Rogue.sysCleaner et autres
genowefa
Messages postés
57
Statut
Membre
-
genowefa Messages postés 57 Statut Membre -
genowefa Messages postés 57 Statut Membre -
Bonjour,
Suite au post http://www.commentcamarche.net/... et post suivant, https://forums.commentcamarche.net/forum/affich-15463624-rogue-syscleaneryscleaner#9, (Memman.vxd (Rogue.sysCleaner) a été éradiqué (Merci Jacques)
Je viens de passer à nouveau malwarebytes qui me redécouvre les mêmes infections (Memman.vxd (Rogue.sysCleaner), avec en prime, cette fois ci, des suppléments appelés Backdoor agent.
Malwarebytes les a éliminés. Mais je ne me fait pas d'illusion, ils se sont sans doute créés comme la dernière fois, des suvegardes.
Ma demande est : quelles sont les mesures à prendre pour éradiquer les bestioles -> (Memman.vxd (Rogue.sysCleaner) et Backdoor agent?
A l'avance, merci pour votre aide ;-)
Voici les rapports ci-dessous:
Random's System Information Tool (RSIT) >> rapports déposés ici >>
http://www.cijoint.fr/cjlink.php?file=cj200912/cijCiSf4du.txt
http://www.cijoint.fr/cjlink.php?file=cj200912/cijbv9h1rT.txt
Le rapport Malwarebytes (il y a un dossier rapport enregistrés sous Mes Documents), ici >>
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3409
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
22/12/2009 22:38:07
mbam-log-2009-12-22 (22-37-42).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 194821
Temps écoulé: 1 hour(s), 35 minute(s), 46 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\silentsalesmachine auction tidbits.ebooknshandler (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\silentsalesmachine auction tidbits.externalnshandler (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9c453f21-396d-11d5-9734-70e252c10127} (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d173e10a-001d-4318-9822-8c97a8418482} (Backdoor.Agent) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> No action taken.
Suite au post http://www.commentcamarche.net/... et post suivant, https://forums.commentcamarche.net/forum/affich-15463624-rogue-syscleaneryscleaner#9, (Memman.vxd (Rogue.sysCleaner) a été éradiqué (Merci Jacques)
Je viens de passer à nouveau malwarebytes qui me redécouvre les mêmes infections (Memman.vxd (Rogue.sysCleaner), avec en prime, cette fois ci, des suppléments appelés Backdoor agent.
Malwarebytes les a éliminés. Mais je ne me fait pas d'illusion, ils se sont sans doute créés comme la dernière fois, des suvegardes.
Ma demande est : quelles sont les mesures à prendre pour éradiquer les bestioles -> (Memman.vxd (Rogue.sysCleaner) et Backdoor agent?
A l'avance, merci pour votre aide ;-)
Voici les rapports ci-dessous:
Random's System Information Tool (RSIT) >> rapports déposés ici >>
http://www.cijoint.fr/cjlink.php?file=cj200912/cijCiSf4du.txt
http://www.cijoint.fr/cjlink.php?file=cj200912/cijbv9h1rT.txt
Le rapport Malwarebytes (il y a un dossier rapport enregistrés sous Mes Documents), ici >>
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3409
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
22/12/2009 22:38:07
mbam-log-2009-12-22 (22-37-42).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 194821
Temps écoulé: 1 hour(s), 35 minute(s), 46 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\silentsalesmachine auction tidbits.ebooknshandler (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\silentsalesmachine auction tidbits.externalnshandler (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9c453f21-396d-11d5-9734-70e252c10127} (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d173e10a-001d-4318-9822-8c97a8418482} (Backdoor.Agent) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> No action taken.
36 réponses
Salut Jacques,
Avec du recul, tu as raison, j'hésite à présent. Ca craint vraiment, ton programme. Je suis trop nul en informatique. J'ai montré ta réponse à un ami programmeur que tu connais, il m'a dit qu'à ma place, il ne le ferait pas non plus. Et lui, il touche 100 fois plus en informatique que moi, c'est dire!
Même si je sauvegarde en externe, je risque de perdre 3 jours pour remettre tous les softs, sans compter ceux qui vont être perdus... Si tu as autre chose à proposer en plus light, je suis preneur.
Et sinon, tant pis, je passerais Malwarebytes tous les jours.
Merci en tout cas pour ton aide généreuse,
Bonne soirée de réveillon de Noël, Jacques ! A toi et à toute ta famille.
Très cordialement
Pat
Avec du recul, tu as raison, j'hésite à présent. Ca craint vraiment, ton programme. Je suis trop nul en informatique. J'ai montré ta réponse à un ami programmeur que tu connais, il m'a dit qu'à ma place, il ne le ferait pas non plus. Et lui, il touche 100 fois plus en informatique que moi, c'est dire!
Même si je sauvegarde en externe, je risque de perdre 3 jours pour remettre tous les softs, sans compter ceux qui vont être perdus... Si tu as autre chose à proposer en plus light, je suis preneur.
Et sinon, tant pis, je passerais Malwarebytes tous les jours.
Merci en tout cas pour ton aide généreuse,
Bonne soirée de réveillon de Noël, Jacques ! A toi et à toute ta famille.
Très cordialement
Pat
ok comme tu veux mais combofix est pas plus dangeureux qu'un autre outil dernièrement j'ai un pc qui a planté au passage de usbfix donc on est jamais sur !! mais perso j'ai pas trop d'autre outil de cette envergure, mais je te conseillerais de toujours sauvegarder sur un dd externe tout ton travail car si un jour le pc est planter tu n'aura pas tout perdu !! sinon un outil comme norton ghost tu fais une image disque régulièrement et tu restaure de puis cellec si problème comme cela sa remets tout en plance!!
on va essayer de voir si on trouve un rookies qui pourrait expliquer cette réinfection permanante!!
sinon concernant : C:\WINDOWS\system32\tmp.txt peux tu l'ouvrir et me poster le contenu , mais je pense que l'on pourra le supprimer
•Télécharge Rooter (créé par l'équipe IDN) sur ton bureau: https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2
•/!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\
•Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc notes
•Ensuite poste le rapport dans ta prochaine réponse
J'ai montré ta réponse à un ami programmeur que tu connaisà qui faisais tu allusion ???
on va essayer de voir si on trouve un rookies qui pourrait expliquer cette réinfection permanante!!
sinon concernant : C:\WINDOWS\system32\tmp.txt peux tu l'ouvrir et me poster le contenu , mais je pense que l'on pourra le supprimer
•Télécharge Rooter (créé par l'équipe IDN) sur ton bureau: https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2
•/!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\
•Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc notes
•Ensuite poste le rapport dans ta prochaine réponse
Salut Jacques
Je viens de passer Malwarebytes qui a redécouvert 2 nouveaux Rogues. Rapport ci-dessous pour info.
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3409
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
24/12/2009 13:41:04
mbam-log-2009-12-24 (13-41-04).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 194573
Temps écoulé: 1 hour(s), 34 minute(s), 21 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> Quarantined and deleted successfully.
