Soucis virus ICPP copyright foundation
Nathalie
-
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
Bonsoir,
J'ai un virus sur cet ordinateur depuis hier soir, qui m'indique une "fraude" comme quoi j'utiliserais un logiciel sans l'autorisation de l'éditeur, ce virus, c'est celui ci (nouveau virus visiblement...):
http://www.tech.youvox.fr/F-Secure-detecte-un-nouveau-cheval,1844.html (désolée je sais pas si vous allez le voir ^^')
Soucis, aucun anti virus, anti malware, ou autre, ne le fait partir... et le F secure comme ils le disent ne le détecte même pas...
Du coup, une session (sur windows xp) totalement innaccessible, sur les autres sessions la barre de démarrer est totalement bloquée, et l'ordinateur rame comme pas possible...
J'ai essayé pas mal de logiciel, tel que:
Avast
Kaspersky
Bitdefender
Ccleaner
Ad aware
A squared
Malwarebytes
(Plusieurs en ligne, je ne les aient pas tous fait en même temps :D)
L'ordinateur n'est accessible est utilisable qu'en mode sans echec...
Merci d'avance, si vous avez une solution...
(PS: Je ne sais meme pas comment ce virus a été attrapé, une tiers personne été sur prizee de l'ordinateur est il a envahit son écran...)
Merci !
Nathalie.
J'ai un virus sur cet ordinateur depuis hier soir, qui m'indique une "fraude" comme quoi j'utiliserais un logiciel sans l'autorisation de l'éditeur, ce virus, c'est celui ci (nouveau virus visiblement...):
http://www.tech.youvox.fr/F-Secure-detecte-un-nouveau-cheval,1844.html (désolée je sais pas si vous allez le voir ^^')
Soucis, aucun anti virus, anti malware, ou autre, ne le fait partir... et le F secure comme ils le disent ne le détecte même pas...
Du coup, une session (sur windows xp) totalement innaccessible, sur les autres sessions la barre de démarrer est totalement bloquée, et l'ordinateur rame comme pas possible...
J'ai essayé pas mal de logiciel, tel que:
Avast
Kaspersky
Bitdefender
Ccleaner
Ad aware
A squared
Malwarebytes
(Plusieurs en ligne, je ne les aient pas tous fait en même temps :D)
L'ordinateur n'est accessible est utilisable qu'en mode sans echec...
Merci d'avance, si vous avez une solution...
(PS: Je ne sais meme pas comment ce virus a été attrapé, une tiers personne été sur prizee de l'ordinateur est il a envahit son écran...)
Merci !
Nathalie.
A voir également:
- Soucis virus ICPP copyright foundation
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Virus informatique - Guide
191 réponses
Salut Nathalie
On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe
- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse
Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/
- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint
- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.
Et fais la même chose avec l'autre rapport C:\rsit\info.txt
@++ :)
On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe
- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse
Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/
- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint
- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.
Et fais la même chose avec l'autre rapport C:\rsit\info.txt
@++ :)
Bonsoir, merci de me répondre !
Voilà, le premier lien, du dossier info.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijQIn5MDJ.txt
Et du dossier log
http://www.cijoint.fr/cjlink.php?file=cj201004/cijcnIpQQx.txt
En espérant que ca marche ;-)
A+ !
Voilà, le premier lien, du dossier info.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijQIn5MDJ.txt
Et du dossier log
http://www.cijoint.fr/cjlink.php?file=cj201004/cijcnIpQQx.txt
En espérant que ca marche ;-)
A+ !
Salut Nathalie
Télécharge AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
Miroir:
https://www.androidworld.fr/
/!\ Ferme toutes applications en cours /!\
/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
(Vista/7 - Faire un clique droit sur l'icône AD-Remover située sur ton Bureau et choisir exécuter en tant qu'administrateur.)
- Sur la page, clique sur le bouton « Scanner »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
@++ :)
Télécharge AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
Miroir:
https://www.androidworld.fr/
/!\ Ferme toutes applications en cours /!\
/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
(Vista/7 - Faire un clique droit sur l'icône AD-Remover située sur ton Bureau et choisir exécuter en tant qu'administrateur.)
- Sur la page, clique sur le bouton « Scanner »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
@++ :)
Me revoilà.
