamen a de l'intérêt ici.
0
Réponse 12 / 18
kam28
1 sept. 2009 à 00:24
Voila le rapport pour le fichier c:\windows\system32\mqbkup.exe :

Fichier mqbkup.exe reçu le 2009.08.31 22:12:18 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 40 et 57 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.31 -
AhnLab-V3 5.0.0.2 2009.08.31 -
AntiVir 7.9.1.7 2009.08.31 -
Antiy-AVL 2.0.3.7 2009.08.31 -
Authentium 5.1.2.4 2009.08.31 -
Avast 4.8.1335.0 2009.08.31 -
AVG 8.5.0.406 2009.08.31 -
BitDefender 7.2 2009.08.31 -
CAT-QuickHeal 10.00 2009.08.31 -
ClamAV 0.94.1 2009.08.31 -
Comodo 2124 2009.09.01 -
DrWeb 5.0.0.12182 2009.09.01 -
eSafe 7.0.17.0 2009.08.31 -
eTrust-Vet 31.6.6713 2009.08.31 -
F-Prot 4.5.1.85 2009.08.31 -
F-Secure 8.0.14470.0 2009.08.31 -
Fortinet 3.120.0.0 2009.08.31 -
GData 19 2009.08.31 -
Ikarus T3.1.1.68.0 2009.08.31 -
Jiangmin 11.0.800 2009.08.31 -
K7AntiVirus 7.10.832 2009.08.31 -
Kaspersky 7.0.0.125 2009.08.31 -
McAfee 5726 2009.08.31 -
McAfee+Artemis 5726 2009.08.31 -
McAfee-GW-Edition 6.8.5 2009.08.31 -
Microsoft 1.5005 2009.08.31 -
NOD32 4385 2009.08.31 -
Norman 2009.08.31 -
nProtect 2009.1.8.0 2009.08.31 -
Panda 10.0.2.2 2009.08.31 -
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.09.01 -
Rising 21.45.04.00 2009.08.31 -
Sophos 4.45.0 2009.08.31 -
Sunbelt 3.2.1858.2 2009.08.31 -
Symantec 1.4.4.12 2009.08.31 -
TheHacker 6.3.4.3.393 2009.08.31 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.31 -
ViRobot 2009.8.31.1909 2009.08.31 -
VirusBuster 4.6.5.0 2009.08.31 -
Information additionnelle
File size: 19968 bytes
MD5...: 02052dd8d6def0ff3815c47d3622b585
SHA1..: 5e9e0561024eb986199718b93655e7258b5113ea
SHA256: 0527a7a5eded3cb0287462c4aa8e520c1943f1be07996660ae626ba74dda8cc5
ssdeep: 384:/KUwwwqKEPWtC9MwWwfWxD6LRFbo7sFUIHGOu+d/yncP04yY8el9WgmaW:yU
R5HkKRVbUsGOX/yng0KDM
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x44e6
timedatestamp.....: 0x4a3f6fc3 (Mon Jun 22 11:49:23 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4188 0x4200 6.01 16f9919fdea596f22a99e32b6192e032
.data 0x6000 0x60 0x200 0.22 85a2b1dfef3224d6450258ee60a9195a
.rsrc 0x7000 0x4b0 0x600 2.80 5cc9b991f661da7b648b105884e81c49

( 5 imports )
> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __wgetmainargs, __winitenv, _cexit, _XcptFilter, _exit, _c_exit, wcsncpy, towlower, wcschr, wcsrchr, wscanf, exit, swprintf, __2@YAPAXI@Z, __3@YAXPAX@Z, __CxxFrameHandler, wcscpy, wcslen, wcscat
> ADVAPI32.dll: EnumDependentServicesW, RegRestoreKeyW, RegSaveKeyW, RegCreateKeyExW, StartServiceW, ControlService, QueryServiceStatus, OpenSCManagerW, OpenServiceW, CloseServiceHandle, RegOpenKeyExW, RegSetValueExW, RegQueryValueExW, OpenProcessToken, LookupPrivilegeValueW, AdjustTokenPrivileges, AllocateAndInitializeSid, GetLengthSid, InitializeSecurityDescriptor, InitializeAcl, AddAccessAllowedAce, AddAce, SetSecurityDescriptorDacl, SetFileSecurityW, FreeSid, RegCloseKey
> KERNEL32.dll: GetVersionExW, MultiByteToWideChar, CompareStringW, GetCurrentProcess, FindClose, FindNextFileW, DeleteFileW, FindFirstFileW, Sleep, GetDiskFreeSpaceExW, CopyFileW, CreateDirectoryW, LoadLibraryW, GetProcAddress, GetModuleHandleW, GetFullPathNameW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, CreateFileW, GetLastError, CloseHandle, GetFileAttributesW, FormatMessageW, GetSystemTimeAsFileTime, FreeLibrary, GetFileType, LocalFree, WriteFile, WideCharToMultiByte, LocalAlloc, WriteConsoleW, GetStdHandle, GetSystemDirectoryW
> USER32.dll: CharNextW, LoadStringW
> mqutil.dll: MQGetResourceHandle