Et voici le rapport de Rooter:
Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows XP . (5.1.2600) Service Pack 3
[32_bits] - x86 Family 15 Model 107 Stepping 2, AuthenticAMD
.
[wscsvc] (Security Center) RUNNING (state:4)
[SharedAccess] RUNNING (state:4)
Windows Firewall -> Enabled
.
Internet Explorer 8.0.6001.18702
Mozilla Firefox 3.5.6 (fr)
.
C:\ [Fixed-NTFS] .. ( Total:78 Go - Free:58 Go )
D:\ [Fixed-NTFS] .. ( Total:70 Go - Free:68 Go )
E:\ [CD_Rom]
F:\ [CD_Rom]
.
Scan : 13:58.31
Path : C:\Documents and Settings\Patrick\Mes documents\Téléchargements\Rooter.exe
User : Patrick ( Administrator -> YES )
.
----------------------\\ Processes
.
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (656)
______ \??\C:\WINDOWS\system32\csrss.exe (728)
______ \??\C:\WINDOWS\system32\winlogon.exe (756)
______ C:\WINDOWS\system32\services.exe (800)
______ C:\WINDOWS\system32\lsass.exe (812)
______ C:\WINDOWS\system32\Ati2evxx.exe (988)
______ C:\WINDOWS\system32\svchost.exe (1004)
______ C:\WINDOWS\system32\svchost.exe (1076)
______ C:\WINDOWS\System32\svchost.exe (1188)
______ C:\WINDOWS\system32\svchost.exe (1304)
______ C:\WINDOWS\system32\svchost.exe (1384)
______ C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe (1428)
______ C:\WINDOWS\system32\Ati2evxx.exe (1516)
______ C:\WINDOWS\system32\spoolsv.exe (1616)
______ C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\mom.exe (1876)
______ C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe (1948)
______ C:\WINDOWS\system32\svchost.exe (140)
______ C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (216)
______ C:\Program Files\Bonjour\mDNSResponder.exe (228)
______ C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe (304)
______ C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE (312)
______ C:\Program Files\Pack Securite\Common\FSMA32.EXE (320)
______ C:\Program Files\Java\jre6\bin\jqs.exe (496)
______ C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe (512)
______ C:\Program Files\Pack Securite\Common\FSMB32.EXE (528)
______ C:\WINDOWS\system32\HPZipm12.exe (572)
______ C:\WINDOWS\system32\svchost.exe (1036)
______ C:\Program Files\Pack Securite\Common\FCH32.EXE (1588)
______ C:\Program Files\Pack Securite\Common\FAMEH32.EXE (2052)
______ C:\Program Files\Pack Securite\Anti-Virus\fsqh.exe (2076)
______ C:\Program Files\Pack Securite\FSPC\fspc.exe (2108)
______ C:\WINDOWS\system32\wbem\unsecapp.exe (2252)
______ C:\WINDOWS\system32\wbem\wmiprvse.exe (2344)
______ C:\Program Files\Pack Securite\ORSP Client\fsorsp.exe (2392)
______ C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe (2424)
______ C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe (2444)
______ C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe (2548)
______ C:\WINDOWS\System32\alg.exe (2600)
______ C:\Program Files\Pack Securite\FSAUA\program\fsus.exe (3024)
______ C:\WINDOWS\system32\wbem\wmiapsrv.exe (3392)
______ C:\Program Files\Pack Securite\Anti-Virus\fsav32.exe (1752)
______ C:\WINDOWS\Explorer.EXE (2864)
______ C:\Program Files\Pack Securite\Common\FSM32.EXE (3376)
______ C:\Program Files\Pack Securite\FSGUI\fsguidll.exe (3472)
______ C:\WINDOWS\RTHDCPL.EXE (3812)
______ C:\Program Files\IOJ\IOJ Daemon.exe (3844)
______ C:\Program Files\Java\jre6\bin\jusched.exe (3952)
______ C:\Program Files\iTunes\iTunesHelper.exe (3968)
______ C:\WINDOWS\system32\ctfmon.exe (4008)
______ C:\Program Files\Neuf\Kit\9props.exe (4076)
______ C:\Program Files\iPod\bin\iPodService.exe (948)
______ C:\Program Files\Mozilla Firefox\firefox.exe (4056)
______ C:\Documents and Settings\Patrick\Mes documents\Téléchargements\Rooter.exe (684)
.
----------------------\\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 --[ MBR ]-- (Start_Offset:32256 | Length:83889598464)
\Device\Harddisk0\Partition0 (Start_Offset:83889630720 | Length:76141416960)
\Device\Harddisk0\Partition2 (Start_Offset:83889662976 | Length:76141384704)
.
----------------------\\ Scheduled Tasks
.
C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1202660629-725345543-1003Core.job
C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1202660629-725345543-1003UA.job
C:\WINDOWS\Tasks\OGALogon.job
C:\WINDOWS\Tasks\SA.DAT
C:\WINDOWS\Tasks\Scheduled scanning task.job
.
----------------------\\ Registry
.
.
----------------------\\ Files & Folders
.
----------------------\\ Scan completed at 13:58.39
.
C:\Rooter$\Rooter_1.txt - (24/12/2009 | 13:58.39)
Je viens de passer Malwarebytes qui a redécouvert 2 nouveaux Rogues. Rapport ci-dessous pour info.
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3409
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
24/12/2009 13:41:04
mbam-log-2009-12-24 (13-41-04).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 194573
Temps écoulé: 1 hour(s), 34 minute(s), 21 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> Quarantined and deleted successfully.
Et voici le rapport de Rooter:
Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows XP . (5.1.2600) Service Pack 3
[32_bits] - x86 Family 15 Model 107 Stepping 2, AuthenticAMD
.
[wscsvc] (Security Center) RUNNING (state:4)
[SharedAccess] RUNNING (state:4)
Windows Firewall -> Enabled
.
Internet Explorer 8.0.6001.18702
Mozilla Firefox 3.5.6 (fr)
.
C:\ [Fixed-NTFS] .. ( Total:78 Go - Free:58 Go )
D:\ [Fixed-NTFS] .. ( Total:70 Go - Free:68 Go )
E:\ [CD_Rom]
F:\ [CD_Rom]
.
Scan : 13:58.31
Path : C:\Documents and Settings\Patrick\Mes documents\Téléchargements\Rooter.exe
User : Patrick ( Administrator -> YES )
.
----------------------\\ Processes
.
