Rapport ZPHDiag virus ou malware???
Ninette
-
sKe69 Messages postés 21955 Statut Contributeur sécurité -
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
Mon ordi rame a fond (enfin, celui de mes parents d'ailleurs, ca arrange rien :S)
Je suis certaine que c'est un virus (vu qu'il y a quatre jours, il fonctionnait très bien...)!
J'ai un peu cherché sur le forum et donc, voilà le lien pour le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijNPnrDx3.txt
Merci d'avance!
Mon ordi rame a fond (enfin, celui de mes parents d'ailleurs, ca arrange rien :S)
Je suis certaine que c'est un virus (vu qu'il y a quatre jours, il fonctionnait très bien...)!
J'ai un peu cherché sur le forum et donc, voilà le lien pour le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijNPnrDx3.txt
Merci d'avance!
A voir également:
- Rapport ZPHDiag virus ou malware???
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Virus mcafee - Accueil - Piratage
- Plan rapport de stage - Guide
- Win64 malware gen - Forum Virus
- Virus facebook demande d'amis - Accueil - Facebook
8 réponses
Salut,
ça rame ... tu m'étonnes !!!!
0 % d'espace libre sur le disque dur ! ...
256 Mo de RAM ( ce qui est très light ) qui est utilisé à 92 % ! ....
Commence par faire de la place en désinstallement quelques prg inutiles et supprimant ( ou déplaçant ) les gros fichiers telque les films , photos etc ...
Disintalle proprement Spybot S&D qui est lourd pour le systême et inutile faces aux nouvelles menace ....
Tu as aussi une belle infection via les supports amovibles , cela malgré USB Disk Security ( que tu devrais désinstaller également ) ...
Une fois tout ceci fait , revient avec un tout nouveau rapport ZHPDiag et on attaquera le nettoyage ....
ça rame ... tu m'étonnes !!!!
0 % d'espace libre sur le disque dur ! ...
256 Mo de RAM ( ce qui est très light ) qui est utilisé à 92 % ! ....
Commence par faire de la place en désinstallement quelques prg inutiles et supprimant ( ou déplaçant ) les gros fichiers telque les films , photos etc ...
Disintalle proprement Spybot S&D qui est lourd pour le systême et inutile faces aux nouvelles menace ....
Tu as aussi une belle infection via les supports amovibles , cela malgré USB Disk Security ( que tu devrais désinstaller également ) ...
Une fois tout ceci fait , revient avec un tout nouveau rapport ZHPDiag et on attaquera le nettoyage ....
Re,
voilà qui est nettement mieux ...
/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).
Commence par faire ceci :
Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :
ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097
! Déconnecte toi d'internet et ferme toutes applications en cours !
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.
# Choisis l' option 1 ( Recherche )
# Laisse travailler l'outil et ne touche à rien pendant le scan .
# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.
Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html
voilà qui est nettement mieux ...
/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).
Commence par faire ceci :
Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :
ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097
! Déconnecte toi d'internet et ferme toutes applications en cours !
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.
# Choisis l' option 1 ( Recherche )
# Laisse travailler l'outil et ne touche à rien pendant le scan .
# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.
Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html
Bonjour!
Au fait est-t-il possible d'être infecté via CD gravés (ma mère, je la comprends, s'est fachée avec les clés USB)
Voilà le rapport:
############################## | UsbFix V6.097 |
User : MAISON (Administrateurs) # XPSP2-66E0E0417
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 05:16:14 | 22/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Athlon(tm) XP 2600+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100225-0] 4.8.1368 [ Enabled | Updated ]
C:\ -> Disque fixe local # 19,53 Go (4,69 Go free) [DD principal] # NTFS
D:\ -> Disque fixe local # 48,83 Go (1,5 Go free) [**********] # NTFS
E:\ -> Disque fixe local # 46,12 Go (14,94 Go free) [*******] # NTFS
F:\ -> Disque CD-ROM
H:\ -> Disque amovible # 3,62 Go (1,71 Go free) [IPOD] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
E:\Mozilla\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Elements infectieux |
################## | Registre |
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{15c76500-40de-11de-bb0b-0050703413cc}
sheLl\auToPlay\cOmmand =F:\jhsu.exe
sheLl\AutoRun\command =F:\jhsu.exe
sheLl\ExploRe\CoMmAnD =F:\jhsu.exe
sheLl\oPEn\Command =F:\jhsu.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné !
################## | ! Fin du rapport # UsbFix V6.097 ! |
Au fait est-t-il possible d'être infecté via CD gravés (ma mère, je la comprends, s'est fachée avec les clés USB)
Voilà le rapport:
############################## | UsbFix V6.097 |
User : MAISON (Administrateurs) # XPSP2-66E0E0417
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 05:16:14 | 22/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Athlon(tm) XP 2600+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100225-0] 4.8.1368 [ Enabled | Updated ]
C:\ -> Disque fixe local # 19,53 Go (4,69 Go free) [DD principal] # NTFS
D:\ -> Disque fixe local # 48,83 Go (1,5 Go free) [**********] # NTFS
E:\ -> Disque fixe local # 46,12 Go (14,94 Go free) [*******] # NTFS
F:\ -> Disque CD-ROM
H:\ -> Disque amovible # 3,62 Go (1,71 Go free) [IPOD] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
E:\Mozilla\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Elements infectieux |
################## | Registre |
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{15c76500-40de-11de-bb0b-0050703413cc}
sheLl\auToPlay\cOmmand =F:\jhsu.exe
sheLl\AutoRun\command =F:\jhsu.exe
sheLl\ExploRe\CoMmAnD =F:\jhsu.exe
sheLl\oPEn\Command =F:\jhsu.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné !
