Bizarre mon log HijackThis

Résolu

Ezequiel -
Ezequiel - 30 mars 2010 à 10:03

Bonjour à tous

Depuis hier, j'ai une fenêtre internet explorer qui s'ouvre au démarrage intitulé: "RON ads by Hoterevenue"

Je n'utilise pas IE comme navigateur.
J'ai fait un HiJackThis et il y a des trucs étranges dedans:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:57:25, on 25/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Documents and Settings\Claude\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Claude\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Claude\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Claude\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Claude\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Claude\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Claude\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Claude\Mes documents\Downloads\HiJackThis (1).exe
C:\Documents and Settings\Claude\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Claude\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://gamespace.daemon-tools.cc/fra/home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local 127.0.0.1 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SmartAds browser enhancer ilmvvtrr - {1E4D710F-A234-4EED-91A7-902AEF7B3459} - C:\WINDOWS\system32\ilmvvtrr.dll
O2 - BHO: ezLife browser enhancer hrxsmvjf - {415AA2C3-2321-4231-8448-2CF4A16D413F} - C:\WINDOWS\system32\hrxsmvjf.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: hotrevenue browser enhancer - {A8B1460B-1EAB-042D-F794-BBCAF02BE165} - C:\WINDOWS\system32\kgdslcireqc.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ezLife] rundll32 "hrxsmvjf.dll",,Run
O4 - HKLM\..\Run: [mavqsbalimdxdi] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\kgdslcireqc.dll"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: 3113068.lnk = C:\Documents and Settings\Claude\Local Settings\Temp\mvNat.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: 3113068.lnk = C:\Documents and Settings\Claude\Local Settings\Temp\mvNat.exe (User 'Default user')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
O4 - Startup: 3113068.lnk = C:\Documents and Settings\Claude\Local Settings\Temp\mvNat.exe
O4 - Global Startup: ColorVisionStartup.lnk = C:\Program Files\ColorVision\Utility\ColorVisionStartup.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/hardwaredetection/hardwaredetection_3_1_2_0.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

End of file - 9588 bytes

Ca c'est étrange que IE tourne sans qu'on lui demande:
"C:\Program Files\Internet Explorer\iexplore.exe"

Ceci me parais douteux également:
"O4 - HKLM\..\Run: [ezLife] rundll32 "hrxsmvjf.dll",,Run
O4 - HKLM\..\Run: [mavqsbalimdxdi] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\kgdslcireqc.dll"

AdAware n'est pas très Aware !! il n'a rien vu.
Un scan anti virus en ligne n'a rien détecté non plus.

A vot' bon coeur jeunes gens .

Ezéquiel

Afficher la suite

A voir également:

Bizarre mon log HijackThis
Hijackthis - Télécharger - Antivirus & Antimalwares
Vpn no log - Guide
Ti college plus log ✓ - Forum Bureautique
Log freebox - Forum Freebox
View rescue log - Guide

59 réponses

Réponse 21 / 59

desiderus Messages postés 252 Date d'inscription Statut Membre Dernière intervention 187

Bonjour,
Un bon conseil, télécharge Kaspersky (essai gratuit 1mois) et élimine le virus qui lance les process 'ilmvvtrr.dll' et 'hrxsmvjf.dll' sans oublier de désactiver la restauration système avant le scan.

La tool barre 'pdfforge' devrait être supprimée aussi

Le service 'bonjour' qui est un spyware d'Adobe et/ou d'Apple peut être désactivé tout simplement dans les services de Windows.

Un nettoyage de la base de registre serait pas mal non plus, pour ça par exemple :'{02478D38-C3F9-4efb-9B51-7695ECA05670}'

Bon courage
Des.

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Salut,

sans oublier de désactiver la restauration système avant le scan.

ça, ce n'est pas un bon conseil..

Bye

Réponse 22 / 59

Ezequiel

le rapport UsbFix:

############################## | UsbFix V6.100 |

User : Claude (Administrateurs) # CORINE-DB2615DF
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:41:38 | 25/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100325-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 226,07 Go (24 Go free) [HP_PAVILION] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque fixe local # 6,8 Go (825,93 Mo free) [HP_RECOVERY] # FAT32
J:\ -> Disque CD-ROM
K:\ -> Disque amovible
M:\ -> Disque CD-ROM

################## | Elements infectieux |

H:\autorun.inf

################## | Registre |

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\H
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

HKCU\..\..\Explorer\MountPoints2\{6ac9319e-654f-11dd-ae1e-806d6172696f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

HKCU\..\..\Explorer\MountPoints2\{9553484e-0d0b-11df-b4d5-00b08c0481c1}
Shell\AutoRun\command =I:\
Shell\explore\command =click/jack.exe
Shell\open\command =click/jack.exe

################## | Vaccin |

################## | ! Fin du rapport # UsbFix V6.100 ! |

Réponse 23 / 59

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

bien ....

la suite dans l'ordre :

1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\

=======================

2- Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,

:Reg
[-HKLM\software\microsoft\shared tools\msconfig\startupreg\odbcctl3dGlade]

:Files
C:\Documents and Settings\Claude\Local Settings\Application Data\odbcctl3dGlade\odbcctl3dGlade.dll
C:\Documents and Settings\Claude\Local Settings\Application Data\odbcctl3dGlade