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (656)
______ \??\C:\WINDOWS\system32\csrss.exe (728)
______ \??\C:\WINDOWS\system32\winlogon.exe (756)
______ C:\WINDOWS\system32\services.exe (800)
______ C:\WINDOWS\system32\lsass.exe (812)
______ C:\WINDOWS\system32\Ati2evxx.exe (988)
______ C:\WINDOWS\system32\svchost.exe (1004)
______ C:\WINDOWS\system32\svchost.exe (1076)
______ C:\WINDOWS\System32\svchost.exe (1188)
______ C:\WINDOWS\system32\svchost.exe (1304)
______ C:\WINDOWS\system32\svchost.exe (1384)
______ C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe (1428)
______ C:\WINDOWS\system32\Ati2evxx.exe (1516)
______ C:\WINDOWS\system32\spoolsv.exe (1616)
______ C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\mom.exe (1876)
______ C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe (1948)
______ C:\WINDOWS\system32\svchost.exe (140)
______ C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (216)
______ C:\Program Files\Bonjour\mDNSResponder.exe (228)
______ C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe (304)
______ C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE (312)
______ C:\Program Files\Pack Securite\Common\FSMA32.EXE (320)
______ C:\Program Files\Java\jre6\bin\jqs.exe (496)
______ C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe (512)
______ C:\Program Files\Pack Securite\Common\FSMB32.EXE (528)
______ C:\WINDOWS\system32\HPZipm12.exe (572)
______ C:\WINDOWS\system32\svchost.exe (1036)
______ C:\Program Files\Pack Securite\Common\FCH32.EXE (1588)
______ C:\Program Files\Pack Securite\Common\FAMEH32.EXE (2052)
______ C:\Program Files\Pack Securite\Anti-Virus\fsqh.exe (2076)
______ C:\Program Files\Pack Securite\FSPC\fspc.exe (2108)
______ C:\WINDOWS\system32\wbem\unsecapp.exe (2252)
______ C:\WINDOWS\system32\wbem\wmiprvse.exe (2344)
______ C:\Program Files\Pack Securite\ORSP Client\fsorsp.exe (2392)
______ C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe (2424)
______ C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe (2444)
______ C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe (2548)
______ C:\WINDOWS\System32\alg.exe (2600)
______ C:\Program Files\Pack Securite\FSAUA\program\fsus.exe (3024)
______ C:\WINDOWS\system32\wbem\wmiapsrv.exe (3392)
______ C:\Program Files\Pack Securite\Anti-Virus\fsav32.exe (1752)
______ C:\WINDOWS\Explorer.EXE (2864)
______ C:\Program Files\Pack Securite\Common\FSM32.EXE (3376)
______ C:\Program Files\Pack Securite\FSGUI\fsguidll.exe (3472)
______ C:\WINDOWS\RTHDCPL.EXE (3812)
______ C:\Program Files\IOJ\IOJ Daemon.exe (3844)
______ C:\Program Files\Java\jre6\bin\jusched.exe (3952)
______ C:\Program Files\iTunes\iTunesHelper.exe (3968)
______ C:\WINDOWS\system32\ctfmon.exe (4008)
______ C:\Program Files\Neuf\Kit\9props.exe (4076)
______ C:\Program Files\iPod\bin\iPodService.exe (948)
______ C:\Program Files\Mozilla Firefox\firefox.exe (4056)
______ C:\Documents and Settings\Patrick\Mes documents\Téléchargements\Rooter.exe (684)
.
----------------------\\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 --[ MBR ]-- (Start_Offset:32256 | Length:83889598464)
\Device\Harddisk0\Partition0 (Start_Offset:83889630720 | Length:76141416960)
\Device\Harddisk0\Partition2 (Start_Offset:83889662976 | Length:76141384704)
.
----------------------\\ Scheduled Tasks
.
C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1202660629-725345543-1003Core.job
C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1202660629-725345543-1003UA.job
C:\WINDOWS\Tasks\OGALogon.job
C:\WINDOWS\Tasks\SA.DAT
C:\WINDOWS\Tasks\Scheduled scanning task.job
.
----------------------\\ Registry
.
.
----------------------\\ Files & Folders
.
----------------------\\ Scan completed at 13:58.39
.
C:\Rooter$\Rooter_1.txt - (24/12/2009 | 13:58.39)
sinon concernant : C:\WINDOWS\system32\tmp.txt peux tu l'ouvrir et me poster le contenu
je ne vois pas pourquoi il revient !! je suis en train de me demander si c'est pas un faut positif de malwarebytes !!
la prochaine fais que malwarebytes te le trouve, tu ne supprimes pas mais annalyser sur virus total ou tu fais un scan en ligne avec bitdéfender https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender
je ne vois pas pourquoi il revient !! je suis en train de me demander si c'est pas un faut positif de malwarebytes !!
la prochaine fais que malwarebytes te le trouve, tu ne supprimes pas mais annalyser sur virus total ou tu fais un scan en ligne avec bitdéfender https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
https://www.virustotal.com/gui/
Concernant C:\WINDOWS\system32\tmp.txt, il n'y a rien (tmp ou txt) à l'emplacement indiqué en ce moment.
Je présume que dès que je repasse Malwarebytes's après demain (demain, absent), il trouvera un ou des Rogues. Et dans ce cas, je t'ouvre C:\WINDOWS\system32\tmp.txt et t'en envoie le contenu, c'est cela ?
citation: la prochaine fais que malwarebytes te le trouve, tu ne supprimes pas mais annalyser sur virus total ou tu fais un scan en ligne avec bitdéfender
J'analyse quoi exactement sur virus total, Jacques ?
Après cela, Oki pour le scan en ligne avec bitdefender...
Si on se lit pas ce soir, je te re-souhaite un bon Noël, Jacques. Un grand merci pour ta gentillesse !
Très cordialement
Pat
Concernant C:\WINDOWS\system32\tmp.txt, il n'y a rien (tmp ou txt) à l'emplacement indiqué en ce moment.
Je présume que dès que je repasse Malwarebytes's après demain (demain, absent), il trouvera un ou des Rogues. Et dans ce cas, je t'ouvre C:\WINDOWS\system32\tmp.txt et t'en envoie le contenu, c'est cela ?
citation: la prochaine fais que malwarebytes te le trouve, tu ne supprimes pas mais annalyser sur virus total ou tu fais un scan en ligne avec bitdéfender
J'analyse quoi exactement sur virus total, Jacques ?
Après cela, Oki pour le scan en ligne avec bitdefender...
Si on se lit pas ce soir, je te re-souhaite un bon Noël, Jacques. Un grand merci pour ta gentillesse !
Très cordialement
Pat
si le fichier tmp.txt est présent tu le fais analyser sur virus total
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :tmp.txt dans C:\WINDOWS\system32
Clique sur envoyer le lien.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :tmp.txt dans C:\WINDOWS\system32
Clique sur envoyer le lien.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.
sur virus total tu fais annalyser le fichier tmp.txt
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :tmp.txt qui devrait être ici: C:\WINDOWS\system32
Clique sur envoyer le lien.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :tmp.txt qui devrait être ici: C:\WINDOWS\system32
Clique sur envoyer le lien.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.
Salut Jacques !!
Passé un bon Noël ?
Voici la suite, après 2 jours d'absence:
J'ai passé Malwarebytes. Il a trouvé un Rogues. Je ne l'ai pas éliminé, comme tu me l'as demandé. De toute façon, si je l'élimine, comme d'habitude, il se fait une sauvegarde, qui reste invisible si je passe un second scan de Malwarebytes. Et il revient en double le jour d'après (sauvegarde + nouveau Rogues).
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3434
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
26/12/2009 20:09:15
mbam-log-2009-12-26 (20-09-10).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 195196
Temps écoulé: 1 hour(s), 32 minute(s), 7 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{1C91AF18-CB5B-4D26-887F-296A391F177A}\RP136\A0013247.vxd (Rogue.sysCleaner) -> No action taken.
