Sujet Précédent Sujet Suivant

Plantages réguliers, indésirable ?

Résolu/Fermé
amaguis - 14 mars 2010 à 09:17
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Non membre Dernière intervention 17 février 2023 - 19 mars 2010 à 14:07
Bonjour,
Je me rapproche de vous car vous m'avez bien aidé la dernière fois pour nettoyer mon ordinateur infecté par un indésirable.
Il ne semble pas y avoir d'indésirables actuellement, en tout cas pas de détection par antivir, ni malwarebytes, ni spyware terminator ou spybot serch & destroy. Pourtant mon ordinateur plante régulièrement, j'ai même l'impression que ce soit lié au fait qu'il se mette en veille et il donne l'impression de ne plus pouvoir ressortir du mode veille
Je suis un peu désemparer et veux votre avis avant de faire quoi que ce soit !!!

merci d'avance

29 réponses

  • 1
  • 2
Réponse 1 / 29
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Non membre Dernière intervention 17 février 2023 225
Modifié par marc1301 le 19/03/2010 à 15:05
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.



driver::
EagleNt

file::
c:\windows\system32\4b4d22.dll
c:\windows\system32\551d130.dll
c:\windows\system32\a9cd536.dll
c:\windows\system32\416fa9c.dll
c:\windows\system32\28dbc38f.dll
c:\windows\system32\1bc4d12a.dll
c:\windows\system32\35086fcb.dll
c:\windows\system32\1c1f2308.dll
c:\windows\system32\drivers\EagleNt.sy­s





Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.
2
Réponse 2 / 29
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Non membre Dernière intervention 17 février 2023 225
Modifié par marc1301 le 19/03/2010 à 15:04
je suis en train de regarder tes diffèrents rapports, j'ai encore un doute concernant un programme,

connais tu ce programme c:\program files\gbllmbam ?


ensuite afin de ne pas passer a coté de quelque chose fait ceci


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

http://www.bitdefender.fr/scan_fr/scan8/ie.html

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.

A l'ouverture de la page "Scanner Options", cliquer sur [click here] de "To change this and other settings, click here" puis cliquer sur le + devant "Second option" et cocher "Report only" puis cliquer sur [OK].


Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
1
Réponse 3 / 29
amaguis
15 mars 2010 à 07:47
Bonjour,
dans l'attente d'être pris en charge j'ai fait un Hijackthis et je joint lerapport ci après:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:45:32, on 15/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\LeapFrog\LeapFrog Connect Tag\bin\TagMonitor.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TagMonitor] "C:\Program Files\LeapFrog\LeapFrog Connect Tag\bin\TagMonitor.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
0
Réponse 4 / 29
amaguis
15 mars 2010 à 08:01
et voici le rapport ZHPDiag en lien ci dessous:

http://www.cijoint.fr/cjlink.php?file=cj201003/cij0uTpG6k.txt

merci d'avance pour votre aide précieuse
guillaume
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
amaguis
15 mars 2010 à 19:29
up !?
0
Réponse 6 / 29
amaguis
16 mars 2010 à 22:47
je remonte mon post car je suis plutot désemparé !!!
0
amaguis
16 mars 2010 à 23:24
je me sent vraiment seul sur le forum depuis 3 jours !
merci d'avance à celui qui me tendra la perche pour m'aider !
0
Réponse 7 / 29
amaguis
17 mars 2010 à 13:12
up

Quelqu'un peut-il m'aider ?
0
Réponse 8 / 29
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Non membre Dernière intervention 17 février 2023 225
17 mars 2010 à 13:27
Bonjour, désolés de l'attente, mais le soucis est que tu réponds a ton poste, donc ton poste semble avoir été pris en charge.

Il me semble qu'il reste une infection profondément ancrée , exécute ceci avec attention !!

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com


Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :


Il va t'être proposé d'installer la console de récupération de windows, fait le c'est très important!!
Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.


effectue un double clique sur l'icone de Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
Réponse 9 / 29
amaguis
17 mars 2010 à 18:52
le voici !
merci de m'aider ;-)


ComboFix 10-03-16.05 - guille 17/03/2010 18:03:05.4.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.654 [GMT 1:00]
Lancé depuis: c:\documents and settings\guille\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
* Un antivirus résident est actif

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-02-17 au 2010-03-17 ))))))))))))))))))))))))))))))))))))
.