Voilà le cc du rapport
^.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 22:45:25 le 17/04/2010 | Mode sans echec | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
Nom du PC: ACER-7989E0343A | Utilisateur actuel: NathOuwne (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Documents and Settings\All Users\Application Data\Games-Attack
C:\Documents and Settings\claude\Application Data\EoRezo
C:\Documents and Settings\claude\Application Data\ItsLabel
C:\Documents and Settings\NathOuwne\Application Data\Dealio
C:\Documents and Settings\NathOuwne\Application Data\EoRezo
C:\Documents and Settings\NathOuwne\Application Data\ItsLabel
C:\Documents and Settings\NathOuwne\Application Data\Search Settings
C:\Documents and Settings\nelly\Application Data\EoRezo
C:\Documents and Settings\nelly\Application Data\ItsLabel
C:\Documents and Settings\nelly\Application Data\Search Settings
C:\Documents and Settings\rom1\Application Data\Dealio
C:\Documents and Settings\rom1\Application Data\EoRezo
C:\Documents and Settings\rom1\Application Data\ItsLabel
C:\Documents and Settings\rom1\Application Data\Macromedia\Flash Player\#SharedObjects\F6SX36RT\download.games-attack.com\Games-attack
C:\Documents and Settings\rom1\Application Data\Search Settings
C:\Documents and Settings\rom1\Menu Démarrer\Programmes\Ask Search Assistant
C:\Program Files\Dealio
C:\Program Files\EoRezo
C:\Program Files\Search Settings
.
HKCU\Software\Dealio
HKCU\Software\EoRezo
HKCU\Software\ItsLabel
HKCU\Software\Lanconfig
HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\62119EF862C6B3A0D853419B87EB3E2F6C78640A
HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7EE743314C844C7F445B8B1D7617612DF1FDD50F
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\Poker 770
HKCU\Software\Search Settings
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\Software\Classes\SearchSettings.BHO
HKLM\Software\Classes\SearchSettings.BHO.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKLM\Software\Dealio
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Poker 770
HKLM\Software\Search Settings
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\kb127\SearchSettings.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\kb127\SearchSettingsRes409.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.exe
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.startup.homepage: hxxp://www.ircdown.com/index.php?rvs=hompag&hl=fr
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.startup.homepage: hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.10
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\nelly\\Bureau
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.10
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\rom1\\Bureau
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.search.selectedEngine: Ask
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://www.talti.com
Use Custom Search URL: 1
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.yahoo.com
Default_Search_URL: hxxp://www.google.com/ie
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\DOCUME~1\NATHOU~1\LOCALS~1\Temp: 0 Fichier(s), 21 Dossier(s)
C:\WINDOWS\temp: 2 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 9 Fichier(s), 6 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 0 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 7701 Octet(s)
.
Fin à: 22:54:13, 17/04/2010
.
============== E.O.F - SCAN[1] ==============
J'ai envie de dire "bonne chance" ;-)
A+ ! ;)
Voilà le cc du rapport
^.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 22:45:25 le 17/04/2010 | Mode sans echec | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
Nom du PC: ACER-7989E0343A | Utilisateur actuel: NathOuwne (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Documents and Settings\All Users\Application Data\Games-Attack
C:\Documents and Settings\claude\Application Data\EoRezo
C:\Documents and Settings\claude\Application Data\ItsLabel
C:\Documents and Settings\NathOuwne\Application Data\Dealio
C:\Documents and Settings\NathOuwne\Application Data\EoRezo
C:\Documents and Settings\NathOuwne\Application Data\ItsLabel
C:\Documents and Settings\NathOuwne\Application Data\Search Settings
C:\Documents and Settings\nelly\Application Data\EoRezo
C:\Documents and Settings\nelly\Application Data\ItsLabel
C:\Documents and Settings\nelly\Application Data\Search Settings
C:\Documents and Settings\rom1\Application Data\Dealio
C:\Documents and Settings\rom1\Application Data\EoRezo
C:\Documents and Settings\rom1\Application Data\ItsLabel
C:\Documents and Settings\rom1\Application Data\Macromedia\Flash Player\#SharedObjects\F6SX36RT\download.games-attack.com\Games-attack
C:\Documents and Settings\rom1\Application Data\Search Settings
C:\Documents and Settings\rom1\Menu Démarrer\Programmes\Ask Search Assistant
C:\Program Files\Dealio
C:\Program Files\EoRezo
C:\Program Files\Search Settings
.
HKCU\Software\Dealio
HKCU\Software\EoRezo
HKCU\Software\ItsLabel
HKCU\Software\Lanconfig
HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\62119EF862C6B3A0D853419B87EB3E2F6C78640A
HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7EE743314C844C7F445B8B1D7617612DF1FDD50F
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\Poker 770
HKCU\Software\Search Settings
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\Software\Classes\SearchSettings.BHO
HKLM\Software\Classes\SearchSettings.BHO.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKLM\Software\Dealio
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Poker 770
HKLM\Software\Search Settings
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\kb127\SearchSettings.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\kb127\SearchSettingsRes409.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.exe
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.startup.homepage: hxxp://www.ircdown.com/index.php?rvs=hompag&hl=fr
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.startup.homepage: hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.10
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\nelly\\Bureau
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.10
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\rom1\\Bureau
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.search.selectedEngine: Ask
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://www.talti.com
Use Custom Search URL: 1
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.yahoo.com
Default_Search_URL: hxxp://www.google.com/ie
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\DOCUME~1\NATHOU~1\LOCALS~1\Temp: 0 Fichier(s), 21 Dossier(s)
C:\WINDOWS\temp: 2 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 9 Fichier(s), 6 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 0 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 7701 Octet(s)
.