:Commands
[purity]
[emptytemp]
[Reboot]

et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

=========================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Réponse 24 / 59

Ezequiel

UsbFix:

############################## | UsbFix V6.100 |

User : Claude (Administrateurs) # CORINE-DB2615DF
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 18:53:50 | 25/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100325-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 226,07 Go (24,09 Go free) [HP_PAVILION] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque fixe local # 6,8 Go (825,95 Mo free) [HP_RECOVERY] # FAT32
I:\ -> Disque fixe local # 955,7 Mo (721,73 Mo free) [BORY] # FAT
J:\ -> Disque CD-ROM
K:\ -> Disque amovible
M:\ -> Disque CD-ROM

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1220945662-1383384898-682003330-1003
Supprimé ! C:\Recycler\S-1-5-21-1220945662-1383384898-682003330-1004
Supprimé ! C:\Recycler\S-1-5-21-1220945662-1383384898-682003330-1005
Supprimé ! C:\Recycler\S-1-5-21-1551532414-3193679694-330364394-1007
Supprimé ! C:\Recycler\S-1-5-21-4019586635-3024224575-271314959-1007
Supprimé ! C:\Recycler\S-1-5-21-789336058-413027322-839522115-1003
Supprimé ! H:\autorun.inf

################## | Registre |

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\H\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[25/03/2010 14:29|--a------|1564] C:\aaw7boot.log
[03/01/2006 00:11|--ah-----|100] C:\AUTOEXEC.BAT
[29/12/2007 16:32|---hs----|211] C:\BOOT.BAK
[24/03/2010 17:26|---hs----|212] C:\boot.ini
[28/09/2001 13:00|-rahs----|4952] C:\Bootfont.bin
[25/03/2010 12:43|--a------|1304] C:\cleannavi.txt
[09/08/2004 22:00|-r-hs----|263488] C:\cmldr
[10/10/2005 12:34|--ah-----|0] C:\CONFIG.SYS
[28/10/2007 09:53|--a------|48926] C:\crashAddress.txt
[06/10/2006 10:53|--a------|0] C:\error.txt
[07/11/2007 08:00|--a------|17734] C:\eula.1028.txt
[07/11/2007 08:00|--a------|17734] C:\eula.1031.txt
[07/11/2007 08:00|--a------|10134] C:\eula.1033.txt
[07/11/2007 08:00|--a------|17734] C:\eula.1036.txt
[07/11/2007 08:00|--a------|17734] C:\eula.1040.txt
[07/11/2007 08:00|--a------|118] C:\eula.1041.txt
[07/11/2007 08:00|--a------|17734] C:\eula.1042.txt
[07/11/2007 08:00|--a------|17734] C:\eula.2052.txt
[07/11/2007 08:00|--a------|17734] C:\eula.3082.txt
[07/11/2007 08:00|--a------|1110] C:\globdata.ini
[11/10/2007 14:29|--a------|488] C:\hpfr5550.xml
[16/11/2009 15:38|--a------|47] C:\index.html
[07/11/2007 08:03|--a------|562688] C:\install.exe
[07/11/2007 08:00|--a------|843] C:\install.ini
[07/11/2007 08:03|--a------|76304] C:\install.res.1028.dll
[07/11/2007 08:03|--a------|96272] C:\install.res.1031.dll
[07/11/2007 08:03|--a------|91152] C:\install.res.1033.dll
[07/11/2007 08:03|--a------|97296] C:\install.res.1036.dll
[07/11/2007 08:03|--a------|95248] C:\install.res.1040.dll
[07/11/2007 08:03|--a------|81424] C:\install.res.1041.dll
[07/11/2007 08:03|--a------|79888] C:\install.res.1042.dll
[07/11/2007 08:03|--a------|75792] C:\install.res.2052.dll
[07/11/2007 08:03|--a------|96272] C:\install.res.3082.dll
[10/10/2005 12:34|-rahs----|0] C:\IO.SYS
[17/06/2007 19:46|--ah-----|1636] C:\IPH.PH
[25/03/2010 12:36|--a------|29777] C:\lopR.txt
[15/12/2007 12:59|--a------|8362] C:\lvcoinst.log
[04/05/2009 20:11|--a------|6271223] C:\masm32.zip
[29/12/2007 23:13|--a------|17646] C:\MP4debug.log
[10/10/2005 12:34|-rahs----|0] C:\MSDOS.SYS
[03/08/2004 21:38|-rahs----|47564] C:\NTDETECT.COM
[03/08/2004 21:59|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[08/10/2006 12:02|--a------|230432] C:\StiImg.dat
[31/10/2005 16:56|--a------|700416] C:\StubInstaller.exe
[25/03/2010 13:42|--a------|2605] C:\TB.txt
[18/11/2007 11:24|--a------|108356] C:\test.log
[19/07/2007 18:33|--a------|72] C:\trayicon.ini
[19/07/2007 17:53|--a------|27] C:\trayicon.ph
[10/05/2009 09:39|--a------|7] C:\tw0001.dat
[25/03/2010 19:06|--a------|4250] C:\UsbFix.txt
[07/11/2007 08:00|--a------|5686] C:\vcredist.bmp
[07/11/2007 08:09|--a------|1442522] C:\VC_RED.cab
[07/11/2007 08:12|--a------|232960] C:\VC_RED.MSI
[13/08/2007 10:29|--a------|2579] C:\winupd.0at
[25/03/2010 13:59|--a------|25738] C:\ZHPExportRegistry-25-03-2010-13-59-22.txt
[27/07/2001 08:07|---hs----|0] H:\AUTOEXEC.BAT
[09/01/2002 18:52|---hs----|244] H:\BOOT.INI
[16/08/2001 11:26|---hs----|237728] H:\CMLDR
[28/07/2001 06:07|---hs----|0] H:\CONFIG.SYS
[24/05/2005 20:48|---hs----|102] H:\Desktop.ini
[10/09/2002 02:21|---hs----|7850] H:\Folder.htt
[17/06/2001 09:31|---hs----|0] H:\GRAPH
[25/01/2002 02:21|---hs----|0] H:\GRAPH16
[29/11/2004 21:01|---hs----|73728] H:\Info.exe
[28/07/2001 06:07|---hs----|0] H:\IO.SYS
[28/07/2001 06:07|---hs----|0] H:\MSDOS.SYS
[25/07/2001 22:00|---hs----|45124] H:\NTDETECT.COM
[25/07/2001 22:00|---hs----|222880] H:\NTLDR
[09/09/2002 23:58|---hs----|181616] H:\protect.ed
[02/01/2006 17:40|---hs----|36] H:\SAVEFILE.DIR
[08/02/2002 01:44|---hs----|88038] H:\Warning.bmp
[23/07/2007 20:53|---hs----|1238] H:\MASTER.LOG
[17/08/2001 00:32|---hs----|0] H:\Ntfs
[23/05/2001 13:19|---hs----|0] H:\Svga
[18/08/2001 00:00|---hs----|10] H:\Win51
[21/01/2001 23:00|---hs----|11] H:\Win51.b2
[25/07/2001 00:00|---hs----|11] H:\Win51.rc1
[25/07/2001 05:47|---hs----|11] H:\Win51.rc2
[18/08/2001 00:00|---hs----|10] H:\Win51ic
[19/03/2001 23:00|---hs----|11] H:\Win51ic.b2
[25/07/2001 00:00|---hs----|11] H:\Win51ic.rc1
[25/07/2001 00:00|---hs----|11] H:\Win51ic.rc2
[17/08/2001 00:00|---hs----|10] H:\Win51ip
[21/01/2001 23:00|---hs----|11] H:\Win51ip.b2
[25/07/2001 05:47|---hs----|11] H:\Win51ip.rc2
[16/08/2001 22:17|---hs----|184] H:\Winbom.ini
[02/01/2006 18:07|---hs----|6] H:\BLOCK.RIN
[02/01/2006 18:07|--ahs----|926] H:\USER
[24/02/2004 18:38|--a------|498] H:\BATCH.OLD
[01/02/2006 00:58|--ahs----|1552] H:\BATCH.LOG
[17/07/2007 17:03|-r-hs----|26] H:\RCBoot.sys
[06/12/2009 12:59|---hs----|10562] I:\Folder.jpg
[12/03/2010 18:56|--a------|19543040] I:\BORY.doc
[16/02/2010 14:39|--a------|12109] I:\Samantha BORY lettre de motivation 2.docx
[15/02/2010 15:25|--a------|24576] I:\Samantha BORY lettre de motivation secretariat.doc
[16/02/2010 14:30|--a------|27136] I:\CV.doc
[07/02/2010 05:21|---hs----|2382] I:\AlbumArtSmall.jpg