2010-03-16 22:20 . 2010-03-16 22:20 -------- d-sh--w- c:\documents and settings\guille\IECompatCache
2010-03-15 06:50 . 2010-03-15 06:51 -------- d-----w- c:\program files\ZHPDiag
2010-03-14 21:07 . 2010-03-14 21:07 -------- d-----w- c:\windows\687EAE16F2E74B96B58CAC09F9119B8C.TMP
2010-03-14 09:31 . 2010-03-14 09:31 79488 ----a-w- c:\documents and settings\guille\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-13 21:01 . 2010-03-13 21:01 412928 ----a-w- c:\windows\system32\drivers\EagleNt.sys
2010-03-13 21:01 . 2008-04-14 02:33 82432 ---h-tw- c:\windows\system32\4b4d22.dll
2010-03-13 21:01 . 2008-04-14 02:33 82432 ---h-tw- c:\windows\system32\551d130.dll
2010-03-10 23:56 . 2009-10-23 15:28 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-03-09 21:02 . 2008-04-14 02:33 82432 ---h-tw- c:\windows\system32\a9cd536.dll
2010-03-09 21:02 . 2008-04-14 02:33 82432 ---h-tw- c:\windows\system32\416fa9c.dll
2010-03-09 20:59 . 2008-04-14 02:33 82432 ---h-tw- c:\windows\system32\28dbc38f.dll
2010-03-09 20:59 . 2008-04-14 02:33 82432 ---h-tw- c:\windows\system32\1bc4d12a.dll
2010-03-06 21:08 . 2008-04-14 02:33 82432 ---h-tw- c:\windows\system32\35086fcb.dll
2010-03-06 21:08 . 2008-04-14 02:33 82432 ---h-tw- c:\windows\system32\1c1f2308.dll
2010-02-27 17:35 . 2010-02-27 17:35 -------- d-----w- C:\ConvertTemp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-16 21:37 . 2008-01-09 19:26 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-03-15 06:44 . 2010-02-01 05:41 -------- d-----w- c:\program files\trend micro
2010-03-15 06:35 . 2004-08-05 12:00 445672 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-15 06:35 . 2004-08-05 12:00 64052 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-14 10:07 . 2009-01-03 15:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-03-14 09:46 . 2008-02-03 08:36 -------- d-----w- c:\program files\QuickTime
2010-03-14 09:44 . 2008-01-09 14:35 -------- d-----w- c:\program files\Java
2010-03-13 21:00 . 2009-06-04 05:48 -------- d-----w- c:\program files\ShotOnline
2010-03-13 08:51 . 2009-01-20 06:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Spyware Terminator
2010-03-13 08:50 . 2009-01-20 06:43 -------- d-----w- c:\documents and settings\guille\Application Data\Spyware Terminator
2010-02-27 21:14 . 2008-01-09 14:45 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-27 18:38 . 2009-01-19 15:14 -------- d-----w- c:\program files\CCleaner
2010-02-27 18:35 . 2009-09-26 08:10 -------- d-----w- c:\documents and settings\guille\Application Data\Samsung
2010-02-15 22:02 . 2009-06-28 20:03 -------- d-----w- c:\program files\adslTV
2010-02-13 08:10 . 2008-07-19 15:05 -------- d-----w- c:\program files\eMule
2010-02-13 08:08 . 2010-02-01 21:39 -------- d-----w- c:\program files\List_Kill'em
2010-02-13 08:02 . 2010-02-13 08:02 89989850 ----a-w- C:\Sauv.reg
2010-02-10 06:34 . 2008-05-31 13:35 -------- d-----w- c:\program files\Google
2010-02-08 13:04 . 2010-02-08 13:04 1213 ----a-w- C:\FindyKill_Upload_Me_PORTABLE-GB.zip
2010-02-07 09:26 . 2010-02-07 09:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo
2010-02-07 09:16 . 2010-02-07 09:16 -------- d-----w- c:\program files\COMODO
2010-02-07 09:16 . 2010-02-07 09:16 87104 ----a-w- c:\windows\system32\drivers\inspect.sys
2010-02-07 09:16 . 2010-02-07 09:16 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2010-02-07 09:16 . 2010-02-07 09:16 171552 ----a-w- c:\windows\system32\guard32.dll
2010-02-07 09:16 . 2010-02-07 09:16 134344 ----a-w- c:\windows\system32\drivers\cmdguard.sys
2010-02-06 16:41 . 2010-02-06 10:46 -------- d-----w- c:\documents and settings\guille\Application Data\QuickScan
2010-01-31 15:02 . 2009-01-03 15:23 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-31 13:31 . 2010-01-31 13:29 -------- d-----w- c:\program files\Yahoo!
2010-01-31 13:29 . 2010-01-31 13:29 -------- d-----w- c:\documents and settings\guille\Application Data\Yahoo!
2010-01-26 18:33 . 2009-01-19 15:37 -------- d-----w- c:\program files\gbllmbam
2010-01-26 06:45 . 2009-04-18 06:55 5115824 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-24 08:00 . 2008-01-15 20:59 -------- d-----w- c:\documents and settings\guille\Application Data\OpenOffice.org2
2010-01-14 10:12 . 2010-01-31 20:48 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-07 15:07 . 2009-01-07 18:06 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-01-07 18:06 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-31 16:50 . 2004-08-05 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:07 . 2004-09-29 18:49 916480 ------w- c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 61952]
"RaidTool"="c:\program files\VIA\RAID\raid_tool.exe" [2005-02-25 589824]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-05-25 5562368]
"AlcWzrd"="ALCWZRD.EXE" [2005-03-10 2803712]
"SMSERIAL"="sm56hlpr.exe" [2005-05-26 544768]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TagMonitor"="c:\program files\LeapFrog\LeapFrog Connect Tag\bin\TagMonitor.exe" [2008-07-14 886088]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2010-02-07 1800464]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-22 136600]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\LeapFrog\\LeapFrog Connect Tag\\bin\\TAGMonitor.exe"=
"c:\\Program Files\\LeapFrog\\LeapFrog Connect Tag\\bin\\LeapFrogConnectTag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5883:TCP"= 5883:TCP:emule
"5884:UDP"= 5884:UDP:emule udp
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"6733:TCP"= 6733:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"1586:TCP"= 1586:TCP:Services
"6788:TCP"= 6788:TCP:Services
"3555:TCP"= 3555:TCP:Services
"3246:TCP"= 3246:TCP:Services