Je me suis rendu sur https://www.virustotal.com/gui/
J'ai cliqué sur parcourir et cherché ce fichier :tmp.txt qui est ici: C:\WINDOWS\system32
Résultats: 0 bytes size received / Se ha recibido un archivo vacio
Il y avait 2 icones: tmp et txt.
J'ai alors passé Bitdefender...
Bitdefender donne cette analyse ci-dessous.
Par contre, après analyse, je peux chercher comme je veux, plus de tmp-txt (plus d'icones visibles sur syteme 32 !!)
BitDefender QuickScan Beta 32-bit v0.9.8.4
------------------------------------------
Date de l'analyse : Sat Dec 26 19:57:03 2009
ID de la machine : 9891FEE6
Aucune infection détectée.
----------------------------
Processus
---------
<non signé> Catalyst Control Centre: Host application 1960 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
<non signé> Catalyst Control Center: Monitoring program 1880 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\mom.exe
<non signé> Machine Debug Manager 1564 C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
<non signé> IOJ Daemon 236 C:\Program Files\IOJ\IOJ Daemon.exe
<non signé> PML Driver 1756 C:\WINDOWS\system32\HPZipm12.exe
<verifié> Bonjour Service 1016 C:\Program Files\Bonjour\mDNSResponder.exe
<verifié> Apple Mobile Device Service 940 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
<verifié> iPodService Module (32-bit) 3184 C:\Program Files\iPod\bin\iPodService.exe
<verifié> iTunesHelper 644 C:\Program Files\iTunes\iTunesHelper.exe
<verifié> Java(TM) Quick Starter Service 1240 C:\Program Files\Java\jre6\bin\jqs.exe
<verifié> Java(TM) Platform SE binary 652 C:\Program Files\Java\jre6\bin\jusched.exe
<verifié> Ad-Aware Service Application 1420 C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
<verifié> Ad-Aware Tray Application 3896 C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
<verifié> Malwarebytes' Anti-Malware 3796 C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
<verifié> Firefox 3284 C:\Program Files\Mozilla Firefox\firefox.exe
<verifié> Propriétés de la connexion SFR 1200 C:\Program Files\Neuf\Kit\9props.exe
<verifié> FSAV Handler 4012 C:\Program Files\Pack Securite\Anti-Virus\fsav32.exe
<verifié> Gatekeeper Handler II 1228 C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE
<verifié> F-Secure Anti-Virus Scanning Service 1148 C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
<verifié> F-Secure Quarantine Handler 2228 C:\Program Files\Pack Securite\Anti-Virus\fsqh.exe
<verifié> F-Secure Scanner Manager 2912 C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe
<verifié> F-Secure Alert and Management Extension Handler 2232 C:\Program Files\Pack Securite\Common\FAMEH32.EXE
<verifié> F-Secure Configuration Handler 1888 C:\Program Files\Pack Securite\Common\FCH32.EXE
<verifié> F-Secure Settings and Statistics 1308 C:\Program Files\Pack Securite\Common\FSM32.EXE
<verifié> F-Secure Management Agent 1204 C:\Program Files\Pack Securite\Common\FSMA32.EXE
<verifié> F-Secure Message Broker 1252 C:\Program Files\Pack Securite\Common\FSMB32.EXE
<verifié> F-Secure Automatic Update Agent 3004 C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
<verifié> F-Secure Automatic Update Agent - Run Upstreamer 3832 C:\Program Files\Pack Securite\FSAUA\program\fsus.exe
<verifié> F-Secure GUI component 2528 C:\Program Files\Pack Securite\FSGUI\fsguidll.exe
<verifié> FSAV FSM AV UI 3052 C:\Program Files\Pack Securite\FSGUI\scanwizard.exe
<verifié> F-Secure Parental Control 2320 C:\Program Files\Pack Securite\FSPC\fspc.exe
<verifié> F-Secure Internet Shield daemon 3100 C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
<verifié> F-Secure ORSP Service 2848 C:\Program Files\Pack Securite\ORSP Client\fsorsp.exe
<verifié> Explorateur Windows 520 C:\WINDOWS\Explorer.EXE
<verifié> Realtek HD Audio Control Panel 284 C:\WINDOWS\RTHDCPL.EXE
<verifié> Application Layer Gateway Service 3712 C:\WINDOWS\System32\alg.exe
<verifié> ATI External Event Utility EXE Module 1480 C:\WINDOWS\system32\Ati2evxx.exe
<verifié> ATI External Event Utility EXE Module 976 C:\WINDOWS\system32\Ati2evxx.exe
<verifié> Client Server Runtime Process 720 C:\WINDOWS\system32\csrss.exe
<verifié> CTF Loader 1160 C:\WINDOWS\system32\ctfmon.exe
<verifié> LSA Shell (Export Version) 804 C:\WINDOWS\system32\lsass.exe
<verifié> Applications Services et Contrôleur 792 C:\WINDOWS\system32\services.exe
<verifié> Gestionnaire de session Windows NT 660 C:\WINDOWS\System32\smss.exe
<verifié> Spooler SubSystem App 1640 C:\WINDOWS\system32\spoolsv.exe
<verifié> Generic Host Process for Win32 Services 704 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1376 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1180 C:\WINDOWS\System32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1292 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 988 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1068 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 280 C:\WINDOWS\system32\svchost.exe
<verifié> WMI 2800 C:\WINDOWS\system32\wbem\unsecapp.exe
<verifié> Service de la carte de performance WMI 3388 C:\WINDOWS\system32\wbem\wmiapsrv.exe
<verifié> WMI 3088 C:\WINDOWS\system32\wbem\wmiprvse.exe
<verifié> Application d'ouverture de session Windows NT 748 C:\WINDOWS\system32\winlogon.exe
Activité du réseau
------------------
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - a92-123-12-20.deploy.akamaitechnologies.com
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - ey-in-f101.1e100.net
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com
Processus svchost.exe (1068) écoute sur les ports: 135 (RPC)
Processus fsaua.exe (3004) écoute sur les ports: 12110
Fichiers critiques et Autorun
-----------------------------
<non signé> IOJ Daemon C:\Program Files\IOJ\IOJ Daemon.exe
<non signé> QuickTime Task C:\Program Files\QuickTime\QTTask.exe
<verifié> Programme d'installation de Google C:\Documents and Settings\Patrick\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
<verifié> Adobe Acrobat SpeedLauncher C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
<verifié> Apple Software Update C:\Program Files\Apple Software Update\SoftwareUpdate.exe
<verifié> Adobe Reader and Acrobat Manager C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
<verifié> AppleSyncNotifier C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
<verifié> iTunesHelper C:\Program Files\iTunes\iTunesHelper.exe
<verifié> Java(TM) Platform SE binary C:\Program Files\Java\jre6\bin\jusched.exe
<verifié> Ad-Aware Admin Application C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