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_CORINE-DB2615DF.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.100 ! |

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 59

Ezequiel

All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\odbcctl3dGlade\ deleted successfully.
========== FILES ==========
DllUnregisterServer procedure not found in C:\Documents and Settings\Claude\Local Settings\Application Data\odbcctl3dGlade\odbcctl3dGlade.dll
C:\Documents and Settings\Claude\Local Settings\Application Data\odbcctl3dGlade\odbcctl3dGlade.dll moved successfully.
C:\Documents and Settings\Claude\Local Settings\Application Data\odbcctl3dGlade folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: All Users

User: All Users.WINDOWS

User: Autre
->Temp folder emptied: 1205095490 bytes
->Temporary Internet Files folder emptied: 30504858 bytes
->Java cache emptied: 1860637 bytes
->FireFox cache emptied: 87231906 bytes
->Flash cache emptied: 33023 bytes

User: Claude
->Temp folder emptied: 32772 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 33225247 bytes
->Google Chrome cache emptied: 20830136 bytes
->Flash cache emptied: 3902 bytes

User: Corine
->Temp folder emptied: 696176 bytes
->Temporary Internet Files folder emptied: 600953 bytes
->FireFox cache emptied: 89789696 bytes
->Flash cache emptied: 954 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 36147 bytes

User: LocalService.AUTORITE NT
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService.AUTORITE NT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 988662 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114013 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 191000 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 27775258 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 195257610 bytes

Total Files Cleaned = 1 618,00 mb

OTM by OldTimer - Version 3.1.10.1 log created on 03252010_191210

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_5ec.dat moved successfully.

Registry entries deleted on Reboot...

Réponse 26 / 59

Ezequiel

voici le dernier ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201003/cijeyVL3bl.txt

Je ne suis pas là avant demain après midi, donc si il reste autre choses a faire ,je le ferais demain.
Merci pour votre aide !!!