R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [07/02/2010 10:16 134344]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [07/02/2010 10:16 25160]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [20/01/2009 07:43 142592]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [10/02/2010 07:34 135664]
S3 FlyUsb;FLY Fusion;c:\windows\system32\drivers\FlyUsb.sys [10/01/2010 17:37 18560]
S3 phil2vid;Appareil photo VGA USB Philips PCVC690;c:\windows\system32\drivers\philcam2.sys [07/07/2009 08:37 173696]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06/03/2009 11:52 717296]
.
.
------- Examen supplémentaire -------
.
IE: {{C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - c:\microgaming\Poker\UnibetpokerMPP\MPPoker.exe
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-17 18:25
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x862593F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf764ff28
\Driver\ACPI -> ACPI.sys @ 0xf74b1cb8
\Driver\atapi -> atapi.sys @ 0xf7469852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(4044)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\COMODO\COMODO Internet Security\cmdagent.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Spyware Terminator\sp_rsser.exe
c:\windows\system32\UAService7.exe
c:\windows\system32\wscntfy.exe
c:\windows\sm56hlpr.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2010-03-17 18:36:32 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-17 17:36

Avant-CF: 9 548 386 304 octets libres
Après-CF: 9 811 324 928 octets libres

- - End Of File - - AFD7D32CE72EAFAA651FA857D3D88670
0
Réponse 10 / 29
amaguis
17 mars 2010 à 20:10
Il ne m'a pas proposé d'alternative du type 1 ou 2 ... mais s'est lancé normalement lorsque j'ai glissé le fichier !
Bref voici le rapport:


ComboFix 10-03-16.05 - guille 17/03/2010 19:37:47.5.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.646 [GMT 1:00]
Lancé depuis: c:\documents and settings\guille\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\guille\Bureau\CFScript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
* Un antivirus résident est actif


FILE ::
"c:\windows\system32\1bc4d12a.dll"
"c:\windows\system32\1c1f2308.dll"
"c:\windows\system32\28dbc38f.dll"
"c:\windows\system32\35086fcb.dll"
"c:\windows\system32\416fa9c.dll"
"c:\windows\system32\4b4d22.dll"
"c:\windows\system32\551d130.dll"
"c:\windows\system32\a9cd536.dll"
"c:\windows\system32\drivers\EagleNt.sy­s"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\1bc4d12a.dll
c:\windows\system32\1c1f2308.dll
c:\windows\system32\28dbc38f.dll
c:\windows\system32\35086fcb.dll
c:\windows\system32\416fa9c.dll
c:\windows\system32\4b4d22.dll
c:\windows\system32\551d130.dll
c:\windows\system32\a9cd536.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-02-17 au 2010-03-17 ))))))))))))))))))))))))))))))))))))
.