Fin à: 22:54:13, 17/04/2010
.
============== E.O.F - SCAN[1] ==============
J'ai envie de dire "bonne chance" ;-)
A+ ! ;)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut Nathalie
/!\ Ferme toutes applications en cours /!\
/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Tente de démarrer en mode normal après la supression
@++ :)
/!\ Ferme toutes applications en cours /!\
/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Tente de démarrer en mode normal après la supression
@++ :)
Voilà, j'ai tout de même réussis à faire le nettoyage:
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 23:09:56 le 17/04/2010 | Mode sans echec | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
Nom du PC: ACER-7989E0343A | Utilisateur actuel: NathOuwne (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Documents and Settings\All Users\Application Data\Games-Attack
C:\Documents and Settings\claude\Application Data\EoRezo
C:\Documents and Settings\claude\Application Data\ItsLabel
C:\Documents and Settings\NathOuwne\Application Data\Dealio
C:\Documents and Settings\NathOuwne\Application Data\EoRezo
C:\Documents and Settings\NathOuwne\Application Data\ItsLabel
C:\Documents and Settings\NathOuwne\Application Data\Search Settings
C:\Documents and Settings\nelly\Application Data\EoRezo
C:\Documents and Settings\nelly\Application Data\ItsLabel
C:\Documents and Settings\nelly\Application Data\Search Settings
C:\Documents and Settings\rom1\Application Data\Dealio
C:\Documents and Settings\rom1\Application Data\EoRezo
C:\Documents and Settings\rom1\Application Data\ItsLabel
C:\Documents and Settings\rom1\Application Data\Macromedia\Flash Player\#SharedObjects\F6SX36RT\download.games-attack.com\Games-attack
C:\Documents and Settings\rom1\Application Data\Search Settings
C:\Documents and Settings\rom1\Menu Démarrer\Programmes\Ask Search Assistant
C:\Program Files\Dealio
C:\Program Files\EoRezo
C:\Program Files\Search Settings
(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\Dealio
HKCU\Software\EoRezo
HKCU\Software\ItsLabel
HKCU\Software\Lanconfig
HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\62119EF862C6B3A0D853419B87EB3E2F6C78640A
HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7EE743314C844C7F445B8B1D7617612DF1FDD50F
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\Poker 770
HKCU\Software\Search Settings
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\Software\Classes\SearchSettings.BHO
HKLM\Software\Classes\SearchSettings.BHO.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKLM\Software\Dealio
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Poker 770
HKLM\Software\Search Settings
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\kb127\SearchSettings.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\kb127\SearchSettingsRes409.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.exe
.
(Orpheline) BHO: (AVG Safe Search) -{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (Fichier manquant)
(Orpheline) BHO: (ST) -{9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (Fichier manquant)
(Orpheline) BHO: (MSNToolBandBHO) -{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (Fichier manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.startup.homepage: hxxp://www.ircdown.com/index.php?rvs=hompag&hl=fr
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.startup.homepage: hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.10
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\nelly\\Bureau
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.10
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\rom1\\Bureau
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.search.selectedEngine: Ask
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\DOCUME~1\NATHOU~1\LOCALS~1\Temp: 2 Fichier(s), 21 Dossier(s)
C:\WINDOWS\temp: 0 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 2 Fichier(s), 6 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 8321 Octet(s)
C:\Ad-Report-SCAN[1].txt - 7825 Octet(s)
.
Fin à: 23:14:06, 17/04/2010
.
============== E.O.F - CLEAN[1] ==============
Et j'ai redémarré le système en mode normal, malheureusement, rien n'a changé... sur la session atteinte il y a toujours la fenêtre du virus, et sur les autres sessions, la barre du démarrage est toujours impossible à cliquer...
Merci de ton aide !
A++ ;)
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 23:09:56 le 17/04/2010 | Mode sans echec | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
Nom du PC: ACER-7989E0343A | Utilisateur actuel: NathOuwne (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Documents and Settings\All Users\Application Data\Games-Attack
C:\Documents and Settings\claude\Application Data\EoRezo
C:\Documents and Settings\claude\Application Data\ItsLabel
C:\Documents and Settings\NathOuwne\Application Data\Dealio
C:\Documents and Settings\NathOuwne\Application Data\EoRezo
C:\Documents and Settings\NathOuwne\Application Data\ItsLabel
C:\Documents and Settings\NathOuwne\Application Data\Search Settings
C:\Documents and Settings\nelly\Application Data\EoRezo
C:\Documents and Settings\nelly\Application Data\ItsLabel
C:\Documents and Settings\nelly\Application Data\Search Settings
C:\Documents and Settings\rom1\Application Data\Dealio
C:\Documents and Settings\rom1\Application Data\EoRezo
C:\Documents and Settings\rom1\Application Data\ItsLabel
C:\Documents and Settings\rom1\Application Data\Macromedia\Flash Player\#SharedObjects\F6SX36RT\download.games-attack.com\Games-attack
C:\Documents and Settings\rom1\Application Data\Search Settings
C:\Documents and Settings\rom1\Menu Démarrer\Programmes\Ask Search Assistant
C:\Program Files\Dealio
C:\Program Files\EoRezo
C:\Program Files\Search Settings
(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\Dealio
HKCU\Software\EoRezo
HKCU\Software\ItsLabel
HKCU\Software\Lanconfig
HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\62119EF862C6B3A0D853419B87EB3E2F6C78640A
HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7EE743314C844C7F445B8B1D7617612DF1FDD50F
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\Poker 770
HKCU\Software\Search Settings
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\Software\Classes\SearchSettings.BHO
HKLM\Software\Classes\SearchSettings.BHO.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKLM\Software\Dealio
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Poker 770
HKLM\Software\Search Settings
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\kb127\SearchSettings.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\kb127\SearchSettingsRes409.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.exe
.