Ezéquiel

Réponse 27 / 59

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

très bien ...

dis moi comment va le Pc maintenant .... du mieux ? ...

puis fait ceci pour demain :

1- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) :

http://www2.gmer.net/gmer.zip

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!

* Double-clique sur gmer.exe pour lancer l'outil .
* Mets toi bien sur l'onglet "rootkit", puis clique sur scan.

> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )

* A la fin du scan, clique sur le bouton copy.
* Puis va dans "démarrer" > "programmes" > "accessoires" : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. Enfin sauvegarde ce rapport de manière à le retrouver ....

> poste le rapport stp ...

=========================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) !

* Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

* Une fois l'outil ouvert, clique sur le bouton [Scanner] .

* Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Réponse 28 / 59

Ezequiel

Bonjour sKe69,

J'ai essayé gmer hiers.
1er essai au bout de 25 minute : BOSD
2eme Essai au bout de 2h15: L'ordi c'est figé (caps lock et verr num bloqué)

J'a iles nerfs.

Sinon l'ordi a l'air de beaucoup mieux marché. Il n'y a plus ces pages IE qui s'ouvrent.
Il est plus rapide, au démarrage il y a mieux de processus en cours donc moins de mémoire utilisé.

Je suis photographe puis je utiliser mes softs de traitement de photo ? Comme Lightroom et photoshop ?

On fais quoi pour ce vilain gmer ??

Réponse 29 / 59

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

hello,

tu peux utiliser tes soft pour la photo sans prb .... ;)

Pour GMER , c'est plus problématique ... si il foire , c'est possible qu'une bestiole plus sournoise soit dans le coup ...

tu as bien désactivé tes défenses avant de le lancer n'est-ce pas ? ... si se n'était pas le cas , recommence en désactivant tes défenses ....

Sinon passe à AD-Remover directement et on avisera pour la suite ...

Réponse 30 / 59

Ezequiel

pour le BOSD la premiere fois ca doit venir de moi.
J'avais pas éteint toutes mes défenses (il est con ce avast!!)
Quand j'ai essayé d'éteindre complètement avast, c'est là que j'ai eu un BOSD.

La deuxieme fois par contre j'ai rien fait de mal.

Ce matin j'ai juste relancé gmer (sans faire scan) Avast était lancé comme d'hab.
et j'ai eu droit un un bleu screen de la mort.

je lance ad R

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

tu sais désactiver Avast au moins ?...

clique droit sur l'icone présent dans la barre des tâche / désactiver la protection résident / valider la modif ...

désactiver les "bouclier" uniquement ne sert à rien ...

Réponse 31 / 59

Ezequiel

haaa, oui c'est vrai hier j'ai pas fais comme ca.....J'ai cherché j'était trop fatigué....

Voici le rapport AD-R:
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 23/03/10 à 14:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 10:13:02 le 27/03/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 2 - X86
Nom du PC: CORINE-DB2615DF | Utilisateur actuel: Claude (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Documents and Settings\All Users.WINDOWS\Application Data\Trymedia
C:\Documents and Settings\Autre\Application Data\pdfforge
C:\Documents and Settings\Claude\Application Data\Mozilla\FireFox\Profiles\kunw58yr.default\searchplugins\web-search.xml
C:\Documents and Settings\Claude\Application Data\pdfforge
C:\Documents and Settings\Corine\Application Data\pdfforge
C:\Program Files\Macrogaming
C:\Program Files\Mozilla FireFox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}
C:\Program Files\pdfforge Toolbar
.
HKCU\Software\AppDataLow\software\{55D81FF0-318E-717F-4C07-7FD5B50878DB}
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\pdfforge
HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\pdfforge
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.exe
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.2pre (fr) *
.
C:\Documents and Settings\Claude\..\kunw58yr.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Claude\\Mes documents
C:\Documents and Settings\Claude\..\kunw58yr.default\prefs.js - browser.search.defaultenginename: Web Search...
C:\Documents and Settings\Claude\..\kunw58yr.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\Claude\..\kunw58yr.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Documents and Settings\Claude\..\kunw58yr.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.2
C:\Documents and Settings\Claude\..\kunw58yr.default\prefs.js - keyword.URL: hxxp://radiobar.toolbarhome.com/search.aspx?srch=ku&q=
C:\Documents and Settings\Autre\..\3v9k0i4e.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Autre\\Mes documents\\Samantha
C:\Documents and Settings\Autre\..\3v9k0i4e.default\prefs.js - browser.search.defaultenginename: Yahoo
C:\Documents and Settings\Autre\..\3v9k0i4e.default\prefs.js - browser.search.selectedEngine: Yahoo
C:\Documents and Settings\Autre\..\3v9k0i4e.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.2
C:\Documents and Settings\Autre\..\3v9k0i4e.default\prefs.js - keyword.URL: hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
C:\Documents and Settings\Corine\..\6d91pa6p.default\prefs.js - browser.search.selectedEngine: Yahoo
C:\Documents and Settings\Corine\..\6d91pa6p.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.5
C:\Documents and Settings\Corine\..\6d91pa6p.default\prefs.js - keyword.URL: hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Search_URL: hxxp://www.google.com/ie
Do404Search: 0x01000000
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.google.com/ie
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
============== SUSPECT(S) ==============
.
C:\Documents and Settings\Claude\Bureau\crackme\crackme.exe
C:\Documents and Settings\Claude\Bureau\CrackMeMoe\CrackMeMoe.exe
C:\Documents and Settings\Claude\Mes documents\Downloads\crackme.rar
C:\Documents and Settings\Claude\Mes documents\rld-biah\Crack\biahh.exe
C:\Documents and Settings\Claude\Mes documents\Téléchargements\CrackMeMoe.zip
.
========================================
.
C:\DOCUME~1\Claude\LOCALS~1\Temp: 3 Fichier(s), 4 Dossier(s)
C:\WINDOWS\temp: 6 Fichier(s), 3 Dossier(s)
Temporary Internet Files: 8 Fichier(s), 5 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 6087 Octet(s)
.
Fin à: 10:26:49, 27/03/2010
.
============== E.O.F - SCAN[1] ==============