2010-03-17 18:42 . 2010-03-17 18:42 -------- d-----w- c:\documents and settings\HelpAssistant\IECompatCache
2010-03-16 22:20 . 2010-03-16 22:20 -------- d-sh--w- c:\documents and settings\guille\IECompatCache
2010-03-15 06:50 . 2010-03-15 06:51 -------- d-----w- c:\program files\ZHPDiag
2010-03-14 21:07 . 2010-03-14 21:07 -------- d-----w- c:\windows\687EAE16F2E74B96B58CAC09F9119B8C.TMP
2010-03-14 09:31 . 2010-03-14 09:31 79488 ----a-w- c:\documents and settings\guille\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-13 21:01 . 2010-03-13 21:01 412928 ----a-w- c:\windows\system32\drivers\EagleNt.sys
2010-03-10 23:56 . 2009-10-23 15:28 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-02-27 17:35 . 2010-02-27 17:35 -------- d-----w- C:\ConvertTemp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-16 21:37 . 2008-01-09 19:26 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-03-15 06:44 . 2010-02-01 05:41 -------- d-----w- c:\program files\trend micro
2010-03-15 06:35 . 2004-08-05 12:00 445672 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-15 06:35 . 2004-08-05 12:00 64052 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-14 10:07 . 2009-01-03 15:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-03-14 09:46 . 2008-02-03 08:36 -------- d-----w- c:\program files\QuickTime
2010-03-14 09:44 . 2008-01-09 14:35 -------- d-----w- c:\program files\Java
2010-03-13 21:00 . 2009-06-04 05:48 -------- d-----w- c:\program files\ShotOnline
2010-03-13 08:51 . 2009-01-20 06:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Spyware Terminator
2010-03-13 08:50 . 2009-01-20 06:43 -------- d-----w- c:\documents and settings\guille\Application Data\Spyware Terminator
2010-02-27 21:14 . 2008-01-09 14:45 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-27 18:38 . 2009-01-19 15:14 -------- d-----w- c:\program files\CCleaner
2010-02-27 18:35 . 2009-09-26 08:10 -------- d-----w- c:\documents and settings\guille\Application Data\Samsung
2010-02-15 22:02 . 2009-06-28 20:03 -------- d-----w- c:\program files\adslTV
2010-02-13 08:10 . 2008-07-19 15:05 -------- d-----w- c:\program files\eMule
2010-02-13 08:08 . 2010-02-01 21:39 -------- d-----w- c:\program files\List_Kill'em
2010-02-13 08:02 . 2010-02-13 08:02 89989850 ----a-w- C:\Sauv.reg
2010-02-10 06:34 . 2008-05-31 13:35 -------- d-----w- c:\program files\Google
2010-02-08 13:04 . 2010-02-08 13:04 1213 ----a-w- C:\FindyKill_Upload_Me_PORTABLE-GB.zip
2010-02-07 09:26 . 2010-02-07 09:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo
2010-02-07 09:16 . 2010-02-07 09:16 -------- d-----w- c:\program files\COMODO
2010-02-07 09:16 . 2010-02-07 09:16 87104 ----a-w- c:\windows\system32\drivers\inspect.sys
2010-02-07 09:16 . 2010-02-07 09:16 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2010-02-07 09:16 . 2010-02-07 09:16 171552 ----a-w- c:\windows\system32\guard32.dll
2010-02-07 09:16 . 2010-02-07 09:16 134344 ----a-w- c:\windows\system32\drivers\cmdguard.sys
2010-02-06 16:41 . 2010-02-06 10:46 -------- d-----w- c:\documents and settings\guille\Application Data\QuickScan
2010-01-31 15:02 . 2009-01-03 15:23 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-31 13:31 . 2010-01-31 13:29 -------- d-----w- c:\program files\Yahoo!
2010-01-31 13:29 . 2010-01-31 13:29 -------- d-----w- c:\documents and settings\guille\Application Data\Yahoo!
2010-01-26 18:33 . 2009-01-19 15:37 -------- d-----w- c:\program files\gbllmbam
2010-01-26 06:45 . 2009-04-18 06:55 5115824 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-24 08:00 . 2008-01-15 20:59 -------- d-----w- c:\documents and settings\guille\Application Data\OpenOffice.org2
2010-01-14 10:12 . 2010-01-31 20:48 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-07 15:07 . 2009-01-07 18:06 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-01-07 18:06 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-31 16:50 . 2004-08-05 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:07 . 2004-09-29 18:49 916480 ------w- c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 61952]
"RaidTool"="c:\program files\VIA\RAID\raid_tool.exe" [2005-02-25 589824]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-05-25 5562368]
"AlcWzrd"="ALCWZRD.EXE" [2005-03-10 2803712]
"SMSERIAL"="sm56hlpr.exe" [2005-05-26 544768]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TagMonitor"="c:\program files\LeapFrog\LeapFrog Connect Tag\bin\TagMonitor.exe" [2008-07-14 886088]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2010-02-07 1800464]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-22 136600]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\LeapFrog\\LeapFrog Connect Tag\\bin\\TAGMonitor.exe"=
"c:\\Program Files\\LeapFrog\\LeapFrog Connect Tag\\bin\\LeapFrogConnectTag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5883:TCP"= 5883:TCP:emule
"5884:UDP"= 5884:UDP:emule udp
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"6733:TCP"= 6733:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"1586:TCP"= 1586:TCP:Services
"6788:TCP"= 6788:TCP:Services
"3555:TCP"= 3555:TCP:Services
"3246:TCP"= 3246:TCP:Services
"4962:TCP"= 4962:TCP:Services
"2821:TCP"= 2821:TCP:Services