(Orpheline) BHO: (AVG Safe Search) -{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (Fichier manquant)
(Orpheline) BHO: (ST) -{9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (Fichier manquant)
(Orpheline) BHO: (MSNToolBandBHO) -{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (Fichier manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.startup.homepage: hxxp://www.ircdown.com/index.php?rvs=hompag&hl=fr
C:\Documents and Settings\NathOuwne\..\f7whrswu.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.startup.homepage: hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
C:\Documents and Settings\claude\..\7lfxv5jx.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.10
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\nelly\\Bureau
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr
C:\Documents and Settings\nelly\..\k9p1hnbt.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.10
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\rom1\\Bureau
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.search.selectedEngine: Ask
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Documents and Settings\rom1\..\ianr006f.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\DOCUME~1\NATHOU~1\LOCALS~1\Temp: 2 Fichier(s), 21 Dossier(s)
C:\WINDOWS\temp: 0 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 2 Fichier(s), 6 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 8321 Octet(s)
C:\Ad-Report-SCAN[1].txt - 7825 Octet(s)
.
Fin à: 23:14:06, 17/04/2010
.
============== E.O.F - CLEAN[1] ==============
Et j'ai redémarré le système en mode normal, malheureusement, rien n'a changé... sur la session atteinte il y a toujours la fenêtre du virus, et sur les autres sessions, la barre du démarrage est toujours impossible à cliquer...
Merci de ton aide !
A++ ;)
Salut Nathalie
Refais un scan avec RSIT et poste le contenu du rapport log.txt à la fin de l'analyse
Le rapport est dans le dossier ici C:\rsit
@++ :)
Refais un scan avec RSIT et poste le contenu du rapport log.txt à la fin de l'analyse
Le rapport est dans le dossier ici C:\rsit
@++ :)
http://www.cijoint.fr/cjlink.php?file=cj201004/cijBHQG4dQ.txt
Le dossier log . Il n'y avait pas l'info cette fois ;-)
A++
Le dossier log . Il n'y avait pas l'info cette fois ;-)
A++
Salut Nathalie
Faire un scan de ce fichier agna96ec.sys ici :
https://www.virustotal.com/gui/
Clique sur Parcourir et copie/colle ceci :
C:\WINDOWS\system32\drivers\agna96ec.sys
Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.
Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.
Poste le résultat au complet
Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
@++ :)
Faire un scan de ce fichier agna96ec.sys ici :
https://www.virustotal.com/gui/
Clique sur Parcourir et copie/colle ceci :
C:\WINDOWS\system32\drivers\agna96ec.sys
Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.
Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.
Poste le résultat au complet
Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
@++ :)
Hum... petit soucis, je ne trouve le dossier agna96ec.sys nulle part... ni dans le dossier drivers, ni dans la fonction rechercher, que ce soit en tapant le nom entier ou *.sys ...
Salut Nathalie
Affiche les fichiers et dossiers cachés :
http://www.assistepc.com/eliminer_virus/fichier_cache.htm
@++ :)
Affiche les fichiers et dossiers cachés :
http://www.assistepc.com/eliminer_virus/fichier_cache.htm
@++ :)
J'ai fais exactement ce qui était marqué et je ne trouve toujours pas ce fichier...
Soit je deviens folle, soit il n'y a pas ce fichier... ;-)
Soit je deviens folle, soit il n'y a pas ce fichier... ;-)
Salut Nathalie
Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe
- Double-clique sur SystemLook.exe pour le lancer.
- Copie le contenu en gras ci-dessous et colle-le dans la zone texte de SystemLook :
:filefind
iqmanager.exe
:folderfind
IQManager
- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.
@++ :)
Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe
- Double-clique sur SystemLook.exe pour le lancer.
- Copie le contenu en gras ci-dessous et colle-le dans la zone texte de SystemLook :
:filefind
iqmanager.exe
:folderfind
IQManager
- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.
@++ :)
http://www.cijoint.fr/cjlink.php?file=cj201004/cijdxoVAHi.txt
Désolée je n'ai pas réussi après mainte reprise à le publier directement dans cette fenetre, ca a été très long en tout les cas.