Réponse 32 / 59

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

re,

haaa, oui c'est vrai hier j'ai pas fais comme ca.....J'ai cherché j'était trop fatigué....

donc tout s'explique ... ^^'

donc la suite :

1- [b]![/b] Déconnecte toi et ferme toutes applications en cours (Navigateur compris) [b]! [/b]

* Double clique sur [i]Ad-remover.exe [/i]qui est sur ton bureau pour lancer l'outil .

* Au menu principal clique cette fois sue le bouton [b][Nettoyer][/b] .

* Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\[i]Ad-Report-CLEAN.log [/i])
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

=======================

2- retente GMER et désactivant correctement Avast cette fois ... ;)

Poste le rapport obtenu si cela a fonctionné ...

Réponse 33 / 59

Ezequiel

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 23/03/10 à 14:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:17:42 le 27/03/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 2 - X86
Nom du PC: CORINE-DB2615DF | Utilisateur actuel: Claude (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Documents and Settings\All Users.WINDOWS\Application Data\Trymedia
C:\Documents and Settings\Autre\Application Data\pdfforge
C:\Documents and Settings\Claude\Application Data\Mozilla\FireFox\Profiles\kunw58yr.default\searchplugins\web-search.xml
C:\Documents and Settings\Claude\Application Data\pdfforge
C:\Documents and Settings\Corine\Application Data\pdfforge
C:\Program Files\Macrogaming
C:\Program Files\Mozilla FireFox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}
C:\Program Files\pdfforge Toolbar

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\AppDataLow\software\{55D81FF0-318E-717F-4C07-7FD5B50878DB}
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\pdfforge
HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\pdfforge
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.exe
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.2pre (fr) *
.
C:\Documents and Settings\Claude\..\kunw58yr.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Claude\\Mes documents
C:\Documents and Settings\Claude\..\kunw58yr.default\prefs.js - browser.search.defaultenginename: Web Search...
C:\Documents and Settings\Claude\..\kunw58yr.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\Claude\..\kunw58yr.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Documents and Settings\Claude\..\kunw58yr.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.2
C:\Documents and Settings\Claude\..\kunw58yr.default\prefs.js - keyword.URL: hxxp://radiobar.toolbarhome.com/search.aspx?srch=ku&q=
C:\Documents and Settings\Autre\..\3v9k0i4e.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Autre\\Mes documents\\Samantha
C:\Documents and Settings\Autre\..\3v9k0i4e.default\prefs.js - browser.search.defaultenginename: Yahoo
C:\Documents and Settings\Autre\..\3v9k0i4e.default\prefs.js - browser.search.selectedEngine: Yahoo
C:\Documents and Settings\Autre\..\3v9k0i4e.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.2
C:\Documents and Settings\Autre\..\3v9k0i4e.default\prefs.js - keyword.URL: hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
C:\Documents and Settings\Corine\..\6d91pa6p.default\prefs.js - browser.search.selectedEngine: Yahoo
C:\Documents and Settings\Corine\..\6d91pa6p.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.5
C:\Documents and Settings\Corine\..\6d91pa6p.default\prefs.js - keyword.URL: hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
============== SUSPECT(S) ==============
.
C:\Documents and Settings\Claude\Bureau\crackme\crackme.exe
C:\Documents and Settings\Claude\Bureau\CrackMeMoe\CrackMeMoe.exe
C:\Documents and Settings\Claude\Mes documents\Downloads\crackme.rar
C:\Documents and Settings\Claude\Mes documents\rld-biah\Crack\biahh.exe
C:\Documents and Settings\Claude\Mes documents\Téléchargements\CrackMeMoe.zip
.
========================================
.
C:\DOCUME~1\Claude\LOCALS~1\Temp: 0 Fichier(s), 4 Dossier(s)
C:\WINDOWS\temp: 3 Fichier(s), 3 Dossier(s)
Temporary Internet Files: 0 Fichier(s), 5 Dossier(s)
.
C:\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Ad-Remover\Backup: 14 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 6274 Octet(s)
C:\Ad-Report-SCAN[1].txt - 5555 Octet(s)
.
Fin à: 11:30:08, 27/03/2010
.
============== E.O.F - CLEAN[1] ==============

Je tente le Gmer...

Réponse 34 / 59

Ezequiel

Une horreur à utiliser ce gmer.