R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [07/02/2010 10:16 134344]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [07/02/2010 10:16 25160]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [20/01/2009 07:43 142592]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [10/02/2010 07:34 135664]
S3 FlyUsb;FLY Fusion;c:\windows\system32\drivers\FlyUsb.sys [10/01/2010 17:37 18560]
S3 phil2vid;Appareil photo VGA USB Philips PCVC690;c:\windows\system32\drivers\philcam2.sys [07/07/2009 08:37 173696]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06/03/2009 11:52 717296]
.
.
------- Examen supplémentaire -------
.
IE: {{C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - c:\microgaming\Poker\UnibetpokerMPP\MPPoker.exe
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-17 19:52
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8649E1D8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf764ff28
\Driver\ACPI -> ACPI.sys @ 0xf74b1cb8
\Driver\atapi -> atapi.sys @ 0xf7469852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(804)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\COMODO\COMODO Internet Security\cmdagent.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Spyware Terminator\sp_rsser.exe
c:\windows\system32\UAService7.exe
c:\windows\system32\wscntfy.exe
c:\windows\sm56hlpr.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2010-03-17 20:05:00 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-17 19:04
ComboFix2.txt 2010-03-17 17:36

Avant-CF: 9 801 650 176 octets libres
Après-CF: 9 753 972 736 octets libres

- - End Of File - - 028BDCAB3A0B97401EB03A87C4BD7CFE
0
Réponse 11 / 29
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Non membre Dernière intervention 17 février 2023 225
17 mars 2010 à 20:51
bon, il nous reste beaucoup de travail comme je te disais ton pc est infecté depuis longtemps, en effectuant des recherche je suis tombé sur ton poste du mois de janvier,

certaines infections qui avaient été traité sont revenues la mbr est a nouveau infectée, ........
mais ne t'en fait on devraient réussir a récupérer tout ca .

Je te laisse du travail afin de tester certains fichier suspects


Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK

-----------------------------------------------

ensuite


Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :


c:\program files\gbllmbam

c:\windows\system32\drivers\EagleNt.sy­s

c:\documents and settings\guille\IECompatCache

c:\documents and settings\HelpAssistant\IECompatCache

c:\windows\687EAE16F2E74B96B58CAC09F9119B8C.TMP



Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors




possède tu le cd de windows xp ? as tu un autre pc sous la main ?
0
Réponse 12 / 29
amaguis
17 mars 2010 à 21:55
gbllbam est une variante de malwabytes que j'avais créé lorsque mon ordinateur été infecté et qu'il ne voulait pas me laisser télécharger ce soft ...

voici le rapport de c:\windows\system32\drivers\EagleNt.sy­s


Fichier EagleNt.sys reçu le 2010.03.17 20:50:59 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/42 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 49 et 70 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.03.17 -
AhnLab-V3 5.0.0.2 2010.03.17 -
AntiVir 8.2.1.194 2010.03.17 -
Antiy-AVL 2.0.3.7 2010.03.17 -
Authentium 5.2.0.5 2010.03.17 -
Avast 4.8.1351.0 2010.03.17 -
Avast5 5.0.332.0 2010.03.17 -
AVG 9.0.0.787 2010.03.17 -
BitDefender 7.2 2010.03.17 -
CAT-QuickHeal 10.00 2010.03.17 -
ClamAV 0.96.0.0-git 2010.03.17 -
Comodo 4297 2010.03.17 -
DrWeb 5.0.1.12222 2010.03.17 -
eSafe 7.0.17.0 2010.03.17 -
eTrust-Vet 35.2.7369 2010.03.17 -
F-Prot 4.5.1.85 2010.03.17 -
F-Secure 9.0.15370.0 2010.03.17 -
Fortinet 4.0.14.0 2010.03.15 -
GData 19 2010.03.17 -
Ikarus T3.1.1.80.0 2010.03.17 -
Jiangmin 13.0.900 2010.03.17 -
K7AntiVirus 7.10.1000 2010.03.17 -
Kaspersky 7.0.0.125 2010.03.17 -
McAfee 5923 2010.03.17 -
McAfee+Artemis 5923 2010.03.17 -
McAfee-GW-Edition 6.8.5 2010.03.17 -
Microsoft 1.5605 2010.03.17 -
NOD32 4953 2010.03.17 -
Norman 6.04.08 2010.03.17 -
nProtect 2009.1.8.0 2010.03.17 -
Panda 10.0.2.2 2010.03.17 -
PCTools 7.0.3.5 2010.03.17 -
Prevx 3.0 2010.03.17 -
Rising 22.39.02.04 2010.03.17 -
Sophos 4.51.0 2010.03.17 -
Sunbelt 5939 2010.03.17 -
Symantec 20091.2.0.41 2010.03.17 -
TheHacker 6.5.2.0.236 2010.03.17 -
TrendMicro 9.120.0.1004 2010.03.17 -
VBA32 3.12.12.2 2010.03.17 -
ViRobot 2010.3.17.2232 2010.03.17 -
VirusBuster 5.0.27.0 2010.03.17 -
Information additionnelle
File size: 412928 bytes
MD5...: 7f580844a109da9d6162ce0819e5fca7
SHA1..: d63f2e186855d3ab36a28da984723e0a8752f45c
SHA256: 9785fc67df76f69ee6b0b835ff97e1e1dc89a7b981cbd128f57f08cf3397daff
ssdeep: 6144:YxPv0cWXIlfK3jh3jMzVsxH/tgQ4qMcqIPjQvTEsRhvMW24+oUY:ZcWY1K3
dzMRsLCaB7Qv1R1E4+RY