################## | ! Fin du rapport # UsbFix V6.097 ! |
Hello,
Au fait est-t-il possible d'être infecté via CD gravés (ma mère, je la comprends, s'est fachée avec les clés USB)
Rare , mais c'est possible ... si elle a copier sans savoir un autorun infectieux .... mais ne met pas ce CD car l'outil ne pourra pas " dégraver " une infection sur ce type de support ... ^^
la suite dans l'ordre :
1- ! Déconnecte toi d'internet et ferme toutes applications en cours !
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .
# Cette fois ci , tu choisis l' option 2 ( Suppression ) .
> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .
# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).
/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\
======================
2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
Au fait est-t-il possible d'être infecté via CD gravés (ma mère, je la comprends, s'est fachée avec les clés USB)
Rare , mais c'est possible ... si elle a copier sans savoir un autorun infectieux .... mais ne met pas ce CD car l'outil ne pourra pas " dégraver " une infection sur ce type de support ... ^^
la suite dans l'ordre :
1- ! Déconnecte toi d'internet et ferme toutes applications en cours !
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .
# Cette fois ci , tu choisis l' option 2 ( Suppression ) .
> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .
# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).
/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\
======================
2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
Voici le rapport USB Fix
############################## | UsbFix V6.097 |
User : MAISON (Administrateurs) # XPSP2-66E0E0417
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 07:11:30 | 22/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Athlon(tm) XP 2600+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100225-0] 4.8.1368 [ Enabled | Updated ]
C:\ -> Disque fixe local # 19,53 Go (4,65 Go free) [DD principal] # NTFS
D:\ -> Disque fixe local # 48,83 Go (1,5 Go free) [Poppy et Fanja] # NTFS
E:\ -> Disque fixe local # 46,12 Go (14,94 Go free) [Irina] # NTFS
F:\ -> Disque CD-ROM
H:\ -> Disque amovible # 3,62 Go (1,71 Go free) [IPOD] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
################## | Elements infectieux |
Supprimé ! C:\Recycler\S-1-5-21-1757981266-1659004503-839522115-1003
Supprimé ! D:\Recycler\S-1-5-21-1757981266-1659004503-839522115-1003
Supprimé ! E:\Recycler\S-1-5-21-1757981266-1659004503-839522115-1003
################## | Registre |
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
################## | Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{15c76500-40de-11de-bb0b-0050703413cc}\Shell\auToPlay\Command
################## | Listing des fichiers présent |
[03/05/2009 14:03|--a------|0] C:\AUTOEXEC.BAT
[03/05/2009 14:36|---hs----|212] C:\boot.ini
[24/08/2001 15:00|-rahs----|4952] C:\Bootfont.bin
[03/05/2009 14:03|--a------|0] C:\CONFIG.SYS
[03/05/2009 14:03|-rahs----|0] C:\IO.SYS
[03/05/2009 14:03|-rahs----|0] C:\MSDOS.SYS
[04/08/2004 00:38|-rahs----|47564] C:\NTDETECT.COM
[04/08/2004 00:59|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[22/02/2010 07:15|--a------|2748] C:\UsbFix.txt
[21/02/2010 14:09|--a------|2097152] E:\avira_antivir_personal_fr.exe
[28/12/2009 17:13|--a------|1998] E:\CFMI.txt
[29/12/2009 13:15|--a------|25088] E:\CinquiŠmes, la voix.doc
[21/02/2010 16:32|--a------|1769472] E:\mbam-setup.exe
[29/12/2009 13:22|--a------|10332] E:\QuatriŠmes, musique et grandes inventions.docx
[29/12/2009 13:18|--a------|22016] E:\SixiŠmes, percussions.doc
[01/01/2000 02:18|---------|0] H:\.metadata_never_index
[11/01/2010 21:13|--a------|22016] H:\SIXEMES.doc
[30/12/2009 01:45|--a------|134144] H:\CV.doc
[06/01/2010 14:26|--a------|30933548] H:\Dans ma case en falafa__Henri Ratsimbazafy_kara.wav
[09/02/2010 08:34|--a------|4732457] H:\partoches6.rar
[02/09/2009 16:50|--a------|115156] H:\cfmi_orsay_candidature.pdf
[02/09/2009 16:48|--a------|117572] H:\annales test cfmi orsay.pdf
[02/09/2009 16:56|--a------|619632] H:\cfmi_orsay_guide.pdf
[06/01/2010 14:14|--a------|1402880] H:\Dans ma case en falafa__Henri Ratsimbazafy.mp3
[11/01/2010 21:35|--a------|20480] H:\CINQUIEMES.doc
[11/01/2010 22:18|--a------|20992] H:\QUATRIEMES.doc
[09/02/2010 09:29|--a------|3694737] H:\partoches7.rar
[14/01/2010 21:14|--a------|7426] H:\projet danse.aup
[19/01/2010 08:07|--a------|9996281] H:\partoches2(2).rar
[08/12/2009 15:56|--ah-----|4096] H:\._.Trashes
[08/12/2009 15:56|--ah-----|4096] H:\._iPod_Control
[08/12/2009 15:56|--ah-----|34201] H:\.VolumeIcon.icns
[08/12/2009 15:56|--ah-----|4096] H:\._.VolumeIcon.icns
[08/12/2009 15:56|--ah-----|4096] H:\._?
[19/01/2010 08:25|--a------|5178337] H:\partoches4.rar
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
################## | Upload |
Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_XPSP2-66E0E0417.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.097 ! |
et le rapport ZHP
http://www.cijoint.fr/cjlink.php?file=cj201002/cijE7VH8T7.txt
Est-ce normal que lorsque j'ai fait le rapport ZHP, on m'aie demander d'accepter des licences comme si j'allais intaller qqch? (c'était en anglais ....)
Au cas ou, j'ai "decline"!