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)



Voila le rapport pour le fichier c:\windows\system32\telnet.exe :

Fichier telnet.exe reçu le 2009.08.31 22:18:24 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 50 et 71 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.31 -
AhnLab-V3 5.0.0.2 2009.08.31 -
AntiVir 7.9.1.7 2009.08.31 -
Antiy-AVL 2.0.3.7 2009.08.31 -
Authentium 5.1.2.4 2009.08.31 -
Avast 4.8.1335.0 2009.08.31 -
AVG 8.5.0.406 2009.08.31 -
BitDefender 7.2 2009.08.31 -
CAT-QuickHeal 10.00 2009.08.31 -
ClamAV 0.94.1 2009.08.31 -
Comodo 2124 2009.09.01 -
DrWeb 5.0.0.12182 2009.09.01 -
eSafe 7.0.17.0 2009.08.31 -
eTrust-Vet 31.6.6713 2009.08.31 -
F-Prot 4.5.1.85 2009.08.31 -
Fortinet 3.120.0.0 2009.08.31 -
GData 19 2009.08.31 -
Ikarus T3.1.1.68.0 2009.08.31 -
Jiangmin 11.0.800 2009.08.31 -
K7AntiVirus 7.10.832 2009.08.31 -
Kaspersky 7.0.0.125 2009.08.31 -
McAfee 5726 2009.08.31 -
McAfee+Artemis 5726 2009.08.31 -
McAfee-GW-Edition 6.8.5 2009.08.31 -
Microsoft 1.5005 2009.08.31 -
NOD32 4385 2009.08.31 -
Norman 2009.08.31 -
nProtect 2009.1.8.0 2009.08.31 -
Panda 10.0.2.2 2009.08.31 -
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.09.01 -
Rising 21.45.04.00 2009.08.31 -
Sophos 4.45.0 2009.08.31 -
Sunbelt 3.2.1858.2 2009.08.31 -
Symantec 1.4.4.12 2009.08.31 -
TheHacker 6.3.4.3.393 2009.08.31 -
TrendMicro 8.950.0.1094 2009.08.30 -
VBA32 3.12.10.10 2009.08.31 -
ViRobot 2009.8.31.1909 2009.08.31 -
VirusBuster 4.6.5.0 2009.08.31 -
Information additionnelle
File size: 78848 bytes
MD5...: 1a20900292fa5b3ac3f311e59ce16d84
SHA1..: 8911c5d4a0f19c7995c2a8951ac440a4f7b541b0
SHA256: d1c970e5c5ee830098fdcaaee1fd8239bfc4e17981c02c1710fee7d92e281486
ssdeep: 1536:0iQwLDbiGP7XppGEOmjW7Q+Hq0HkANjBiL/GDsjgikhJxlBt:D3biGPtpG8
jWNHfXhNhJNt
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xcef0
timedatestamp.....: 0x4a32411c (Fri Jun 12 11:50:52 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd2e6 0xd400 6.41 3a84c5a6bbf31aecdd3625de2dc2e0bb
.data 0xf000 0x1cb9c 0x1800 3.68 214bb6896f69c53b55607a4abeec204b
.rsrc 0x2c000 0x43b8 0x4400 3.62 4b539dff445d57025a09e486167330b1