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1fdc8
timedatestamp.....: 0x4a39faf7 (Thu Jun 18 08:29:43 2009)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1334a 0x13380 6.34 d676aa973af5a3521ad183f02bde227d
.rdata 0x14380 0x655 0x680 5.34 d22ffd7f4cc8194383bbe82e308c4fa1
.data 0x14a00 0xb350 0xb380 0.37 9ee35b059edde0958faaa7ef05510001
INIT 0x1fd80 0xc40 0xc80 5.54 46f7976b9516442994aefce595329091
.rsrc 0x20a00 0x370 0x380 3.30 9add0b705f7d968088a706c20acd4adb
.AHNLAB0 0x20d80 0x19e4 0x1a00 7.51 6d7512a85afc62b15d31481e7dcc181d
.AHNLAB1 0x22780 0x40d5c 0x40d80 7.98 91a9781c960788d608128c8e831814ec
.reloc 0x63500 0x1794 0x1800 6.76 4ae85006535c7808984859e899064dd8

( 2 imports )
> ntoskrnl.exe: IoCreateSymbolicLink, IoCreateDevice, KeCancelTimer, KeWaitForSingleObject, KeSetTimerEx, KeInitializeTimerEx, InterlockedIncrement, InterlockedDecrement, MmMapLockedPagesSpecifyCache, PsGetCurrentThreadId, KeServiceDescriptorTable, IoGetCurrentProcess, _stricmp, strrchr, ExFreePool, ZwQuerySystemInformation, ExAllocatePoolWithTag, _except_handler3, RtlUnicodeStringToInteger, RtlCompareMemory, ZwClose, ZwQueryValueKey, ZwOpenKey, KeGetCurrentThread, ObReferenceObjectByHandle, MmProbeAndLockPages, IoAllocateMdl, KeReleaseSemaphore, ObfDereferenceObject, IoFreeMdl, MmUnlockPages, KeResetEvent, KeSetEvent, KeInitializeSemaphore, KeInitializeDpc, _allmul, _alldiv, wcslen, wcsrchr, ZwQueryInformationProcess, KeDetachProcess, KeAttachProcess, PsLookupProcessByProcessId, KeInitializeEvent, _wcsicmp, MmIsAddressValid, RtlFreeUnicodeString, PsGetCurrentProcessId, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ObReferenceObjectByName, IoDriverObjectType, PsInitialSystemProcess, RtlCompareUnicodeString, KeInitializeSpinLock, IoCancelIrp, IoReleaseCancelSpinLock, MmGetSystemRoutineAddress, IoGetStackLimits, PsCreateSystemThread, PsTerminateSystemThread, KeWaitForMultipleObjects, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, ExInterlockedPushEntrySList, ExInterlockedPopEntrySList, _wcsnicmp, ExInitializePagedLookasideList, ExDeletePagedLookasideList, ExFreeToPagedLookasideList, IoQueueWorkItem, IoAllocateWorkItem, IoFreeWorkItem, IoFileObjectType, ExAllocateFromPagedLookasideList, InterlockedExchange, IofCompleteRequest, RtlInitUnicodeString, IoDeleteSymbolicLink, IoDeleteDevice, PsGetVersion, PsThreadType, KeDelayExecutionThread, KeQueryPriorityThread, ZwYieldExecution, KeSetPriorityThread, KeSetAffinityThread, ObfReferenceObject, DbgPrint, InterlockedExchangeAdd, InterlockedCompareExchange, KeQueryActiveProcessors, ExEnumHandleTable, PsProcessType, IofCallDriver, IoAllocateIrp, IoFreeIrp, IoGetRelatedDeviceObject, IoGetTopLevelIrp, ObQueryNameString, wcscpy, PsSetCreateProcessNotifyRoutine
> HAL.dll: KfLowerIrql, KeGetCurrentIrql, ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock, KfReleaseSpinLock, KeRaiseIrqlToDpcLevel