############################## | UsbFix V6.097 |
User : MAISON (Administrateurs) # XPSP2-66E0E0417
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 07:11:30 | 22/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Athlon(tm) XP 2600+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100225-0] 4.8.1368 [ Enabled | Updated ]
C:\ -> Disque fixe local # 19,53 Go (4,65 Go free) [DD principal] # NTFS
D:\ -> Disque fixe local # 48,83 Go (1,5 Go free) [Poppy et Fanja] # NTFS
E:\ -> Disque fixe local # 46,12 Go (14,94 Go free) [Irina] # NTFS
F:\ -> Disque CD-ROM
H:\ -> Disque amovible # 3,62 Go (1,71 Go free) [IPOD] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
################## | Elements infectieux |
Supprimé ! C:\Recycler\S-1-5-21-1757981266-1659004503-839522115-1003
Supprimé ! D:\Recycler\S-1-5-21-1757981266-1659004503-839522115-1003
Supprimé ! E:\Recycler\S-1-5-21-1757981266-1659004503-839522115-1003
################## | Registre |
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
################## | Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{15c76500-40de-11de-bb0b-0050703413cc}\Shell\auToPlay\Command
################## | Listing des fichiers présent |
[03/05/2009 14:03|--a------|0] C:\AUTOEXEC.BAT
[03/05/2009 14:36|---hs----|212] C:\boot.ini
[24/08/2001 15:00|-rahs----|4952] C:\Bootfont.bin
[03/05/2009 14:03|--a------|0] C:\CONFIG.SYS
[03/05/2009 14:03|-rahs----|0] C:\IO.SYS
[03/05/2009 14:03|-rahs----|0] C:\MSDOS.SYS
[04/08/2004 00:38|-rahs----|47564] C:\NTDETECT.COM
[04/08/2004 00:59|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[22/02/2010 07:15|--a------|2748] C:\UsbFix.txt
[21/02/2010 14:09|--a------|2097152] E:\avira_antivir_personal_fr.exe
[28/12/2009 17:13|--a------|1998] E:\CFMI.txt
[29/12/2009 13:15|--a------|25088] E:\CinquiŠmes, la voix.doc
[21/02/2010 16:32|--a------|1769472] E:\mbam-setup.exe
[29/12/2009 13:22|--a------|10332] E:\QuatriŠmes, musique et grandes inventions.docx
[29/12/2009 13:18|--a------|22016] E:\SixiŠmes, percussions.doc
[01/01/2000 02:18|---------|0] H:\.metadata_never_index
[11/01/2010 21:13|--a------|22016] H:\SIXEMES.doc
[30/12/2009 01:45|--a------|134144] H:\CV.doc
[06/01/2010 14:26|--a------|30933548] H:\Dans ma case en falafa__Henri Ratsimbazafy_kara.wav
[09/02/2010 08:34|--a------|4732457] H:\partoches6.rar
[02/09/2009 16:50|--a------|115156] H:\cfmi_orsay_candidature.pdf
[02/09/2009 16:48|--a------|117572] H:\annales test cfmi orsay.pdf
[02/09/2009 16:56|--a------|619632] H:\cfmi_orsay_guide.pdf
[06/01/2010 14:14|--a------|1402880] H:\Dans ma case en falafa__Henri Ratsimbazafy.mp3
[11/01/2010 21:35|--a------|20480] H:\CINQUIEMES.doc
[11/01/2010 22:18|--a------|20992] H:\QUATRIEMES.doc
[09/02/2010 09:29|--a------|3694737] H:\partoches7.rar
[14/01/2010 21:14|--a------|7426] H:\projet danse.aup
[19/01/2010 08:07|--a------|9996281] H:\partoches2(2).rar
[08/12/2009 15:56|--ah-----|4096] H:\._.Trashes
[08/12/2009 15:56|--ah-----|4096] H:\._iPod_Control
[08/12/2009 15:56|--ah-----|34201] H:\.VolumeIcon.icns
[08/12/2009 15:56|--ah-----|4096] H:\._.VolumeIcon.icns
[08/12/2009 15:56|--ah-----|4096] H:\._?
[19/01/2010 08:25|--a------|5178337] H:\partoches4.rar
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
################## | Upload |
Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_XPSP2-66E0E0417.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.097 ! |
et le rapport ZHP
http://www.cijoint.fr/cjlink.php?file=cj201002/cijE7VH8T7.txt
Est-ce normal que lorsque j'ai fait le rapport ZHP, on m'aie demander d'accepter des licences comme si j'allais intaller qqch? (c'était en anglais ....)
Au cas ou, j'ai "decline"!
Re,
pour ZHPDiag , la prochaine fois accepte la license .... ( c'est pour qu'il puisse sortir les infos du module 065 ) ...
on continue .... dans l'ordre :
1- Télécharge et installe la dernière version de CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.
Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
=======================
2- Télécharges Malwarebytes' :
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebytes' .
Fais un examen dit "RAPIDE" .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...
=============================
3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
pour ZHPDiag , la prochaine fois accepte la license .... ( c'est pour qu'il puisse sortir les infos du module 065 ) ...
on continue .... dans l'ordre :
1- Télécharge et installe la dernière version de CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.
Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
=======================
2- Télécharges Malwarebytes' :
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebytes' .
Fais un examen dit "RAPIDE" .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...
=============================
3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
Impec ....
re-tentes de mettre à jour Malwarebytes ... dis moi ci cela a fonctionné cette fois et je te donne la suite ....
re-tentes de mettre à jour Malwarebytes ... dis moi ci cela a fonctionné cette fois et je te donne la suite ....
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bon ...
fait ceci stp :
1- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) :
http://www2.gmer.net/gmer.zip
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!
* Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte.
* Clique sur l'onglet "rootkit", puis clique sur scan.
* A la fin du scan, clique sur le bouton copy.
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
> poste le rapport stp ...
==========================
2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :
ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/
! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !
• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option "S" et tape sur [entrée] .
• le scan démarre , laisse travailler l'outil et ne touche à rien ...