<verifié> Propriétés de la connexion SFR C:\Program Files\Neuf\Kit\9props.exe
<verifié> FSAV Command-Line Scanner C:\Program Files\Pack Securite\Anti-Virus\fsav.exe
<verifié> F-Secure Settings and Statistics C:\Program Files\Pack Securite\Common\FSM32.EXE
<verifié> tnbutil C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe
<verifié> Realtek HD Audio Control Panel C:\WINDOWS\RTHDCPL.EXE
<verifié> ATI External Event Utility DLL Module C:\WINDOWS\system32\ati2evxx.dll
<verifié> Bibliothèque de l'interface utilisateur du navigat C:\WINDOWS\system32\browseui.dll
<verifié> Crypto API32 C:\WINDOWS\system32\crypt32.dll
<verifié> Crypto Network Related API C:\WINDOWS\system32\cryptnet.dll
<verifié> Agent réseau hors connexion C:\WINDOWS\system32\cscdll.dll
<verifié> CTF Loader C:\WINDOWS\system32\ctfmon.exe
<verifié> DIMS Notification Handler C:\WINDOWS\system32\dimsntfy.dll
<verifié> Windows Logon UI C:\WINDOWS\system32\logonui.exe
<verifié> Adobe Flash Player Helper 10.0 r42 C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
<verifié> OGAEXEC.exe C:\WINDOWS\system32\OGAEXEC.exe
<verifié> DLL secondaire de notification de service d'ouvert C:\WINDOWS\system32\sclgntfy.dll
<verifié> DLL commune du shell Windows C:\WINDOWS\system32\shell32.dll
<verifié> Objet du service d'environnement Systray C:\WINDOWS\system32\stobject.dll
<verifié> Application d'ouverture de session Userinit c:\windows\system32\userinit.exe
<verifié> Web Site Monitor C:\WINDOWS\system32\webcheck.dll
<verifié> Notifications Windows Genuine Advantage C:\WINDOWS\system32\WgaLogon.dll
<verifié> DLL commune de réception des notifications Winlogo C:\WINDOWS\system32\wlnotify.dll
<verifié> Windows Portable Device Shell Service Object C:\WINDOWS\system32\WPDShServiceObj.dll
Plugins du navigateur
---------------------
<non signé> Bonjour Namespace Provider C:\Program Files\Bonjour\mdnsNSP.dll
<non signé> nppdf32.FRA C:\Program Files\Internet Explorer\plugins\nppdf32.FRA
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin2.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin3.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin4.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin5.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin6.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin7.dll
<non signé> Java(TM) Quick Starter binary c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
<non signé> nppdf32.FRA C:\Program Files\Mozilla Firefox\plugins\nppdf32.FRA
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll
<non signé> RealJukebox Netscape Plugin C:\Program Files\Mozilla Firefox\plugins\nprjplug.dll
<non signé> 6.0.12.46 C:\Program Files\Mozilla Firefox\plugins\nprpjplug.dll
<non signé> RealJukebox Netscape Plugin C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
<non signé> 6.0.12.46 C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
<non signé> bdoscandel.exe C:\WINDOWS\bdoscandel.exe
<non signé> F-Secure Automatic Update Agent API DLL C:\WINDOWS\Downloaded Program Files\auc_lib.dll
<non signé> daas C:\WINDOWS\Downloaded Program Files\daas_s.dll
<non signé> F-Secure Health Check C:\WINDOWS\Downloaded Program Files\fscax.dll
<non signé> F-Secure Localization and Customization API librar C:\WINDOWS\Downloaded Program Files\fsld32.dll
<non signé> F-Secure Health Check Resource C:\WINDOWS\Downloaded Program Files\FSResource
<non signé> ipsupd.dll C:\WINDOWS\Downloaded Program Files\ipsupd.dll
<non signé> BitDefender Online Scanner C:\WINDOWS\Downloaded Program Files\oscan82.ocx
<non signé> Trend Micro House Call Managed Service core librar C:\WINDOWS\Downloaded Program Files\TmHCMSMgr.dll
<non signé> Trend Micro House Call Managed Service ActiveX C:\WINDOWS\Downloaded Program Files\TmHcmsX.ocx
<verifié> Adobe PDF Helper for Internet Explorer c:\program files\fichiers communs\adobe\acrobat\activex\acroiehelpershim.dll
<verifié> Picasa plugin C:\Program Files\Google\Picasa3\npPicasa3.dll
<verifié> Adobe PDF Plug-In For Firefox and Netscape C:\Program Files\Internet Explorer\plugins\nppdf32.dll
<verifié> npitunes.dll C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
<verifié> Java(TM) Platform SE binary c:\program files\java\jre6\bin\jp2ssv.dll
<verifié> Windows Messenger C:\Program Files\Messenger\msmsgs.exe
<verifié> 3.0.40818.0 C:\Program Files\Microsoft Silverlight\3.0.40818.0\npctrl.dll
<verifié> np-mswmp C:\Program Files\Mozilla Firefox\plugins\np-mswmp.dll
<verifié> NPRuntime Script Plug-in Library for Java(TM) Depl C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll
<verifié> Default Plug-in C:\Program Files\Mozilla Firefox\plugins\npnul32.dll
<verifié> Adobe PDF Plug-In For Firefox and Netscape C:\Program Files\Mozilla Firefox\plugins\nppdf32.dll
<verifié> RealPlayer(tm) LiveConnect-Enabled Plug-In C:\Program Files\Mozilla Firefox\plugins\nppl3260.dll
<verifié> Aide à la navigation SFR c:\program files\neuf\kit\sfrnaverrorhelper.dll
<verifié> F-Secure Protocol Scanner LSP C:\Program Files\Pack Securite\FSPS\program\fslsp.dll
<verifié> RealPlayer(tm) LiveConnect-Enabled Plug-In C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
<verifié> RealPlayer Download and Record Plugin for Internet c:\program files\real\realplayer\rpbrowserrecordplugin.dll
<verifié> SBSD IE Protection c:\program files\spybot - search & destroy\sdhelper.dll
<verifié> Yahoo Application State Plugin C:\Program Files\Yahoo!\Shared\npYState.dll
<verifié> Adobe® Flash® Player ActiveX Installer C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
<verifié> F-Secure GateLauncher C:\WINDOWS\Downloaded Program Files\gatelauncher.exe
<verifié> F-Secure GateLauncher C:\WINDOWS\Downloaded Program Files\gatelauncheradmin.exe
<verifié> Windows Presentation Foundation (WPF) plug-in for C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
<verifié> Network Diagnostic for Windows XP C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
<verifié> Internet Explorer C:\WINDOWS\system32\ieframe.dll
<verifié> NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
<verifié> Fournisseur de service Sockets 2.0 de Microsoft Wi C:\WINDOWS\system32\mswsock.dll
<verifié> Microsoft Windows Rsvp 1.0 Service Provider C:\WINDOWS\system32\rsvpsp.dll
<verifié> LDAP RnR Provider DLL C:\WINDOWS\system32\winrnr.dll
Analyse
-------
Aucun fichier téléchargé vers le serveur.
Analyse terminée - la communication a duré 4 secondes
Trafic total - 0.08 Mo envoyés, 3.65 Ko reçus
1529 fichiers et modules analysés - 80 seconds
Alors, qu'en pense-tu, Jacques ?