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: AhnLab, Inc.
copyright....: Copyright(c) 1988-2002 Ahnlab, Inc.
product......: AhnLab, Inc.
description..: Ahnlab HackShield KernelMode Driver
original name: EagleXX.sys
internal name: EagleXX.sys
file version.: 0,0,1,69
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
0
Réponse 13 / 29
amaguis
17 mars 2010 à 21:59
voici le rapport du fichier c:\documents and settings\guille\IECompatCache



Fichier index.dat reçu le 2010.03.17 20:56:41 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/42 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 5.
L'heure estimée de démarrage est entre 70 et 100 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.03.17 -
AhnLab-V3 5.0.0.2 2010.03.17 -
AntiVir 8.2.1.194 2010.03.17 -
Antiy-AVL 2.0.3.7 2010.03.17 -
Authentium 5.2.0.5 2010.03.17 -
Avast 4.8.1351.0 2010.03.17 -
Avast5 5.0.332.0 2010.03.17 -
AVG 9.0.0.787 2010.03.17 -
BitDefender 7.2 2010.03.17 -
CAT-QuickHeal 10.00 2010.03.17 -
ClamAV 0.96.0.0-git 2010.03.17 -
Comodo 4298 2010.03.17 -
DrWeb 5.0.1.12222 2010.03.17 -
eSafe 7.0.17.0 2010.03.17 -
eTrust-Vet 35.2.7369 2010.03.17 -
F-Prot 4.5.1.85 2010.03.17 -
F-Secure 9.0.15370.0 2010.03.17 -
Fortinet 4.0.14.0 2010.03.15 -
GData 19 2010.03.17 -
Ikarus T3.1.1.80.0 2010.03.17 -
Jiangmin 13.0.900 2010.03.17 -
K7AntiVirus 7.10.1000 2010.03.17 -
Kaspersky 7.0.0.125 2010.03.17 -
McAfee 5923 2010.03.17 -
McAfee+Artemis 5923 2010.03.17 -
McAfee-GW-Edition 6.8.5 2010.03.17 -
Microsoft 1.5605 2010.03.17 -
NOD32 4953 2010.03.17 -
Norman 6.04.08 2010.03.17 -
nProtect 2009.1.8.0 2010.03.17 -
Panda 10.0.2.2 2010.03.17 -
PCTools 7.0.3.5 2010.03.17 -
Prevx 3.0 2010.03.17 -
Rising 22.39.02.04 2010.03.17 -
Sophos 4.51.0 2010.03.17 -
Sunbelt 5939 2010.03.17 -
Symantec 20091.2.0.41 2010.03.17 -
TheHacker 6.5.2.0.236 2010.03.17 -
TrendMicro 9.120.0.1004 2010.03.17 -
VBA32 3.12.12.2 2010.03.17 -
ViRobot 2010.3.17.2232 2010.03.17 -
VirusBuster 5.0.27.0 2010.03.17 -
Information additionnelle
File size: 16384 bytes
MD5...: d7a950fefd60dbaa01df2d85fefb3862
SHA1..: 15740b197555ba8e162c37a60ba655151e3bebae
SHA256: 75d0b1743f61b76a35b1fedd32378837805de58d79fa950cb6e8164bfa72073a
ssdeep: 3:qRFiJ2totWIlXllll:qjyx

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Microsoft Internet Explorer cache (94.9%)
HSC music composer song (5.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
Réponse 14 / 29
amaguis
17 mars 2010 à 22:02
le suivant c:\documents and settings\HelpAssistant\IECompatCache