/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )
--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...
( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html
fait ceci stp :
1- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) :
http://www2.gmer.net/gmer.zip
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!
* Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte.
* Clique sur l'onglet "rootkit", puis clique sur scan.
* A la fin du scan, clique sur le bouton copy.
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
> poste le rapport stp ...
==========================
2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :
ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/
! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !
• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option "S" et tape sur [entrée] .
• le scan démarre , laisse travailler l'outil et ne touche à rien ...
/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )
--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...
( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html
Rapport GMER
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-22 16:12:48
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\MAISON\LOCALS~1\Temp\kfporfog.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF7EBC6B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF7EBC574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF7EBCA52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF7EBC14C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF7EBC64E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF7EBC08C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF7EBC0F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF7EBC76E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF7EBC72E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF7EBC8AE]
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[812] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002
IAT C:\WINDOWS\system32\services.exe[812] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\prodrv06 \Device\ProDrv06 E1804578
Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\prohlp02 \Device\ProHlp02 E1726658
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Nero AG)
---- EOF - GMER 1.0.15 ----
Rapport Ad-remover
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:17:35, 22/02/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: XPSP2-66E0E0417 | Utilisateur actuel: MAISON
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.6 [fr] *
.
Nom du profil: unssi9sv.default (MAISON)
.
(MAISON, prefs.js) Browser.download.lastDir, E:
(MAISON, prefs.js) Extensions.enabledItems, {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Bar: hxxp://www.yahoo.com/search/ie.html
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
default_page_url: hxxp://www.microsoft.com
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Error: Value: "Tabs" does not exist!
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\MAISON\Bureau\util\AVG Antivirus 8 0 + serial (EXPIRES YEAR 2018) (CLEAN) [blaze69]\avg_avwt_stf_all_8_199a1389.exe
C:\Documents and Settings\MAISON\Bureau\util\son\AC97_via\Vinyl\CPL\vpatch.exe
C:\Documents and Settings\MAISON\Bureau\util\son\via686\Via686\ADeck\VPatch.exe
.
===================================
.
2275 Octet(s) - C:\Ad-Report-SCAN[1].log
.
1 Fichier(s) - C:\DOCUME~1\MAISON\LOCALS~1\Temp
2 Fichier(s) - C:\WINDOWS\Temp
63 Fichier(s) - C:\WINDOWS\Prefetch
.
1 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 16:22:33 | 22/02/2010 - SCAN[1]
.
============== E.O.F ==============
.
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-22 16:12:48
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\MAISON\LOCALS~1\Temp\kfporfog.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF7EBC6B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF7EBC574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF7EBCA52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF7EBC14C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF7EBC64E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF7EBC08C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF7EBC0F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF7EBC76E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF7EBC72E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF7EBC8AE]
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[812] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002
IAT C:\WINDOWS\system32\services.exe[812] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\prodrv06 \Device\ProDrv06 E1804578
Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\prohlp02 \Device\ProHlp02 E1726658
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Nero AG)
---- EOF - GMER 1.0.15 ----
Rapport Ad-remover
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:17:35, 22/02/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: XPSP2-66E0E0417 | Utilisateur actuel: MAISON
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.6 [fr] *
.
Nom du profil: unssi9sv.default (MAISON)
.
(MAISON, prefs.js) Browser.download.lastDir, E:
(MAISON, prefs.js) Extensions.enabledItems, {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Bar: hxxp://www.yahoo.com/search/ie.html
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
default_page_url: hxxp://www.microsoft.com
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Error: Value: "Tabs" does not exist!
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\MAISON\Bureau\util\AVG Antivirus 8 0 + serial (EXPIRES YEAR 2018) (CLEAN) [blaze69]\avg_avwt_stf_all_8_199a1389.exe
C:\Documents and Settings\MAISON\Bureau\util\son\AC97_via\Vinyl\CPL\vpatch.exe
C:\Documents and Settings\MAISON\Bureau\util\son\via686\Via686\ADeck\VPatch.exe
.
===================================
.
2275 Octet(s) - C:\Ad-Report-SCAN[1].log
.
1 Fichier(s) - C:\DOCUME~1\MAISON\LOCALS~1\Temp
2 Fichier(s) - C:\WINDOWS\Temp
63 Fichier(s) - C:\WINDOWS\Prefetch
.
1 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 16:22:33 | 22/02/2010 - SCAN[1]
.
============== E.O.F ==============
.
bien ...
encore un peu de nettoyage et on finalise ... dans l'ordre :
1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !
• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .
• Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...
/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )
--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...
( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log)
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
==========================
2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
encore un peu de nettoyage et on finalise ... dans l'ordre :
1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !
• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .
• Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...
/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )
--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...
( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log)
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
==========================
2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
Rapport Ad remover
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:44:40, 22/02/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: XPSP2-66E0E0417 | Utilisateur actuel: MAISON
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.6 [fr] *
.
Nom du profil: unssi9sv.default (MAISON)
.
(MAISON, prefs.js) Browser.download.lastDir, E:
(MAISON, prefs.js) Extensions.enabledItems, {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\MAISON\Bureau\util\AVG Antivirus 8 0 + serial (EXPIRES YEAR 2018) (CLEAN) [blaze69]\avg_avwt_stf_all_8_199a1389.exe
C:\Documents and Settings\MAISON\Bureau\util\son\AC97_via\Vinyl\CPL\vpatch.exe
C:\Documents and Settings\MAISON\Bureau\util\son\via686\Via686\ADeck\VPatch.exe
.
===================================
.
2353 Octet(s) - C:\Ad-Report-CLEAN[1].log
2609 Octet(s) - C:\Ad-Report-SCAN[1].log
.
1 Fichier(s) - C:\DOCUME~1\MAISON\LOCALS~1\Temp
4 Fichier(s) - C:\WINDOWS\Temp
10 Fichier(s) - C:\WINDOWS\Prefetch
.