( 9 imports )
> msvcrt.dll: _wcslwr, towlower, setlocale, _c_exit, _exit, _XcptFilter, wcsstr, __winitenv, __wgetmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, isalpha, tolower, exit, atoi, towupper, toupper, _strnicmp, strncmp, wcstok, _wcsnicmp, _wtoi, _snprintf, wcsncat, wcscat, wcscpy, calloc, strncpy, strtoul, strchr, sprintf, memchr, _cexit, __set_app_type, _except_handler3, _controlfp, wcscmp, wcsncpy, iswctype, _wcsicmp, _snwprintf, wcslen, _vsnwprintf, malloc, free
> ADVAPI32.dll: RegSetValueExW, RegOpenKeyExW, RegQueryValueExA, RegCloseKey, RegCreateKeyExW, RegQueryValueExW, OpenProcessToken, GetTokenInformation, LookupAccountSidW, GetUserNameW
> KERNEL32.dll: GetStdHandle, CreateThread, ExitProcess, GetConsoleOutputCP, GetModuleHandleW, SetLastError, GetSystemDefaultLangID, SetConsoleCtrlHandler, CreateEventW, CreateConsoleScreenBuffer, PulseEvent, GetConsoleMode, SetUnhandledExceptionFilter, ReadConsoleInputW, ReadConsoleInputA, MultiByteToWideChar, GetConsoleCursorInfo, QueryPerformanceCounter, GetFileType, IsDBCSLeadByte, WriteConsoleOutputCharacterA, WriteConsoleA, ReadConsoleOutputAttribute, WriteConsoleOutputAttribute, ScrollConsoleScreenBufferW, GetLargestConsoleWindowSize, LoadLibraryExW, GetCurrentProcessId, OpenProcess, Sleep, SetConsoleActiveScreenBuffer, GetEnvironmentVariableA, GetConsoleCP, GetModuleHandleA, GetTickCount, GetCurrentThreadId, GetSystemTimeAsFileTime, GetCurrentProcess, TerminateProcess, SetConsoleCursorInfo, UnhandledExceptionFilter, SetConsoleMode, WriteFile, WaitForSingleObject, WriteConsoleInputW, ResetEvent, WriteConsoleW, lstrcpynW, LocalFree, SetConsoleTitleW, SetEvent, SetConsoleWindowInfo, SetConsoleScreenBufferSize, GetConsoleScreenBufferInfo, GetEnvironmentVariableW, LocalAlloc, CloseHandle, GetLastError, CreateFileW, GetACP, SetEnvironmentVariableW, FillConsoleOutputAttribute, FillConsoleOutputCharacterW, SetConsoleCursorPosition, WideCharToMultiByte, ReadConsoleW, WriteConsoleOutputW, ReadConsoleOutputW, FreeLibrary, GetProcAddress, LoadLibraryA, GetSystemDirectoryA, FormatMessageW, GetThreadLocale, SetThreadLocale
> USER32.dll: wsprintfW, GetMessageW, TranslateMessage, DispatchMessageW, RegisterClassW, CreateWindowExW, DefWindowProcW, KillTimer, SetWindowLongW, GetKeyboardType, DestroyWindow, VkKeyScanW, MessageBeep, SetRectEmpty, GetWindowLongW, PostMessageW, IsCharAlphaW, IsCharAlphaNumericW, LoadStringW, MapVirtualKeyW
> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> Security.dll: AcquireCredentialsHandleW, QuerySecurityPackageInfoW, InitializeSecurityContextW
> IMM32.dll: ImmGetContext, ImmSetCompositionFontW, ImmSetCompositionWindow, ImmReleaseContext
> ole32.dll: CoCreateInstanceEx, CoUninitialize, CoInitializeEx
> GDI32.dll: TranslateCharsetInfo

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
0
Réponse 13 / 18
kam28
1 sept. 2009 à 15:58
Alors que donne ces rapports?
Mon Pc fonctionne normalement je n'ai plus de problèmes est-ce terminé?
0
Réponse 14 / 18
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
1 sept. 2009 à 16:03
Bonjour,

l'ordi semble sain.

Démarrer, Exécuter, tape 
combofix /u
dans la zone de saisie puis clique sur OK.

=>[/b] Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
-- Met le sur ton bureau

=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected

* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Quitte ATF-Cleaner

Tu l'utiliseras régulièrement pour nettoyer les fichiers inutiles (tous les jours, il est très rapide).
0
Réponse 15 / 18
kam28
1 sept. 2009 à 16:18
Ok c'est fait merci beaucoup pour ton aide :)
Une dernière chose, je voudrais savoir si je dois supprimer le dossier qui se trouve dans le C: et qui se nomme "antitruc" dans lequel se trouve un fichier de "ComboFix" nommé "CF25236" et qui est un "Interpréteur de Commandes Windows".
Je voudrais aussi savoir si je dois conserver "CCleaner" étant donné que tu me recommandes "ATF Cleaner".
Voila encore merci pour ton aide^^
0
Réponse 16 / 18
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
1 sept. 2009 à 19:09
Re,

supprime ce dossier.

Tu peux garder CCleaner et l'utiliser une fois par mois. Il nettoye un peu plus que ATFCleaner.
0
Réponse 17 / 18
kam28
1 sept. 2009 à 23:20
Ok encore merci de m'avoir aider à résoudre mon problème ^^
0
Réponse 18 / 18
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
1 sept. 2009 à 23:37
Re,

de rien pour l'aide.

Bon surf.
0