Fichier index.dat reçu le 2010.03.17 21:00:58 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/42 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.03.17 -
AhnLab-V3 5.0.0.2 2010.03.17 -
AntiVir 8.2.1.194 2010.03.17 -
Antiy-AVL 2.0.3.7 2010.03.17 -
Authentium 5.2.0.5 2010.03.17 -
Avast 4.8.1351.0 2010.03.17 -
Avast5 5.0.332.0 2010.03.17 -
AVG 9.0.0.787 2010.03.17 -
BitDefender 7.2 2010.03.17 -
CAT-QuickHeal 10.00 2010.03.17 -
ClamAV 0.96.0.0-git 2010.03.17 -
Comodo 4298 2010.03.17 -
DrWeb 5.0.1.12222 2010.03.17 -
eSafe 7.0.17.0 2010.03.17 -
eTrust-Vet 35.2.7369 2010.03.17 -
F-Prot 4.5.1.85 2010.03.17 -
F-Secure 9.0.15370.0 2010.03.17 -
Fortinet 4.0.14.0 2010.03.15 -
GData 19 2010.03.17 -
Ikarus T3.1.1.80.0 2010.03.17 -
Jiangmin 13.0.900 2010.03.17 -
K7AntiVirus 7.10.1000 2010.03.17 -
Kaspersky 7.0.0.125 2010.03.17 -
McAfee 5923 2010.03.17 -
McAfee+Artemis 5923 2010.03.17 -
McAfee-GW-Edition 6.8.5 2010.03.17 -
Microsoft 1.5605 2010.03.17 -
NOD32 4953 2010.03.17 -
Norman 6.04.08 2010.03.17 -
nProtect 2009.1.8.0 2010.03.17 -
Panda 10.0.2.2 2010.03.17 -
PCTools 7.0.3.5 2010.03.17 -
Prevx 3.0 2010.03.17 -
Rising 22.39.02.04 2010.03.17 -
Sophos 4.51.0 2010.03.17 -
Sunbelt 5939 2010.03.17 -
Symantec 20091.2.0.41 2010.03.17 -
TheHacker 6.5.2.0.236 2010.03.17 -
TrendMicro 9.120.0.1004 2010.03.17 -
VBA32 3.12.12.2 2010.03.17 -
ViRobot 2010.3.17.2232 2010.03.17 -
VirusBuster 5.0.27.0 2010.03.17 -
Information additionnelle
File size: 16384 bytes
MD5...: d7a950fefd60dbaa01df2d85fefb3862
SHA1..: 15740b197555ba8e162c37a60ba655151e3bebae
SHA256: 75d0b1743f61b76a35b1fedd32378837805de58d79fa950cb6e8164bfa72073a
ssdeep: 3:qRFiJ2totWIlXllll:qjyx

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Microsoft Internet Explorer cache (94.9%)
HSC music composer song (5.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
Réponse 15 / 29
amaguis
17 mars 2010 à 22:07
concernant ce dossier, il y a 8 fichier , 2 .exe et 6 .dll

WiseCustomCall.dll
WiseCustomCalla1.dll
WiseCustomCalla2.dll
WiseCustomCalla4.dll
WiseCustomCalla7.dll
WiseCustomCalla8.exe
WiseCustomCalla9.exe
WiseCustomCalla.dll

lequel dois-je analyser ?
0
Réponse 16 / 29
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Non membre Dernière intervention 17 février 2023 225
17 mars 2010 à 22:27
laisse ceci de cotés, les infos sont maigres, on va regarder a l'aide zhpdiag (;-))

petite question a part, fait tu régulièrement des dépoussiérage de ton pc ?


Télécharge la dernière version de ZHPDiag : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint : http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
0
Réponse 17 / 29
amguis
18 mars 2010 à 07:36
Voila le lien

http://www.cijoint.fr/cjlink.php?file=cj201003/cijCyWb3DL.txt


Concernant ta question, je fais régulièrement un coup de ccleaner, malwarebytes et spybot search&destroy, c'est cela que tu appelles dépoussiérage ?
0
Réponse 18 / 29
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Non membre Dernière intervention 17 février 2023 225
18 mars 2010 à 11:31
bonjour, non je parlais d'un dépoussiérage du système de ventilation du pc, car une accumulation de poussière, produiras un arrêt du système afin de protéger les composant du pc, en cas d'accumulation importante de poussière le refroidissement ne se fait plus le pc surchauffe et s'arrête net.

essais de voir si tu peu dépoussiérer a l'aide d'un petit pinceau et d'une bombe d'air sec spéciale informatique ( ca se vend maintenant même en grande surface ou dans les point de maintenance informatique)

je vais regarder ton rapport et te tiens informé dans l'après midi.
0
Réponse 19 / 29
amaguis
18 mars 2010 à 19:20
Il y a comme un problème: un coup sur deux, j'ai un message comme quoi ce fil de discussion n'existe pas!!!
de plus j'ai redémaré l'ordi et une fenêtre est apparu dans IE "browserchoice.com" ou un truc dans ce style ...

Quoi qu'il en soit fonctionnement douteux !
0
Réponse 20 / 29
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
18 mars 2010 à 19:45
Bonsoir vous deux ,juste en passant : Browserchoice est installé suite a une mise ajour Windows .

Regarde ici pour la désinstaller .
0

Discussions similaires

Afficher courrier indésirable.
lunedete -
lunedete -

5 réponses
Disparition du dossier indésirablesThunderbird
indochinois -
Oiseau -

4 réponses
supprimer page accueil indésirable
eric38210 -
mijo -

64 réponses
Récupérer courrier indésirable
Sajapi -
Utilisateur anonyme -

1 réponse
Récupérer ma boite "courrier indésirable" sur Mac
Nyala -
_Ritchi_ -

1 réponse