Désolée je n'ai pas réussi après mainte reprise à le publier directement dans cette fenetre, ca a été très long en tout les cas.
Salut Nathalie
Voir si maintenant si cela fonctionne en mode normal et faire aussi pour systemLook.
@++ :)
Voir si maintenant si cela fonctionne en mode normal et faire aussi pour systemLook.
@++ :)
Bonjour !
Désolée du temps de réponse, ca m'a fatiguée de m'occuper d'un ordi pendant plus d'une journée :D
Voilà pour SystemLook.
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 11:48 on 18/04/2010 by NathOuwne (Administrator - Elevation successful)
========== filefind ==========
Searching for "iqmanager.exe"
No files found.
========== folderfind ==========
Searching for "IQManager "
No folders found.
-=End Of File=-
Et en mode normal, ca ne fonctionne toujours pas...
Désolée du temps de réponse, ca m'a fatiguée de m'occuper d'un ordi pendant plus d'une journée :D
Voilà pour SystemLook.
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 11:48 on 18/04/2010 by NathOuwne (Administrator - Elevation successful)
========== filefind ==========
Searching for "iqmanager.exe"
No files found.
========== folderfind ==========
Searching for "IQManager "
No folders found.
-=End Of File=-
Et en mode normal, ca ne fonctionne toujours pas...
Salut Nathalie
Faire un scan de ce fichier monxga32.exe ici :
https://www.virustotal.com/gui/
Clique sur Parcourir et copie/colle ceci :
C:\Documents and Settings\nelly\Menu Démarrer\Programmes\Démarrage\monxga32.exe
Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.
Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.
Poste le résultat au complet
Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
-----
Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php
- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.
- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.
- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
@++ :)
Faire un scan de ce fichier monxga32.exe ici :
https://www.virustotal.com/gui/
Clique sur Parcourir et copie/colle ceci :
C:\Documents and Settings\nelly\Menu Démarrer\Programmes\Démarrage\monxga32.exe
Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.
Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.
Poste le résultat au complet
Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
-----
Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php
- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.
- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.
- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
@++ :)
Voilà, je te mets déjà l'analyse du fichier que tu as demandé:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.18 -
AhnLab-V3 5.0.0.2 2010.04.18 -
AntiVir 7.10.6.115 2010.04.16 -
Antiy-AVL 2.0.3.7 2010.04.16 -
Authentium 5.2.0.5 2010.04.16 -
Avast 4.8.1351.0 2010.04.17 -
Avast5 5.0.332.0 2010.04.17 -
AVG 9.0.0.787 2010.04.18 -
BitDefender 7.2 2010.04.18 -
CAT-QuickHeal 10.00 2010.04.17 -
ClamAV 0.96.0.3-git 2010.04.18 -
Comodo 4635 2010.04.18 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.04.18 -
eSafe 7.0.17.0 2010.04.18 -
eTrust-Vet None 2010.04.17 -
F-Prot 4.5.1.85 2010.04.17 -
F-Secure 9.0.15370.0 2010.04.16 -
Fortinet 4.0.14.0 2010.04.17 -
GData 19 2010.04.18 -
Ikarus T3.1.1.80.0 2010.04.18 -
Jiangmin 13.0.900 2010.04.18 -
Kaspersky 7.0.0.125 2010.04.18 Backdoor.Win32.Bredolab.dta
McAfee 5.400.0.1158 2010.04.18 -
McAfee-GW-Edition 6.8.5 2010.04.18 -
Microsoft 1.5605 2010.04.18 -
NOD32 5038 2010.04.18 -
Norman 6.04.11 2010.04.16 -
nProtect 2010-04-18.01 2010.04.18 -
Panda 10.0.2.7 2010.04.18 Suspicious file
PCTools 7.0.3.5 2010.04.18 -
Prevx 3.0 2010.04.18 -
Rising 22.43.06.03 2010.04.18 -
Sophos 4.52.0 2010.04.18 -
Sunbelt 6188 2010.04.17 -
Symantec 20091.2.0.41 2010.04.18 -
TheHacker 6.5.2.0.264 2010.04.18 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.17.2282 2010.04.17 -
VirusBuster 5.0.27.0 2010.04.17 -
Information additionnelle
File size: 30208 bytes
MD5...: 796c8d2074cb6d083f20d98e10b91301
SHA1..: fa49bb160c4211578d779017636034b3b479f3c7
SHA256: 5f40a1c9ffb767406f8b5e84080b4449d9b62fd9d2759ce5aa94215638730ef8
ssdeep: 768:7asqLaxxfRsXChmkPrgWJtvc72cbKv2HiP9AqPFrLE:7qLkxfRACA+gWJiH2
Wq
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1132
timedatestamp.....: 0x376a5caa (Fri Jun 18 14:50:18 1999)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1bff 0x1c00 5.02 76d31698741160024fa5a9fa18218270
.data 0x3000 0x27df 0x1800 4.65 f9b0b4efc82ce2e8ceda2ae02a701817
.rdata 0x6000 0x7d0 0x800 3.91 8f1548ffa47612b6eb7b7566a5634a35