19 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 16:47:10 | 22/02/2010 - CLEAN[1]
.
============== E.O.F ==============
.
rapport ZPHDiag
http://www.cijoint.fr/cjlink.php?file=cj201002/cijxZWtl5p.txt
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:44:40, 22/02/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: XPSP2-66E0E0417 | Utilisateur actuel: MAISON
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.6 [fr] *
.
Nom du profil: unssi9sv.default (MAISON)
.
(MAISON, prefs.js) Browser.download.lastDir, E:
(MAISON, prefs.js) Extensions.enabledItems, {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\MAISON\Bureau\util\AVG Antivirus 8 0 + serial (EXPIRES YEAR 2018) (CLEAN) [blaze69]\avg_avwt_stf_all_8_199a1389.exe
C:\Documents and Settings\MAISON\Bureau\util\son\AC97_via\Vinyl\CPL\vpatch.exe
C:\Documents and Settings\MAISON\Bureau\util\son\via686\Via686\ADeck\VPatch.exe
.
===================================
.
2353 Octet(s) - C:\Ad-Report-CLEAN[1].log
2609 Octet(s) - C:\Ad-Report-SCAN[1].log
.
1 Fichier(s) - C:\DOCUME~1\MAISON\LOCALS~1\Temp
4 Fichier(s) - C:\WINDOWS\Temp
10 Fichier(s) - C:\WINDOWS\Prefetch
.
19 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 16:47:10 | 22/02/2010 - CLEAN[1]
.
============== E.O.F ==============
.
rapport ZPHDiag
http://www.cijoint.fr/cjlink.php?file=cj201002/cijxZWtl5p.txt
bien ....
on avance .... ^^
une verifes sur quelques fichiers :
1- Avoir accès aux fichiers cachés :
Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )
==================
2- Rends toi sur ce site :
https://www.virustotal.com/gui/
Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\system32\cmdow.exe
Clique sur Send File ( = " Envoyer le fichier " ).
Un rapport va s'élaborer ligne à ligne.
Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta prochaine réponse ...
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses
Fais de même pour :
C:\WINDOWS\popcinfo.dat
Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
on avance .... ^^
une verifes sur quelques fichiers :
1- Avoir accès aux fichiers cachés :
Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )
==================
2- Rends toi sur ce site :
https://www.virustotal.com/gui/
Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\system32\cmdow.exe
Clique sur Send File ( = " Envoyer le fichier " ).
Un rapport va s'élaborer ligne à ligne.
Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta prochaine réponse ...
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses
Fais de même pour :
C:\WINDOWS\popcinfo.dat
Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
Pour CMDOW.EXE
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.26 Riskware.RiskTool.Win32.HideWindows!IK
AhnLab-V3 5.0.0.2 2010.02.26 -
AntiVir 8.2.1.176 2010.02.26 APPL/HideWindows.31232.1
Antiy-AVL 2.0.3.7 2010.02.26 -
Authentium 5.2.0.5 2010.02.26 W32/Hidewnd.D
Avast 4.8.1351.0 2010.02.26 -
Avast5 5.0.332.0 2010.02.26 -
AVG 9.0.0.730 2010.02.26 -
BitDefender 7.2 2010.02.26 -
CAT-QuickHeal 10.00 2010.02.26 (Suspicious) - DNAScan
ClamAV 0.96.0.0-git 2010.02.26 -
Comodo 4073 2010.02.26 ApplicUnsaf.Win32.CMDOW.143
DrWeb 5.0.1.12222 2010.02.26 -
eSafe 7.0.17.0 2010.02.25 -
eTrust-Vet 35.2.7330 2010.02.26 -
F-Prot 4.5.1.85 2010.02.26 W32/Hidewnd.D
F-Secure 9.0.15370.0 2010.02.26 -
Fortinet 4.0.14.0 2010.02.26 HackerTool/HideWindow
GData 19 2010.02.26 -
Ikarus T3.1.1.80.0 2010.02.26 not-a-virus:RiskTool.Win32.HideWindows
Jiangmin 13.0.900 2010.02.25 -
K7AntiVirus 7.10.984 2010.02.26 Non-Virus:RiskTool.Win32.HideWindows
Kaspersky 7.0.0.125 2010.02.26 not-a-virus:RiskTool.Win32.HideWindows
McAfee 5903 2010.02.25 potentially unwanted program Tool-HideWindow
McAfee+Artemis 5903 2010.02.25 potentially unwanted program Tool-HideWindow
McAfee-GW-Edition 6.8.5 2010.02.26 Heuristic.LooksLike.Win32.HideWindows.L
Microsoft 1.5502 2010.02.26 Tool:Win32/Cmdow
NOD32 4899 2010.02.26 Win32/CMDOW.143
Norman 6.04.08 2010.02.26 -
nProtect 2009.1.8.0 2010.02.26 -
Panda 10.0.2.2 2010.02.26 -
PCTools 7.0.3.5 2010.02.26 RiskTool.HideWindows.K
Rising 22.36.04.04 2010.02.26 -
Sophos 4.50.0 2010.02.26 HideWindow
Sunbelt 5700 2010.02.26 -
Symantec 20091.2.0.41 2010.02.26 SecurityRisk.Cmdow
TheHacker 6.5.1.6.212 2010.02.26 Aplicacion/HideWindows
TrendMicro 9.120.0.1004 2010.02.26 PAK_Generic.001
VBA32 3.12.12.2 2010.02.26 -
ViRobot 2010.2.26.2204 2010.02.26 Not_a_virus:RiskTools.HideWindows.31232
VirusBuster 5.0.27.0 2010.02.26 RiskTool.HideWindows.K