Amicalement
Pat
Passé un bon Noël ?
Voici la suite, après 2 jours d'absence:
J'ai passé Malwarebytes. Il a trouvé un Rogues. Je ne l'ai pas éliminé, comme tu me l'as demandé. De toute façon, si je l'élimine, comme d'habitude, il se fait une sauvegarde, qui reste invisible si je passe un second scan de Malwarebytes. Et il revient en double le jour d'après (sauvegarde + nouveau Rogues).
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3434
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
26/12/2009 20:09:15
mbam-log-2009-12-26 (20-09-10).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 195196
Temps écoulé: 1 hour(s), 32 minute(s), 7 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{1C91AF18-CB5B-4D26-887F-296A391F177A}\RP136\A0013247.vxd (Rogue.sysCleaner) -> No action taken.
Je me suis rendu sur https://www.virustotal.com/gui/
J'ai cliqué sur parcourir et cherché ce fichier :tmp.txt qui est ici: C:\WINDOWS\system32
Résultats: 0 bytes size received / Se ha recibido un archivo vacio
Il y avait 2 icones: tmp et txt.
J'ai alors passé Bitdefender...
Bitdefender donne cette analyse ci-dessous.
Par contre, après analyse, je peux chercher comme je veux, plus de tmp-txt (plus d'icones visibles sur syteme 32 !!)
BitDefender QuickScan Beta 32-bit v0.9.8.4
------------------------------------------
Date de l'analyse : Sat Dec 26 19:57:03 2009
ID de la machine : 9891FEE6
Aucune infection détectée.
----------------------------
Processus
---------
<non signé> Catalyst Control Centre: Host application 1960 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
<non signé> Catalyst Control Center: Monitoring program 1880 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\mom.exe
<non signé> Machine Debug Manager 1564 C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
<non signé> IOJ Daemon 236 C:\Program Files\IOJ\IOJ Daemon.exe
<non signé> PML Driver 1756 C:\WINDOWS\system32\HPZipm12.exe
<verifié> Bonjour Service 1016 C:\Program Files\Bonjour\mDNSResponder.exe
<verifié> Apple Mobile Device Service 940 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
<verifié> iPodService Module (32-bit) 3184 C:\Program Files\iPod\bin\iPodService.exe
<verifié> iTunesHelper 644 C:\Program Files\iTunes\iTunesHelper.exe
<verifié> Java(TM) Quick Starter Service 1240 C:\Program Files\Java\jre6\bin\jqs.exe
<verifié> Java(TM) Platform SE binary 652 C:\Program Files\Java\jre6\bin\jusched.exe
<verifié> Ad-Aware Service Application 1420 C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
<verifié> Ad-Aware Tray Application 3896 C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
<verifié> Malwarebytes' Anti-Malware 3796 C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
<verifié> Firefox 3284 C:\Program Files\Mozilla Firefox\firefox.exe
<verifié> Propriétés de la connexion SFR 1200 C:\Program Files\Neuf\Kit\9props.exe
<verifié> FSAV Handler 4012 C:\Program Files\Pack Securite\Anti-Virus\fsav32.exe
<verifié> Gatekeeper Handler II 1228 C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE
<verifié> F-Secure Anti-Virus Scanning Service 1148 C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
<verifié> F-Secure Quarantine Handler 2228 C:\Program Files\Pack Securite\Anti-Virus\fsqh.exe
<verifié> F-Secure Scanner Manager 2912 C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe
<verifié> F-Secure Alert and Management Extension Handler 2232 C:\Program Files\Pack Securite\Common\FAMEH32.EXE
<verifié> F-Secure Configuration Handler 1888 C:\Program Files\Pack Securite\Common\FCH32.EXE
<verifié> F-Secure Settings and Statistics 1308 C:\Program Files\Pack Securite\Common\FSM32.EXE
<verifié> F-Secure Management Agent 1204 C:\Program Files\Pack Securite\Common\FSMA32.EXE
<verifié> F-Secure Message Broker 1252 C:\Program Files\Pack Securite\Common\FSMB32.EXE
<verifié> F-Secure Automatic Update Agent 3004 C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
<verifié> F-Secure Automatic Update Agent - Run Upstreamer 3832 C:\Program Files\Pack Securite\FSAUA\program\fsus.exe
<verifié> F-Secure GUI component 2528 C:\Program Files\Pack Securite\FSGUI\fsguidll.exe
<verifié> FSAV FSM AV UI 3052 C:\Program Files\Pack Securite\FSGUI\scanwizard.exe
<verifié> F-Secure Parental Control 2320 C:\Program Files\Pack Securite\FSPC\fspc.exe
<verifié> F-Secure Internet Shield daemon 3100 C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
<verifié> F-Secure ORSP Service 2848 C:\Program Files\Pack Securite\ORSP Client\fsorsp.exe
<verifié> Explorateur Windows 520 C:\WINDOWS\Explorer.EXE
<verifié> Realtek HD Audio Control Panel 284 C:\WINDOWS\RTHDCPL.EXE
<verifié> Application Layer Gateway Service 3712 C:\WINDOWS\System32\alg.exe
<verifié> ATI External Event Utility EXE Module 1480 C:\WINDOWS\system32\Ati2evxx.exe
<verifié> ATI External Event Utility EXE Module 976 C:\WINDOWS\system32\Ati2evxx.exe
<verifié> Client Server Runtime Process 720 C:\WINDOWS\system32\csrss.exe
<verifié> CTF Loader 1160 C:\WINDOWS\system32\ctfmon.exe
<verifié> LSA Shell (Export Version) 804 C:\WINDOWS\system32\lsass.exe
<verifié> Applications Services et Contrôleur 792 C:\WINDOWS\system32\services.exe
<verifié> Gestionnaire de session Windows NT 660 C:\WINDOWS\System32\smss.exe
<verifié> Spooler SubSystem App 1640 C:\WINDOWS\system32\spoolsv.exe
<verifié> Generic Host Process for Win32 Services 704 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1376 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1180 C:\WINDOWS\System32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1292 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 988 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1068 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 280 C:\WINDOWS\system32\svchost.exe
<verifié> WMI 2800 C:\WINDOWS\system32\wbem\unsecapp.exe
<verifié> Service de la carte de performance WMI 3388 C:\WINDOWS\system32\wbem\wmiapsrv.exe
<verifié> WMI 3088 C:\WINDOWS\system32\wbem\wmiprvse.exe
<verifié> Application d'ouverture de session Windows NT 748 C:\WINDOWS\system32\winlogon.exe
Activité du réseau
------------------
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - a92-123-12-20.deploy.akamaitechnologies.com
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - ey-in-f101.1e100.net
Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com
Processus svchost.exe (1068) écoute sur les ports: 135 (RPC)
Processus fsaua.exe (3004) écoute sur les ports: 12110
Fichiers critiques et Autorun
-----------------------------
<non signé> IOJ Daemon C:\Program Files\IOJ\IOJ Daemon.exe
<non signé> QuickTime Task C:\Program Files\QuickTime\QTTask.exe
<verifié> Programme d'installation de Google C:\Documents and Settings\Patrick\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
<verifié> Adobe Acrobat SpeedLauncher C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
<verifié> Apple Software Update C:\Program Files\Apple Software Update\SoftwareUpdate.exe