.text1 0x7000 0x15e3f 0x3600 7.43 b780fce6ec06f50959ee4f14e0961c27
( 3 imports )
> WINSPOOL.DRV: EnumJobsW
> oleaut32.dll: VariantCopyInd, VariantClear, SysStringLen, VariantChangeTypeEx, SysAllocStringLen
> KERNEL32.dll: GetCurrentProcess, _llseek, MultiByteToWideChar, GetACP, VirtualFree, GetSystemDefaultLangID, GetDiskFreeSpaceA, ExitProcess, GetModuleFileNameA, GetFileType, SetCurrentDirectoryA, RtlUnwind, GetStdHandle, GetEnvironmentStringsW, HeapDestroy, LoadLibraryA, GetProcAddress, HeapReAlloc, _lopen, _lwrite, HeapAlloc, GetStringTypeW, TerminateProcess, GetModuleHandleA, FreeEnvironmentStringsW, GetPrivateProfileStringA, _lclose, GetCPInfo, lstrlenA, GetStringTypeA, GetOEMCP, LCMapStringW, SetHandleCount, GetVersion, lstrcatA, lstrcpyA, CreateDirectoryA, lstrcmpA, WideCharToMultiByte, GetVersionExA, GetFileAttributesA, HeapCreate, _lcreat, CloseHandle, DeleteFileA, UnhandledExceptionFilter, WriteFile, HeapFree, WritePrivateProfileStringA, GetCommandLineA, VirtualAlloc, GetEnvironmentStrings, _lread, GetLastError, CreateProcessA, GetStartupInfoA, GetTempPathA, FreeEnvironmentStringsA, GetEnvironmentVariableA, LCMapStringA
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: iolo technologies, LLC
copyright....: Copyright 2003-2004, iolo technologies, LLC
product......: Search and Recover
description..: SearchandRecover.exe
original name:
internal name: Search and Recover
file version.: 1.0.3.0
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned
Symantec Reputation Network: Suspicious.Insight https://www.broadcom.com/support/security-center
Je vais faire l'autre analyse et je complète ce message :)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.18 -
AhnLab-V3 5.0.0.2 2010.04.18 -
AntiVir 7.10.6.115 2010.04.16 -
Antiy-AVL 2.0.3.7 2010.04.16 -
Authentium 5.2.0.5 2010.04.16 -
Avast 4.8.1351.0 2010.04.17 -
Avast5 5.0.332.0 2010.04.17 -
AVG 9.0.0.787 2010.04.18 -
BitDefender 7.2 2010.04.18 -
CAT-QuickHeal 10.00 2010.04.17 -
ClamAV 0.96.0.3-git 2010.04.18 -
Comodo 4635 2010.04.18 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.04.18 -
eSafe 7.0.17.0 2010.04.18 -
eTrust-Vet None 2010.04.17 -
F-Prot 4.5.1.85 2010.04.17 -
F-Secure 9.0.15370.0 2010.04.16 -
Fortinet 4.0.14.0 2010.04.17 -
GData 19 2010.04.18 -
Ikarus T3.1.1.80.0 2010.04.18 -
Jiangmin 13.0.900 2010.04.18 -
Kaspersky 7.0.0.125 2010.04.18 Backdoor.Win32.Bredolab.dta
McAfee 5.400.0.1158 2010.04.18 -
McAfee-GW-Edition 6.8.5 2010.04.18 -
Microsoft 1.5605 2010.04.18 -
NOD32 5038 2010.04.18 -
Norman 6.04.11 2010.04.16 -
nProtect 2010-04-18.01 2010.04.18 -
Panda 10.0.2.7 2010.04.18 Suspicious file
PCTools 7.0.3.5 2010.04.18 -
Prevx 3.0 2010.04.18 -
Rising 22.43.06.03 2010.04.18 -
Sophos 4.52.0 2010.04.18 -
Sunbelt 6188 2010.04.17 -
Symantec 20091.2.0.41 2010.04.18 -
TheHacker 6.5.2.0.264 2010.04.18 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.17.2282 2010.04.17 -
VirusBuster 5.0.27.0 2010.04.17 -
Information additionnelle
File size: 30208 bytes
MD5...: 796c8d2074cb6d083f20d98e10b91301
SHA1..: fa49bb160c4211578d779017636034b3b479f3c7
SHA256: 5f40a1c9ffb767406f8b5e84080b4449d9b62fd9d2759ce5aa94215638730ef8
ssdeep: 768:7asqLaxxfRsXChmkPrgWJtvc72cbKv2HiP9AqPFrLE:7qLkxfRACA+gWJiH2
Wq
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1132
timedatestamp.....: 0x376a5caa (Fri Jun 18 14:50:18 1999)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1bff 0x1c00 5.02 76d31698741160024fa5a9fa18218270
.data 0x3000 0x27df 0x1800 4.65 f9b0b4efc82ce2e8ceda2ae02a701817
.rdata 0x6000 0x7d0 0x800 3.91 8f1548ffa47612b6eb7b7566a5634a35
.text1 0x7000 0x15e3f 0x3600 7.43 b780fce6ec06f50959ee4f14e0961c27
( 3 imports )
> WINSPOOL.DRV: EnumJobsW
> oleaut32.dll: VariantCopyInd, VariantClear, SysStringLen, VariantChangeTypeEx, SysAllocStringLen
> KERNEL32.dll: GetCurrentProcess, _llseek, MultiByteToWideChar, GetACP, VirtualFree, GetSystemDefaultLangID, GetDiskFreeSpaceA, ExitProcess, GetModuleFileNameA, GetFileType, SetCurrentDirectoryA, RtlUnwind, GetStdHandle, GetEnvironmentStringsW, HeapDestroy, LoadLibraryA, GetProcAddress, HeapReAlloc, _lopen, _lwrite, HeapAlloc, GetStringTypeW, TerminateProcess, GetModuleHandleA, FreeEnvironmentStringsW, GetPrivateProfileStringA, _lclose, GetCPInfo, lstrlenA, GetStringTypeA, GetOEMCP, LCMapStringW, SetHandleCount, GetVersion, lstrcatA, lstrcpyA, CreateDirectoryA, lstrcmpA, WideCharToMultiByte, GetVersionExA, GetFileAttributesA, HeapCreate, _lcreat, CloseHandle, DeleteFileA, UnhandledExceptionFilter, WriteFile, HeapFree, WritePrivateProfileStringA, GetCommandLineA, VirtualAlloc, GetEnvironmentStrings, _lread, GetLastError, CreateProcessA, GetStartupInfoA, GetTempPathA, FreeEnvironmentStringsA, GetEnvironmentVariableA, LCMapStringA