Information additionnelle
File size: 31232 bytes
MD5...: 48a78bf8ef453d9ca4d6c0587ae2de94
SHA1..: fdcc71edb09d13165abb106dec95b5376cc05527
SHA256: 319390597ae00859d5862aec261584cdb8e6c863c06ac69fecbe374165491756
ssdeep: 384:nuqo9Bl0uuBLutbA4rjsWVjbeGDdamJClleaGylF6wB0RwGWm6CimkZR55yy
n0:uqo9bnlfJzQ3eapNtmNwL55ys0
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x7748
timedatestamp.....: 0x41c566e5 (Sun Dec 19 11:32:53 2004)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.rdata 0x1000 0x6a4 0x800 4.53 117c0711fefe4b7aa08b03bfb8c7853a
.data 0x2000 0x6938 0x6600 6.11 ec36eef2210936e7ebbbca9c69971f0e
.rsrc 0x9000 0x7d0 0x800 3.29 eec57ea28d67832abe028cf50c0a6d63
( 4 imports )
> KERNEL32.dll: GetProcessHeap, lstrlenA, ExitProcess, WriteFile, GetStdHandle, lstrcatA, GetCommandLineA, SetConsoleDisplayMode, GetVersionExA, WideCharToMultiByte, Sleep, SetConsoleTitleA, GetCurrentProcessId, GetTickCount, HeapAlloc, CloseHandle, TerminateProcess, OpenProcess, CreateProcessA, HeapReAlloc, HeapFree, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, MultiByteToWideChar, RtlUnwind, lstrcpyA, lstrcmpiA, GetConsoleTitleA, lstrcmpA
> USER32.dll: GetParent, GetWindow, GetWindowLongA, IsWindow, GetForegroundWindow, SetForegroundWindow, SystemParametersInfoA, ShowWindowAsync, GetWindowRect, SetWindowTextA, MoveWindow, SetWindowPos, GetWindowThreadProcessId, GetWindowTextLengthA, GetWindowTextA, GetClassNameA, EnableWindow, ScreenToClient, GetDesktopWindow, EnumWindows, wsprintfA, wvsprintfA, FindWindowA, PostMessageA, EnumChildWindows
> ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegQueryValueExA
> SHELL32.dll: ShellExecuteA
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Windows Screen Saver (39.4%)
Win32 Executable Generic (25.6%)
Win32 Dynamic Link Library (generic) (22.8%)
Generic Win/DOS Executable (6.0%)
DOS Executable Generic (6.0%)
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=48a78bf8ef453d9ca4d6c0587ae2de94' target='_blank'>https://www.symantec.com?md5=48a78bf8ef453d9ca4d6c0587ae2de94</a>
sigcheck:
publisher....:
copyright....: Copyright (c) 2001-2004 Ritchie Lawrence
product......: CMDOW
description..: Commandline Window Utility for NT4/2000/XP
original name: cmdow.exe
internal name: cmdow
file version.: 1.4.3.0
comments.....: More commandline utilities at http://www.commandline.co.uk
signers......: -
signing date.: -
verified.....: Unsigned
Pour popcinfo.dat
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.26 -
AhnLab-V3 5.0.0.2 2010.02.26 -
AntiVir 8.2.1.176 2010.02.26 -
Antiy-AVL 2.0.3.7 2010.02.26 -
Authentium 5.2.0.5 2010.02.26 -
Avast 4.8.1351.0 2010.02.26 -
Avast5 5.0.332.0 2010.02.26 -
AVG 9.0.0.730 2010.02.26 -
BitDefender 7.2 2010.02.26 -
CAT-QuickHeal 10.00 2010.02.26 -
ClamAV 0.96.0.0-git 2010.02.26 -
Comodo 4073 2010.02.26 -
DrWeb 5.0.1.12222 2010.02.26 -
eSafe 7.0.17.0 2010.02.25 -
eTrust-Vet 35.2.7330 2010.02.26 -
F-Prot 4.5.1.85 2010.02.26 -
F-Secure 9.0.15370.0 2010.02.26 -
Fortinet 4.0.14.0 2010.02.26 -
GData 19 2010.02.26 -
Ikarus T3.1.1.80.0 2010.02.26 -
Jiangmin 13.0.900 2010.02.25 -
K7AntiVirus 7.10.984 2010.02.26 -
Kaspersky 7.0.0.125 2010.02.26 -
McAfee 5903 2010.02.25 -
McAfee+Artemis 5903 2010.02.25 -
McAfee-GW-Edition 6.8.5 2010.02.26 -
Microsoft 1.5502 2010.02.26 -
NOD32 4899 2010.02.26 -
Norman 6.04.08 2010.02.26 -
nProtect 2009.1.8.0 2010.02.26 -
Panda 10.0.2.2 2010.02.26 -
PCTools 7.0.3.5 2010.02.26 -
Prevx 3.0 2010.02.26 -
Rising 22.36.04.04 2010.02.26 -
Sophos 4.50.0 2010.02.26 -
Sunbelt 5700 2010.02.26 -
Symantec 20091.2.0.41 2010.02.26 -
TheHacker 6.5.1.6.212 2010.02.26 -
TrendMicro 9.120.0.1004 2010.02.26 -
VBA32 3.12.12.2 2010.02.26 -
ViRobot 2010.2.26.2204 2010.02.26 -
VirusBuster 5.0.27.0 2010.02.26 -
Information additionnelle
File size: 10 bytes
MD5...: 5287dacf6bb702ce02c450c6cf73eada
SHA1..: 90b14fec462dfdd334c1142efc723cfee38ead44
SHA256: c038e2a4b9340b827dd185f4d433f6acf7198e2a7ce0997e35c3fb5b1c7ac148
ssdeep: 3:cu6n:cu6
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.26 Riskware.RiskTool.Win32.HideWindows!IK
AhnLab-V3 5.0.0.2 2010.02.26 -
AntiVir 8.2.1.176 2010.02.26 APPL/HideWindows.31232.1
Antiy-AVL 2.0.3.7 2010.02.26 -
Authentium 5.2.0.5 2010.02.26 W32/Hidewnd.D
Avast 4.8.1351.0 2010.02.26 -
Avast5 5.0.332.0 2010.02.26 -
AVG 9.0.0.730 2010.02.26 -
BitDefender 7.2 2010.02.26 -
CAT-QuickHeal 10.00 2010.02.26 (Suspicious) - DNAScan
ClamAV 0.96.0.0-git 2010.02.26 -
Comodo 4073 2010.02.26 ApplicUnsaf.Win32.CMDOW.143