<verifié> Adobe Reader and Acrobat Manager C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
<verifié> AppleSyncNotifier C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
<verifié> iTunesHelper C:\Program Files\iTunes\iTunesHelper.exe
<verifié> Java(TM) Platform SE binary C:\Program Files\Java\jre6\bin\jusched.exe
<verifié> Ad-Aware Admin Application C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
<verifié> Propriétés de la connexion SFR C:\Program Files\Neuf\Kit\9props.exe
<verifié> FSAV Command-Line Scanner C:\Program Files\Pack Securite\Anti-Virus\fsav.exe
<verifié> F-Secure Settings and Statistics C:\Program Files\Pack Securite\Common\FSM32.EXE
<verifié> tnbutil C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe
<verifié> Realtek HD Audio Control Panel C:\WINDOWS\RTHDCPL.EXE
<verifié> ATI External Event Utility DLL Module C:\WINDOWS\system32\ati2evxx.dll
<verifié> Bibliothèque de l'interface utilisateur du navigat C:\WINDOWS\system32\browseui.dll
<verifié> Crypto API32 C:\WINDOWS\system32\crypt32.dll
<verifié> Crypto Network Related API C:\WINDOWS\system32\cryptnet.dll
<verifié> Agent réseau hors connexion C:\WINDOWS\system32\cscdll.dll
<verifié> CTF Loader C:\WINDOWS\system32\ctfmon.exe
<verifié> DIMS Notification Handler C:\WINDOWS\system32\dimsntfy.dll
<verifié> Windows Logon UI C:\WINDOWS\system32\logonui.exe
<verifié> Adobe Flash Player Helper 10.0 r42 C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
<verifié> OGAEXEC.exe C:\WINDOWS\system32\OGAEXEC.exe
<verifié> DLL secondaire de notification de service d'ouvert C:\WINDOWS\system32\sclgntfy.dll
<verifié> DLL commune du shell Windows C:\WINDOWS\system32\shell32.dll
<verifié> Objet du service d'environnement Systray C:\WINDOWS\system32\stobject.dll
<verifié> Application d'ouverture de session Userinit c:\windows\system32\userinit.exe
<verifié> Web Site Monitor C:\WINDOWS\system32\webcheck.dll
<verifié> Notifications Windows Genuine Advantage C:\WINDOWS\system32\WgaLogon.dll
<verifié> DLL commune de réception des notifications Winlogo C:\WINDOWS\system32\wlnotify.dll
<verifié> Windows Portable Device Shell Service Object C:\WINDOWS\system32\WPDShServiceObj.dll
Plugins du navigateur
---------------------
<non signé> Bonjour Namespace Provider C:\Program Files\Bonjour\mdnsNSP.dll
<non signé> nppdf32.FRA C:\Program Files\Internet Explorer\plugins\nppdf32.FRA
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin2.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin3.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin4.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin5.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin6.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins\npqtplugin7.dll
<non signé> Java(TM) Quick Starter binary c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
<non signé> nppdf32.FRA C:\Program Files\Mozilla Firefox\plugins\nppdf32.FRA
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll
<non signé> The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll
<non signé> RealJukebox Netscape Plugin C:\Program Files\Mozilla Firefox\plugins\nprjplug.dll
<non signé> 6.0.12.46 C:\Program Files\Mozilla Firefox\plugins\nprpjplug.dll
<non signé> RealJukebox Netscape Plugin C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
<non signé> 6.0.12.46 C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
<non signé> bdoscandel.exe C:\WINDOWS\bdoscandel.exe
<non signé> F-Secure Automatic Update Agent API DLL C:\WINDOWS\Downloaded Program Files\auc_lib.dll
<non signé> daas C:\WINDOWS\Downloaded Program Files\daas_s.dll
<non signé> F-Secure Health Check C:\WINDOWS\Downloaded Program Files\fscax.dll
<non signé> F-Secure Localization and Customization API librar C:\WINDOWS\Downloaded Program Files\fsld32.dll
<non signé> F-Secure Health Check Resource C:\WINDOWS\Downloaded Program Files\FSResource
<non signé> ipsupd.dll C:\WINDOWS\Downloaded Program Files\ipsupd.dll
<non signé> BitDefender Online Scanner C:\WINDOWS\Downloaded Program Files\oscan82.ocx
<non signé> Trend Micro House Call Managed Service core librar C:\WINDOWS\Downloaded Program Files\TmHCMSMgr.dll
<non signé> Trend Micro House Call Managed Service ActiveX C:\WINDOWS\Downloaded Program Files\TmHcmsX.ocx
<verifié> Adobe PDF Helper for Internet Explorer c:\program files\fichiers communs\adobe\acrobat\activex\acroiehelpershim.dll
<verifié> Picasa plugin C:\Program Files\Google\Picasa3\npPicasa3.dll
<verifié> Adobe PDF Plug-In For Firefox and Netscape C:\Program Files\Internet Explorer\plugins\nppdf32.dll
<verifié> npitunes.dll C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
<verifié> Java(TM) Platform SE binary c:\program files\java\jre6\bin\jp2ssv.dll
<verifié> Windows Messenger C:\Program Files\Messenger\msmsgs.exe
<verifié> 3.0.40818.0 C:\Program Files\Microsoft Silverlight\3.0.40818.0\npctrl.dll
<verifié> np-mswmp C:\Program Files\Mozilla Firefox\plugins\np-mswmp.dll
<verifié> NPRuntime Script Plug-in Library for Java(TM) Depl C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll
<verifié> Default Plug-in C:\Program Files\Mozilla Firefox\plugins\npnul32.dll
<verifié> Adobe PDF Plug-In For Firefox and Netscape C:\Program Files\Mozilla Firefox\plugins\nppdf32.dll
<verifié> RealPlayer(tm) LiveConnect-Enabled Plug-In C:\Program Files\Mozilla Firefox\plugins\nppl3260.dll
<verifié> Aide à la navigation SFR c:\program files\neuf\kit\sfrnaverrorhelper.dll
<verifié> F-Secure Protocol Scanner LSP C:\Program Files\Pack Securite\FSPS\program\fslsp.dll
<verifié> RealPlayer(tm) LiveConnect-Enabled Plug-In C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
<verifié> RealPlayer Download and Record Plugin for Internet c:\program files\real\realplayer\rpbrowserrecordplugin.dll
<verifié> SBSD IE Protection c:\program files\spybot - search & destroy\sdhelper.dll
<verifié> Yahoo Application State Plugin C:\Program Files\Yahoo!\Shared\npYState.dll
<verifié> Adobe® Flash® Player ActiveX Installer C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
<verifié> F-Secure GateLauncher C:\WINDOWS\Downloaded Program Files\gatelauncher.exe
<verifié> F-Secure GateLauncher C:\WINDOWS\Downloaded Program Files\gatelauncheradmin.exe
<verifié> Windows Presentation Foundation (WPF) plug-in for C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
<verifié> Network Diagnostic for Windows XP C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
<verifié> Internet Explorer C:\WINDOWS\system32\ieframe.dll
<verifié> NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
<verifié> Fournisseur de service Sockets 2.0 de Microsoft Wi C:\WINDOWS\system32\mswsock.dll
<verifié> Microsoft Windows Rsvp 1.0 Service Provider C:\WINDOWS\system32\rsvpsp.dll
<verifié> LDAP RnR Provider DLL C:\WINDOWS\system32\winrnr.dll
Analyse
-------
Aucun fichier téléchargé vers le serveur.