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-27 11:48:33
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\Claude\LOCALS~1\Temp\kglyiaob.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB56F36B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB56F3574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB56F3A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB56F314C]
SSDT spmj.sys ZwEnumerateKey [0xBA6C6CA2]
SSDT spmj.sys ZwEnumerateValueKey [0xBA6C7030]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB56F364E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB56F308C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB56F30F0]
SSDT spmj.sys ZwQueryKey [0xBA6C7108]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB56F376E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB56F372E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB56F38AE]

INT 0x63 ? 8A1CEBF8
INT 0x63 ? 8A1CEBF8
INT 0x63 ? 8A1CEBF8
INT 0x63 ? 8A1CEBF8
INT 0x63 ? 89F9EBF8
INT 0x63 ? 89F9EBF8
INT 0x63 ? 8A1CEBF8
INT 0x84 ? 89F9EBF8
INT 0xB4 ? 89F9EBF8
INT 0xB4 ? 89F9EBF8
INT 0xB4 ? 89F9EBF8
INT 0xB4 ? 89F9EBF8
INT 0xB4 ? 89F9EBF8

---- Kernel code sections - GMER 1.0.15 ----

? spmj.sys Le fichier spécifié est introuvable. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB98DD360, 0x37192D, 0xE8000020]
.text USBPORT.SYS!DllUnload B98BE62C 5 Bytes JMP 89F9E1D8
.text ap33abip.SYS B9809386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text ap33abip.SYS B98093AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text ap33abip.SYS B98093C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text ap33abip.SYS B98093C9 1 Byte [2E]
.text ap33abip.SYS B98093C9 11 Bytes [2E, 00, 00, 00, 5A, 02, 00, ...]
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A9040] spmj.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A913C] spmj.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A90BE] spmj.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A97FC] spmj.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A96D2] spmj.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6B9048] spmj.sys
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[HAL.dll!KfAcquireSpinLock] 4B8BDF8B
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[HAL.dll!READ_PORT_UCHAR] 8D3F0304
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[HAL.dll!KeGetCurrentIrql] CB033043
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[HAL.dll!KfRaiseIrql] 0673C13B
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[HAL.dll!KfLowerIrql] C13B0003
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[HAL.dll!HalGetInterruptVector] 8366FA72
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[HAL.dll!HalTranslateBusAddress] 75000E7B
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[HAL.dll!KeStallExecutionProcessor] 0B7D80E3
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[HAL.dll!KfReleaseSpinLock] 307B8D00
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 00AA840F
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[HAL.dll!READ_PORT_USHORT] 83660000
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 6A000E7A
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[HAL.dll!WRITE_PORT_UCHAR] C6647400
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[WMILIB.SYS!WmiSystemControl] 4F8B0200
IAT \SystemRoot\System32\Drivers\ap33abip.SYS[WMILIB.SYS!WmiCompleteRequest] 968D5140

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\Explorer.EXE[180] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00B42F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[180] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00B42C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[180] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00B42CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[180] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00B42CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\system32\services.exe[784] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002
IAT C:\WINDOWS\system32\services.exe[784] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A1CD1F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fastfat \FatCdrom 898C71F8

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\sptd \Device\104740556 spmj.sys
Device \Driver\usbuhci \Device\USBPDO-0 89F9D1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A1601F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A1601F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A1601F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A1601F8
Device \Driver\usbuhci \Device\USBPDO-1 89F9D1F8
Device \Driver\usbehci \Device\USBPDO-2 89F831F8
Device \Driver\usbehci \Device\USBPDO-3 89F831F8
Device \Driver\usbuhci \Device\USBPDO-4 89F9D1F8

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbuhci \Device\USBPDO-5 89F9D1F8
Device \Driver\usbuhci \Device\USBPDO-6 89F9D1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A1CF1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A1CF1F8
Device \Driver\Cdrom \Device\CdRom0 89F9F500
Device \Driver\Cdrom \Device\CdRom1 89F9F500
Device \Driver\atapi \Device\Ide\IdePort0 8A1CE1F8
Device \Driver\atapi \Device\Ide\IdePort1 8A1CE1F8
Device \Driver\atapi \Device\Ide\IdePort2 8A1CE1F8
Device \Driver\atapi \Device\Ide\IdePort3 8A1CE1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 8A1CE1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 8A1CE1F8
Device \Driver\Cdrom \Device\CdRom2 89F9F500
Device \Driver\NetBT \Device\NetBT_Tcpip_{DFD8C850-AC92-4CFC-8A36-C85443B35CAA} 898D01F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 898D01F8
Device \Driver\PCI_PNP0556 \Device\0000004a spmj.sys
Device \Driver\NetBT \Device\NetbiosSmb 898D01F8
Device \Driver\usbstor \Device\00000079 89DEE500

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbuhci \Device\USBFDO-0 89F9D1F8
Device \Driver\usbstor \Device\0000007a 89DEE500
Device \Driver\usbuhci \Device\USBFDO-1 89F9D1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 898EC1F8
Device \Driver\usbstor \Device\0000007b 89DEE500
Device \Driver\usbehci \Device\USBFDO-2 89F831F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 898EC1F8
Device \Driver\usbstor \Device\0000007c 89DEE500
Device \Driver\usbuhci \Device\USBFDO-3 89F9D1F8
Device \Driver\usbstor \Device\0000007d 89DEE500
Device \Driver\usbuhci \Device\USBFDO-4 89F9D1F8
Device \Driver\Ftdisk \Device\FtControl 8A1CF1F8
Device \Driver\usbuhci \Device\USBFDO-5 89F9D1F8
Device \Driver\usbehci \Device\USBFDO-6 89F831F8
Device \Driver\ap33abip \Device\Scsi\ap33abip1 89F3B1F8
Device \Driver\ap33abip \Device\Scsi\ap33abip1Port5Path0Target0Lun0 89F3B1F8
Device \FileSystem\Fastfat \Fat 898C71F8

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Cdfs \Cdfs 89DED500
Device \FileSystem\Cdfs \Cdfs B463EBCE

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x48 0xAF 0x9B 0xAC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x35 0x56 0xF8 0x88 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFD 0xDE 0xE9 0x8E ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x48 0xAF 0x9B 0xAC ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x35 0x56 0xF8 0x88 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFD 0xDE 0xE9 0x8E ...