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: iolo technologies, LLC
copyright....: Copyright 2003-2004, iolo technologies, LLC
product......: Search and Recover
description..: SearchandRecover.exe
original name:
internal name: Search and Recover
file version.: 1.0.3.0
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned
Symantec Reputation Network: Suspicious.Insight https://www.broadcom.com/support/security-center
Je vais faire l'autre analyse et je complète ce message :)
Voilà, bon, pour eviter le message trop long, je re-post les résultats du gmer qui a duré biiiiien longtemps, sans doute à cause du fait que les fichiers ne sont plus cachés?
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-18 14:28:05
Windows 5.1.2600 Service Pack 3
Running: gmguogrh.exe; Driver: C:\DOCUME~1\NATHOU~1\LOCALS~1\Temp\uwrdqaow.sys
---- System - GMER 1.0.15 ----
SSDT spfq.sys ZwCreateKey [0xF74D70E0]
SSDT spfq.sys ZwEnumerateKey [0xF74F5CA2]
SSDT spfq.sys ZwEnumerateValueKey [0xF74F6030]
SSDT spfq.sys ZwOpenKey [0xF74D70C0]
SSDT spfq.sys ZwQueryKey [0xF74F6108]
SSDT spfq.sys ZwQueryValueKey [0xF74F5F88]
SSDT spfq.sys ZwSetValueKey [0xF74F619A]
INT 0x62 ? 8A352BF8
INT 0x63 ? 8A1B1BF8
INT 0x73 ? 8A1B1BF8
INT 0x83 ? 8A352BF8
---- Kernel code sections - GMER 1.0.15 ----
? spfq.sys Le fichier spécifié est introuvable. !
.text USBPORT.SYS!DllUnload BADB38AC 5 Bytes JMP 8A1B11D8
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8A3552D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7508C4C] spfq.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7508CA0] spfq.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74D8040] spfq.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74D813C] spfq.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74D80BE] spfq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74D87FC] spfq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74D86D2] spfq.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8A1B12D8
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F74E8048] spfq.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A2E41F8
Device \FileSystem\Fastfat \FatCdrom 89F781F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{211DCEF9-B3B7-4504-B391-C316BA277AFB} 89F911F8
Device \Driver\usbohci \Device\USBPDO-0 8A26A1F8
Device \Driver\usbehci \Device\USBPDO-1 8A2691F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A2E61F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A2E61F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A2E61F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A2E61F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A3531F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A3531F8
Device \Driver\Cdrom \Device\CdRom0 8A2241F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A3531F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F7962B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F7962B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F7962B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 [F7962B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 [F7962B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e [F7962B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBt_Wins_Export 89F911F8
Device \Driver\USBSTOR \Device\00000083 89F751F8
Device \Driver\USBSTOR \Device\00000084 89F751F8
Device \Driver\NetBT \Device\NetbiosSmb 89F911F8
Device \Driver\USBSTOR \Device\00000085 89F751F8
Device \Driver\USBSTOR \Device\00000086 89F751F8
Device \Driver\usbohci \Device\USBFDO-0 8A26A1F8
Device \Driver\usbehci \Device\USBFDO-1 8A2691F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89F831F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89F831F8
Device \Driver\Ftdisk \Device\FtControl 8A3531F8
Device \Driver\USBSTOR \Device\0000007f 89F751F8
Device \FileSystem\Fastfat \Fat 89F781F8
Device \FileSystem\Cdfs \Cdfs 89F0C500
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB4 0xB6 0x25 0xC0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x5D 0x83 0x76 0x10 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xF5 0x4A 0xDD 0xDD ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB4 0xB6 0x25 0xC0 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB4 0xB6 0x25 0xC0 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x5D 0x83 0x76 0x10 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xF5 0x4A 0xDD 0xDD ...