Analyse terminée - la communication a duré 4 secondes
Trafic total - 0.08 Mo envoyés, 3.65 Ko reçus
1529 fichiers et modules analysés - 80 seconds
Alors, qu'en pense-tu, Jacques ?
Amicalement
Pat
bonjour, aucune expliquation au problème pourrais tu faire une dernière chose car après si on trouves pas de lien désolé !!
peux tu quand tu as C:\WINDOWS\system32\Memman.vxd sur ton pc faire une recherche avec saef tu va me dire on a déjà essaié mais il n'était peut être pas sur le pc à se moment la , et j'avais pas mis l"extention avec
Lien de téléchargement : http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
Miroir : https://www.androidworld.fr/
Double cliquez sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista et Seven) .
Une fenêtre "cmd" va s'ouvrir .
Tapez le script demandé dans cette fenêtre
Memman.vxd
et Entrée.
Patientez pendant la recherche.
Une fenêtre avec un log .txt va s'afficher.
Copiez/collez ce rapport sur un forum adapté.
peux tu quand tu as C:\WINDOWS\system32\Memman.vxd sur ton pc faire une recherche avec saef tu va me dire on a déjà essaié mais il n'était peut être pas sur le pc à se moment la , et j'avais pas mis l"extention avec
Lien de téléchargement : http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
Miroir : https://www.androidworld.fr/
Double cliquez sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista et Seven) .
Une fenêtre "cmd" va s'ouvrir .
Tapez le script demandé dans cette fenêtre
Memman.vxd
et Entrée.
Patientez pendant la recherche.
Une fenêtre avec un log .txt va s'afficher.
Copiez/collez ce rapport sur un forum adapté.
Merci Jacques...
Oki, je ferais cela demain (quand il sera là). En ce moment, il est aux abonnés absents.
Passe une bonne nuit en attendant !
Fait des beaux rêves et encore mille merci pour ta gentillesse :-)
Amicalement
Pat
Oki, je ferais cela demain (quand il sera là). En ce moment, il est aux abonnés absents.
Passe une bonne nuit en attendant !
Fait des beaux rêves et encore mille merci pour ta gentillesse :-)
Amicalement
Pat
je me suis posé la question sur l'extention .vxd et je lis des chose qui font allusion à des lecteurs virtuel
https://vxd.extensionfile.net/fr
https://vxd.extensionfile.net/fr
Qu'est ce que ça vient foutre ici, cette extension Vxd ???
Normalement, elle ne devrait plus exister sur Windows XP, non ?
https://fr.wikipedia.org/wiki/VxD
https://www.techno-science.net/definition/7627.html
J'ai associé la recherche avec Rogue, et j'ai trouvé ceci:
http://assiste.forum.free.fr/viewtopic.php?t=20481 https://forums.whatthetech.com/index.php?s=acea4529dfd4361626ee5ae0d41c37b7&showtopic=106417&st=15&start=15
https://community.kaspersky.com/
http://www.malwarebytes.org/forums/lofiversion/index.php/t13658.html
http://www.antivirusreviews.us/1135/remove-syscleanerpro-memmanvxd-rogue/ (attention, attaques possibles)
Et ca continue comme ça sur des mètres. Ce serait assez récent...
Seulement, perso, je suis assez nul pour vraiment comprendre.
Et toi ?
C'est quelque chose de nouveau ?
Bonne nuit à toi, Jacques
Amicalement
Pat
Normalement, elle ne devrait plus exister sur Windows XP, non ?
https://fr.wikipedia.org/wiki/VxD
https://www.techno-science.net/definition/7627.html
J'ai associé la recherche avec Rogue, et j'ai trouvé ceci:
http://assiste.forum.free.fr/viewtopic.php?t=20481 https://forums.whatthetech.com/index.php?s=acea4529dfd4361626ee5ae0d41c37b7&showtopic=106417&st=15&start=15
https://community.kaspersky.com/
http://www.malwarebytes.org/forums/lofiversion/index.php/t13658.html
http://www.antivirusreviews.us/1135/remove-syscleanerpro-memmanvxd-rogue/ (attention, attaques possibles)
Et ca continue comme ça sur des mètres. Ce serait assez récent...
Seulement, perso, je suis assez nul pour vraiment comprendre.
Et toi ?
C'est quelque chose de nouveau ?
Bonne nuit à toi, Jacques
Amicalement
Pat
Cher Jacques...
Je n'ai pas donné de nouvelles, pardonne-moi...
En réalité, j'ai effacé hier (ou avant hier ??) les fichiers que Malwarebytes enregistre sous "mes documents" après chaque scan.
Depuis, j'ai refait un passage de Malwarebytes et il n'a plus rien trouvé.
Quand je rentre ceci: C:\WINDOWS\system32\memman.vdx dans la fenêtre de la fonction Executer dans Windows, la machine me dit qu'elle ne trouve pas Nemman.vdx.
Ce soir, je repasserais un coup de Malwarebytes... pour voir. D'ailleurs, je vais le faire tous les jours à présent.
Et changer tout mes codes, par la même occasion.
Ca va être super galère....
Je te donne des nouvelles de l'évolution.
En espérant très sincèrement ne pas avoir à t'emmerder à nouveau prochainement...
Amicalement
Pat
Je n'ai pas donné de nouvelles, pardonne-moi...
En réalité, j'ai effacé hier (ou avant hier ??) les fichiers que Malwarebytes enregistre sous "mes documents" après chaque scan.
Depuis, j'ai refait un passage de Malwarebytes et il n'a plus rien trouvé.
Quand je rentre ceci: C:\WINDOWS\system32\memman.vdx dans la fenêtre de la fonction Executer dans Windows, la machine me dit qu'elle ne trouve pas Nemman.vdx.
Ce soir, je repasserais un coup de Malwarebytes... pour voir. D'ailleurs, je vais le faire tous les jours à présent.
Et changer tout mes codes, par la même occasion.
Ca va être super galère....
Je te donne des nouvelles de l'évolution.
En espérant très sincèrement ne pas avoir à t'emmerder à nouveau prochainement...
Amicalement
Pat
tu ne m'emmerdes pas c'est moi que ça emmerde de pas pouvoir te trouver une solution
essais de faire le message 31 dés qu'il est sur le pc avant de supprimer des fois que l'on aurrais des liens avec qui nous permetterait de savoir avec qui il est !!
essais de faire le message 31 dés qu'il est sur le pc avant de supprimer des fois que l'on aurrais des liens avec qui nous permetterait de savoir avec qui il est !!