---- EOF - GMER 1.0.15 ----

Réponse 35 / 59

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

bien

maintenant on va vérifier quelques merdouilles qui trainent sur le PC :

1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\Documents and Settings\Claude\Bureau\crackme\crackme.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses

Fais de même pour :

C:\Documents and Settings\Claude\Bureau\CrackMeMoe\CrackMeMoe.exe
C:\Documents and Settings\Claude\Mes documents\rld-biah\Crack\biahh.exe

Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Réponse 36 / 59

Ezequiel

je peux te dire ce qu'il y a dans crackme et crackmemoe.
le crackme c'est moi qui l'ais fait et le crackmemoe c'est un pote.
Il y a toute les chances pour les antivirus les percois comme des virus c'est du code polymorphique avec automodification du PE redirection de l'IAT et TLS call back.

A mes heures je donne des cours de crac.. pardon! des cours sur la protection des logiciels.

biah je connais pas je regarde.

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

fait l'analyse et poste les rapports stp ... ^^

Réponse 37 / 59

Ezequiel

peux pas pour biah:
Bigger than max permited size / Mayor del tamaÃ±o mÃ¡ximo permitido

46Mo le crack!!! putain de gamin c'est le crakc pour Brother in Arms.

Réponse 38 / 59

Ezequiel

Fichier CrackMeMoe.exe reçu le 2010.03.27 19:48:13 (UTC)
Situation actuelle: terminé
Résultat: 1/42 (2.39%)
Formaté
Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.03.27 -
AhnLab-V3 5.0.0.2 2010.03.27 -
AntiVir 7.10.5.241 2010.03.26 -
Antiy-AVL 2.0.3.7 2010.03.26 -
Authentium 5.2.0.5 2010.03.27 -
Avast 4.8.1351.0 2010.03.27 -
Avast5 5.0.332.0 2010.03.27 -
AVG 9.0.0.787 2010.03.27 -
BitDefender 7.2 2010.03.27 -
CAT-QuickHeal 10.00 2010.03.27 -
ClamAV 0.96.0.0-git 2010.03.27 -
Comodo 4405 2010.03.27 -
DrWeb 5.0.1.12222 2010.03.27 -
eSafe 7.0.17.0 2010.03.25 -
eTrust-Vet 35.2.7391 2010.03.26 -
F-Prot 4.5.1.85 2010.03.27 -
F-Secure 9.0.15370.0 2010.03.27 -
Fortinet 4.0.14.0 2010.03.27 -
GData 19 2010.03.27 -
Ikarus T3.1.1.80.0 2010.03.27 -
Jiangmin 13.0.900 2010.03.27 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.27 -
McAfee 5933 2010.03.27 -
McAfee+Artemis 5933 2010.03.27 -
McAfee-GW-Edition 6.8.5 2010.03.27 -
Microsoft 1.5605 2010.03.27 -
NOD32 4978 2010.03.26 -
Norman 6.04.10 2010.03.27 -
nProtect 2009.1.8.0 2010.03.27 -
Panda 10.0.2.2 2010.03.27 -
PCTools 7.0.3.5 2010.03.27 -
Prevx 3.0 2010.03.27 -
Rising 22.40.05.04 2010.03.27 -
Sophos 4.52.0 2010.03.27 -
Sunbelt 6101 2010.03.26 -
Symantec 20091.2.0.41 2010.03.27 Suspicious.Insight
TheHacker 6.5.2.0.246 2010.03.27 -
TrendMicro 9.120.0.1004 2010.03.27 -
VBA32 None 2010.03.27 -
ViRobot 2010.3.27.2248 2010.03.27 -
VirusBuster 5.0.27.0 2010.03.27 -
Information additionnelle
File size: 627712 bytes
MD5...: b25abc1a5379eea714416ad9d700beab
SHA1..: 9d397d61d98e5d6f460a4bb79384d30e01f8e33e
SHA256: 0f1c516f21ab97812c80f3fab2b98e31778f5076b7091d413678fd3d81d68fce
ssdeep: 12288:ul0v1FkvNx0EvhqTKVfWGPs3IPab8y2pmCs3TKDeDU+wo4if:ul0v1FkvN
Yqs3IPa7uPo4i
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x12a0
timedatestamp.....: 0x49204ae9 (Sun Nov 16 16:31:37 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x41148 0x41200 6.10 5029c5ee9c437a14f812f3a9add59764
.data 0x43000 0x1f0 0x200 2.03 1ccb2779f2f2e43a87c2127d746ce86f
.rdata 0x44000 0x27ec 0x2800 5.31 0aa562156e41d262974a74b2614a4cab
.bss 0x47000 0x5364 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x4d000 0xa1c 0xc00 4.66 f7d7d1df29ee8b460efa3fedfa375943
.rsrc 0x4e000 0x546b8 0x54800 6.26 f4e9bae30b7afa83cfdc668fb9e8c712