---- EOF - GMER 1.0.15 ----
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-18 14:28:05
Windows 5.1.2600 Service Pack 3
Running: gmguogrh.exe; Driver: C:\DOCUME~1\NATHOU~1\LOCALS~1\Temp\uwrdqaow.sys
---- System - GMER 1.0.15 ----
SSDT spfq.sys ZwCreateKey [0xF74D70E0]
SSDT spfq.sys ZwEnumerateKey [0xF74F5CA2]
SSDT spfq.sys ZwEnumerateValueKey [0xF74F6030]
SSDT spfq.sys ZwOpenKey [0xF74D70C0]
SSDT spfq.sys ZwQueryKey [0xF74F6108]
SSDT spfq.sys ZwQueryValueKey [0xF74F5F88]
SSDT spfq.sys ZwSetValueKey [0xF74F619A]
INT 0x62 ? 8A352BF8
INT 0x63 ? 8A1B1BF8
INT 0x73 ? 8A1B1BF8
INT 0x83 ? 8A352BF8
---- Kernel code sections - GMER 1.0.15 ----
? spfq.sys Le fichier spécifié est introuvable. !
.text USBPORT.SYS!DllUnload BADB38AC 5 Bytes JMP 8A1B11D8
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8A3552D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7508C4C] spfq.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7508CA0] spfq.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74D8040] spfq.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74D813C] spfq.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74D80BE] spfq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74D87FC] spfq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74D86D2] spfq.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8A1B12D8
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F74E8048] spfq.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A2E41F8
Device \FileSystem\Fastfat \FatCdrom 89F781F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{211DCEF9-B3B7-4504-B391-C316BA277AFB} 89F911F8
Device \Driver\usbohci \Device\USBPDO-0 8A26A1F8
Device \Driver\usbehci \Device\USBPDO-1 8A2691F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A2E61F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A2E61F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A2E61F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A2E61F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A3531F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A3531F8
Device \Driver\Cdrom \Device\CdRom0 8A2241F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A3531F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F7962B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F7962B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F7962B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 [F7962B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 [F7962B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e [F7962B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBt_Wins_Export 89F911F8
Device \Driver\USBSTOR \Device\00000083 89F751F8
Device \Driver\USBSTOR \Device\00000084 89F751F8
Device \Driver\NetBT \Device\NetbiosSmb 89F911F8
Device \Driver\USBSTOR \Device\00000085 89F751F8
Device \Driver\USBSTOR \Device\00000086 89F751F8
Device \Driver\usbohci \Device\USBFDO-0 8A26A1F8
Device \Driver\usbehci \Device\USBFDO-1 8A2691F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89F831F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89F831F8
Device \Driver\Ftdisk \Device\FtControl 8A3531F8
Device \Driver\USBSTOR \Device\0000007f 89F751F8
Device \FileSystem\Fastfat \Fat 89F781F8
Device \FileSystem\Cdfs \Cdfs 89F0C500
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB4 0xB6 0x25 0xC0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x5D 0x83 0x76 0x10 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xF5 0x4A 0xDD 0xDD ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB4 0xB6 0x25 0xC0 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB4 0xB6 0x25 0xC0 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x5D 0x83 0x76 0x10 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xF5 0x4A 0xDD 0xDD ...
---- EOF - GMER 1.0.15 ----
Salut Nathalie
Le rapport d'analyse du fichier ne correspond pas au MD5 :
http://www.virustotal.com/analisis/5f40a1c9ffb767406f8b5e84080b4449d9b62fd9d2759ce5aa94215638730ef8-1271463626
Peux-tu me refaire l'analyse de ce fichier sur VirusTotal :
C:\Documents and Settings\nelly\Menu Démarrer\Programmes\Démarrage\monxga32.exe
Au lieu du rapport, copie/colle moi le lien qui est dans la barre d'adresse
@++ :)
Le rapport d'analyse du fichier ne correspond pas au MD5 :
http://www.virustotal.com/analisis/5f40a1c9ffb767406f8b5e84080b4449d9b62fd9d2759ce5aa94215638730ef8-1271463626
Peux-tu me refaire l'analyse de ce fichier sur VirusTotal :
C:\Documents and Settings\nelly\Menu Démarrer\Programmes\Démarrage\monxga32.exe
Au lieu du rapport, copie/colle moi le lien qui est dans la barre d'adresse
@++ :)