DrWeb 5.0.1.12222 2010.02.26 -
eSafe 7.0.17.0 2010.02.25 -
eTrust-Vet 35.2.7330 2010.02.26 -
F-Prot 4.5.1.85 2010.02.26 W32/Hidewnd.D
F-Secure 9.0.15370.0 2010.02.26 -
Fortinet 4.0.14.0 2010.02.26 HackerTool/HideWindow
GData 19 2010.02.26 -
Ikarus T3.1.1.80.0 2010.02.26 not-a-virus:RiskTool.Win32.HideWindows
Jiangmin 13.0.900 2010.02.25 -
K7AntiVirus 7.10.984 2010.02.26 Non-Virus:RiskTool.Win32.HideWindows
Kaspersky 7.0.0.125 2010.02.26 not-a-virus:RiskTool.Win32.HideWindows
McAfee 5903 2010.02.25 potentially unwanted program Tool-HideWindow
McAfee+Artemis 5903 2010.02.25 potentially unwanted program Tool-HideWindow
McAfee-GW-Edition 6.8.5 2010.02.26 Heuristic.LooksLike.Win32.HideWindows.L
Microsoft 1.5502 2010.02.26 Tool:Win32/Cmdow
NOD32 4899 2010.02.26 Win32/CMDOW.143
Norman 6.04.08 2010.02.26 -
nProtect 2009.1.8.0 2010.02.26 -
Panda 10.0.2.2 2010.02.26 -
PCTools 7.0.3.5 2010.02.26 RiskTool.HideWindows.K
Rising 22.36.04.04 2010.02.26 -
Sophos 4.50.0 2010.02.26 HideWindow
Sunbelt 5700 2010.02.26 -
Symantec 20091.2.0.41 2010.02.26 SecurityRisk.Cmdow
TheHacker 6.5.1.6.212 2010.02.26 Aplicacion/HideWindows
TrendMicro 9.120.0.1004 2010.02.26 PAK_Generic.001
VBA32 3.12.12.2 2010.02.26 -
ViRobot 2010.2.26.2204 2010.02.26 Not_a_virus:RiskTools.HideWindows.31232
VirusBuster 5.0.27.0 2010.02.26 RiskTool.HideWindows.K
Information additionnelle
File size: 31232 bytes
MD5...: 48a78bf8ef453d9ca4d6c0587ae2de94
SHA1..: fdcc71edb09d13165abb106dec95b5376cc05527
SHA256: 319390597ae00859d5862aec261584cdb8e6c863c06ac69fecbe374165491756
ssdeep: 384:nuqo9Bl0uuBLutbA4rjsWVjbeGDdamJClleaGylF6wB0RwGWm6CimkZR55yy
n0:uqo9bnlfJzQ3eapNtmNwL55ys0
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x7748
timedatestamp.....: 0x41c566e5 (Sun Dec 19 11:32:53 2004)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.rdata 0x1000 0x6a4 0x800 4.53 117c0711fefe4b7aa08b03bfb8c7853a
.data 0x2000 0x6938 0x6600 6.11 ec36eef2210936e7ebbbca9c69971f0e
.rsrc 0x9000 0x7d0 0x800 3.29 eec57ea28d67832abe028cf50c0a6d63
( 4 imports )
> KERNEL32.dll: GetProcessHeap, lstrlenA, ExitProcess, WriteFile, GetStdHandle, lstrcatA, GetCommandLineA, SetConsoleDisplayMode, GetVersionExA, WideCharToMultiByte, Sleep, SetConsoleTitleA, GetCurrentProcessId, GetTickCount, HeapAlloc, CloseHandle, TerminateProcess, OpenProcess, CreateProcessA, HeapReAlloc, HeapFree, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, MultiByteToWideChar, RtlUnwind, lstrcpyA, lstrcmpiA, GetConsoleTitleA, lstrcmpA
> USER32.dll: GetParent, GetWindow, GetWindowLongA, IsWindow, GetForegroundWindow, SetForegroundWindow, SystemParametersInfoA, ShowWindowAsync, GetWindowRect, SetWindowTextA, MoveWindow, SetWindowPos, GetWindowThreadProcessId, GetWindowTextLengthA, GetWindowTextA, GetClassNameA, EnableWindow, ScreenToClient, GetDesktopWindow, EnumWindows, wsprintfA, wvsprintfA, FindWindowA, PostMessageA, EnumChildWindows
> ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegQueryValueExA
> SHELL32.dll: ShellExecuteA
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Windows Screen Saver (39.4%)
Win32 Executable Generic (25.6%)
Win32 Dynamic Link Library (generic) (22.8%)
Generic Win/DOS Executable (6.0%)
DOS Executable Generic (6.0%)
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=48a78bf8ef453d9ca4d6c0587ae2de94' target='_blank'>https://www.symantec.com?md5=48a78bf8ef453d9ca4d6c0587ae2de94</a>
sigcheck:
publisher....:
copyright....: Copyright (c) 2001-2004 Ritchie Lawrence
product......: CMDOW
description..: Commandline Window Utility for NT4/2000/XP
original name: cmdow.exe
internal name: cmdow
file version.: 1.4.3.0
comments.....: More commandline utilities at http://www.commandline.co.uk
signers......: -
signing date.: -
verified.....: Unsigned
Pour popcinfo.dat
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.26 -
AhnLab-V3 5.0.0.2 2010.02.26 -
AntiVir 8.2.1.176 2010.02.26 -
Antiy-AVL 2.0.3.7 2010.02.26 -
Authentium 5.2.0.5 2010.02.26 -
Avast 4.8.1351.0 2010.02.26 -
Avast5 5.0.332.0 2010.02.26 -
AVG 9.0.0.730 2010.02.26 -
BitDefender 7.2 2010.02.26 -
CAT-QuickHeal 10.00 2010.02.26 -
ClamAV 0.96.0.0-git 2010.02.26 -
Comodo 4073 2010.02.26 -
DrWeb 5.0.1.12222 2010.02.26 -
eSafe 7.0.17.0 2010.02.25 -
eTrust-Vet 35.2.7330 2010.02.26 -
F-Prot 4.5.1.85 2010.02.26 -
F-Secure 9.0.15370.0 2010.02.26 -
Fortinet 4.0.14.0 2010.02.26 -
GData 19 2010.02.26 -
Ikarus T3.1.1.80.0 2010.02.26 -
Jiangmin 13.0.900 2010.02.25 -
K7AntiVirus 7.10.984 2010.02.26 -