Réponse 39 / 59

Ezequiel

Pour Crackme:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.03.27 Virus.Packed.Win32.Tibs.if!IK
AhnLab-V3 5.0.0.2 2010.03.27 -
AntiVir 7.10.5.241 2010.03.26 -
Antiy-AVL 2.0.3.7 2010.03.26 -
Authentium 5.2.0.5 2010.03.27 -
Avast 4.8.1351.0 2010.03.27 -
Avast5 5.0.332.0 2010.03.27 -
AVG 9.0.0.787 2010.03.27 -
BitDefender 7.2 2010.03.27 -
CAT-QuickHeal 10.00 2010.03.27 -
ClamAV 0.96.0.0-git 2010.03.27 -
Comodo 4405 2010.03.27 -
DrWeb 5.0.1.12222 2010.03.27 -
eSafe 7.0.17.0 2010.03.25 -
eTrust-Vet 35.2.7391 2010.03.26 -
F-Prot 4.5.1.85 2010.03.27 -
F-Secure 9.0.15370.0 2010.03.27 -
Fortinet 4.0.14.0 2010.03.27 -
GData 19 2010.03.27 -
Ikarus T3.1.1.80.0 2010.03.27 Virus.Packed.Win32.Tibs.if
Jiangmin 13.0.900 2010.03.27 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.27 -
McAfee 5933 2010.03.27 -
McAfee+Artemis 5933 2010.03.27 -
McAfee-GW-Edition 6.8.5 2010.03.27 -
Microsoft 1.5605 2010.03.27 -
NOD32 4978 2010.03.26 -
Norman 6.04.10 2010.03.27 -
nProtect 2009.1.8.0 2010.03.27 -
Panda 10.0.2.2 2010.03.27 -
PCTools 7.0.3.5 2010.03.27 -
Prevx 3.0 2010.03.27 -
Rising 22.40.05.04 2010.03.27 -
Sophos 4.52.0 2010.03.27 -
Sunbelt 6101 2010.03.26 -
Symantec 20091.2.0.41 2010.03.27 Suspicious.Insight
TheHacker 6.5.2.0.246 2010.03.27 -
TrendMicro 9.120.0.1004 2010.03.27 -
VBA32 3.12.12.2 2010.03.27 -
ViRobot 2010.3.27.2248 2010.03.27 -
VirusBuster 5.0.27.0 2010.03.27 -
Information additionnelle
File size: 390779 bytes
MD5...: e36a926b2be9cba595307fe8cba730d9
SHA1..: bc2e2b889a0b5bcc1ad594d4ba6334bd51fa2fe8
SHA256: 491f0384e251b2466940545761cf061380d3aa6f598d83ad7336ce3e31dbb9cc
ssdeep: 3072:MfLU/IYE3LLXlSjgKGiF7AoYPbsXUc9fpzp51333339caH/sWKaa:MY/GLj
lSEKGi1AVbsXUcB/33333+aHWj
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x12a0
timedatestamp.....: 0x4794c83f (Mon Jan 21 16:28:47 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1504 0x1600 5.89 6e492376bf492760a3339c185d159d20
.data 0x3000 0x40 0x200 0.22 ad1bd45c45d3519e298acf5333df1c6c
.rdata 0x4000 0x1b0 0x200 5.20 0c572e55d30034a226222d2f8d385566
.bss 0x5000 0x240 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x6000 0x4e8 0x600 3.80 38c2d458b9dfda24eec243983cb611d7
.rsrc 0x7000 0x59490 0x59600 4.91 218be090ba3b81164831062b7678feca

( 3 imports )
> KERNEL32.dll: AddAtomA, CloseHandle, CreateToolhelp32Snapshot, ExitProcess, FindAtomA, GetAtomNameA, GetCommandLineA, GetModuleHandleA, GetStartupInfoA, OpenProcess, Process32First, Process32Next, SetUnhandledExceptionFilter, TerminateProcess, VirtualProtect
> msvcrt.dll: __getmainargs, __p__environ, __p__fmode, __set_app_type, _cexit, _iob, _onexit, _setmode, abort, atexit, atoi, fflush, fprintf, free, malloc, signal, sscanf, strcmp
> USER32.dll: DestroyWindow, DialogBoxParamA, FindWindowA, GetDlgItemTextA, GetWindowThreadProcessId, MessageBoxA

Réponse 40 / 59

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

bon ...

Fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser )

( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )

1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!

A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag !

> Enfin clique en bas sur "Nettoyer" .

laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ...

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt)

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le !

B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

Au message de confirmation , clique sur "Ok" .

Puis ferme ZHPFix ...

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Télécharge et installe le logiciel HijackThis :

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

======================================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec " Panda " :

> https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
( clique sur "scan your PC now" )

tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368

poste moi le rapport obtenu pour analyse ...

Discussions similaires

TI college plus (calculatrice probleme)

comment taper log10 sur une TI83plus.fr ?

Analyse des logs hijackthis

comment utiliser la fonction log

Avez-vous un VPN no logs à me conseiller ?

Votre réponse

Discussions similaires