Kaspersky 7.0.0.125 2010.02.26 -
McAfee 5903 2010.02.25 -
McAfee+Artemis 5903 2010.02.25 -
McAfee-GW-Edition 6.8.5 2010.02.26 -
Microsoft 1.5502 2010.02.26 -
NOD32 4899 2010.02.26 -
Norman 6.04.08 2010.02.26 -
nProtect 2009.1.8.0 2010.02.26 -
Panda 10.0.2.2 2010.02.26 -
PCTools 7.0.3.5 2010.02.26 -
Prevx 3.0 2010.02.26 -
Rising 22.36.04.04 2010.02.26 -
Sophos 4.50.0 2010.02.26 -
Sunbelt 5700 2010.02.26 -
Symantec 20091.2.0.41 2010.02.26 -
TheHacker 6.5.1.6.212 2010.02.26 -
TrendMicro 9.120.0.1004 2010.02.26 -
VBA32 3.12.12.2 2010.02.26 -
ViRobot 2010.2.26.2204 2010.02.26 -
VirusBuster 5.0.27.0 2010.02.26 -
Information additionnelle
File size: 10 bytes
MD5...: 5287dacf6bb702ce02c450c6cf73eada
SHA1..: 90b14fec462dfdd334c1142efc723cfee38ead44
SHA256: c038e2a4b9340b827dd185f4d433f6acf7198e2a7ce0997e35c3fb5b1c7ac148
ssdeep: 3:cu6n:cu6
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
bien ...
fait ceci alors :
1- Utilisation de l'outil ZHPFix :
> Lance ZHPFix depuis le raccouci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :
> http://www.cijoint.fr/cj201002/cijOHIV2WY.txt
Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres comme sur cette page lorsque tu les copies dans ZHPFix.
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton [ Nettoyer ] .
-> laisse travailler l'outil et ne touche à rien ...
-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !
Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
Pense à réactiver tes défenses !...
=========================
2- Télécharge se petit soft , ZEB_RESTORE :
ici http://telechargement.zebulon.fr/zeb-restore.html
ou https://forum.zebulon.fr/index.php?act=attach&type=blogentry&id=1153
Enregistre ce fichier sur ton bureau.
! Ferme toutes tes applications ( navigateur compris ) et déconnecte toi !
-Clique droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau.
-Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe
---> Coche les cases devant ( et uniquement celles-ci ! ) :
* Policies : remet en place des éléments désactivés par "Policies"
* Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
* Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
* Réinitialiser Fichier Hosts : réinitialise le fichier Hosts
-Clique sur : " Restaurer " et laisse faire ( c'est assez rapide ) ....
--> Une fois fait, redémarre ton PC pour que les répartions prennent effet .
===================
3- re-essaye de mettre Malwarebytes à jour et dis moi ....
fait ceci alors :
1- Utilisation de l'outil ZHPFix :
> Lance ZHPFix depuis le raccouci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :
> http://www.cijoint.fr/cj201002/cijOHIV2WY.txt
Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres comme sur cette page lorsque tu les copies dans ZHPFix.
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton [ Nettoyer ] .
-> laisse travailler l'outil et ne touche à rien ...
-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !
Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
Pense à réactiver tes défenses !...
=========================
2- Télécharge se petit soft , ZEB_RESTORE :
ici http://telechargement.zebulon.fr/zeb-restore.html
ou https://forum.zebulon.fr/index.php?act=attach&type=blogentry&id=1153
Enregistre ce fichier sur ton bureau.
! Ferme toutes tes applications ( navigateur compris ) et déconnecte toi !
-Clique droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau.
-Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe
---> Coche les cases devant ( et uniquement celles-ci ! ) :
* Policies : remet en place des éléments désactivés par "Policies"
* Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
* Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
* Réinitialiser Fichier Hosts : réinitialise le fichier Hosts
-Clique sur : " Restaurer " et laisse faire ( c'est assez rapide ) ....
--> Une fois fait, redémarre ton PC pour que les répartions prennent effet .
===================
3- re-essaye de mettre Malwarebytes à jour et dis moi ....
Après consultation des différents membres de la famille, j'ai découvert nombre de pg dont je connaissais même pas l'existence là déjà ca va (un peu) mieux :p
Voilà donc le nouveau rapport:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijyYqfwnG.txt
N'ayant pas d'ordi vraiment a moi, en fait je suis obligée de trimballer mes infos par clé USB (je suis prof donc c'est vraiment obligé), y'a pas moyen d'arrêter de me choper des trucs a tout bout de champ?
Merci encore!