besoin d'aide, virus Total XP Fermé

Question

Alors voilà, antivir a détecté un virus EXP/Pidief.bzr.1 et un peu plus tard total xp c'est ouvert, je l'ai fermé avec le gestionnaire des tâches, mais il s'est réouvert plusieurs fois. J'ai donc voulu lançé une analyse avec malwarebytes mais impossible de l'ouvrir, j'ai donc téléchargé SpyHunter 4 afin de supprimer Total XP, l'analyse est en cour. Je suis en train de retélécharger malwarebyte, mais que dois-je faire d'autre ? 

Merci d'avance.

Tigzy · Answer

Salut 

Si tu as la possibilité de passer Malwarebytes, fais le et donne le rapport. 
N'oublie pas la mise à jour avant le scan complet. 

Ensuite 

* Télécharge ZHPDiag
Capture 

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Heberge le rapport ici: cijoint et colle le lien dans la réponse

lucoco20 · Answer

J'ai voulu désinstaller Malware, mais impossible d'ouvrir ''ajout/suppression de programmes".

Tigzy · Answer

*Télécharge Rkill (de Grinler) depuis l'un des liens ci dessous :  

rkill.pif  
rkill.scr  
rkill.com  
rkill.exe  

*Enregistrer le fichier sur le Bureau.  
*Désactive ton antivirus et/ou antispyware .  
*Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.  
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.  
*Une fenêtre à fond noir va apparaître brièvement, puis disparaître.  

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.  

-----------------  

Ensuite essaie ZHPDiag, SANS REDEMARRER entre temps!

lucoco20 · Answer

j'ai plusieurs antivirus, antivir, mcafee, malware et spyhunter donc comment je fais ? Pour le moment spyhunter a trouvé une infection, je dois attendre la fin du scan pour qu'il le supprime.

Tigzy · Answer

Si ZHP ne marche toujours pas,

Télécharger sur le bureau ExeHelper

= Double-clique sur exeHelper.com pour le lancer 
= Une fenêtre va s'ouvrir, patienter quelques instants et appuyer sur une touche quand le scan sera terminé 
= Un rapport s'ouvre, copier coller son contenu dans la réponse 

Note : le rapport se trouve sur le bureau au nom de log.txt

Puis retenter ZHP.

lucoco20 · Answer

Je n'arrive pas à poster cerains messages !

Tigzy · Answer

Non je l'ai , j'ai vu quelques trucs, mais dont je ne suis pas sûr.
Déjà tu as une infection USB, mais on verra après le rapport MBAM

J'ai besoin que tu fasses ceci:


*Copier ceci:

C:\WINDOWS\system32\sw20.exe

*Aller sur Virus Total 
* Cliquer sur "Choose"
*Coller dans "nom du fichier" et envoyer le fichier
*Puis coller le rapport généré


-------------

*Copier ceci:

C:\WINDOWS\system32\sw24.exe

*Aller sur Virus Total 
* Cliquer sur "Choose"
*Coller dans "nom du fichier" et envoyer le fichier
*Puis coller le rapport généré

lucoco20 · Answer

Voila le premier:

MD5: 0a1df392a051340048daadc928856b0a 
First received: 2007.03.26 11:17:58 UTC 
Date 2010.04.03 14:06:24 UTC [>15D] 
Résultats 0/36 
Permalink: analisis/f2108433f05b5c18877507ec3f86845b7cc0b22b600a9aea1e5769dc36852e9a-1270303584 


Fichier sw20.exe reçu le 2010.04.03 14:06:24 (UTC)
Situation actuelle: terminé 

Résultat: 0/36 (0.00%)
 Formaté Impression des résultats  
Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.50 2010.04.03 - 
AntiVir 7.10.6.23 2010.04.02 - 
Antiy-AVL 2.0.3.7 2010.04.02 - 
Authentium 5.2.0.5 2010.04.03 - 
Avast 4.8.1351.0 2010.04.03 - 
Avast5 5.0.332.0 2010.04.03 - 
AVG 9.0.0.787 2010.04.03 - 
BitDefender 7.2 2010.04.03 - 
CAT-QuickHeal 10.00 2010.04.03 - 
ClamAV 0.96.0.0-git 2010.04.03 - 
DrWeb 5.0.2.03300 2010.04.03 - 
eSafe 7.0.17.0 2010.04.01 - 
eTrust-Vet 35.2.7405 2010.04.02 - 
F-Prot 4.5.1.85 2010.04.03 - 
F-Secure 9.0.15370.0 2010.04.02 - 
Fortinet 4.0.14.0 2010.04.03 - 
GData 19 2010.04.03 - 
Ikarus T3.1.1.80.0 2010.04.03 - 
Jiangmin 13.0.900 2010.04.03 - 
K7AntiVirus 7.10.1004 2010.03.22 - 
Kaspersky 7.0.0.125 2010.04.03 - 
McAfee 5937 2010.03.31 - 
McAfee+Artemis 5937 2010.03.31 - 
Microsoft 1.5605 2010.04.03 - 
NOD32 4996 2010.04.03 - 
Norman 6.04.10 2010.04.03 - 
nProtect 2009.1.8.0 2010.04.03 - 
Panda 10.0.2.2 2010.04.03 - 
Rising 22.41.04.05 2010.04.02 - 
Sophos 4.52.0 2010.04.03 - 
Sunbelt 6133 2010.04.03 - 
Symantec 20091.2.0.41 2010.04.03 - 
TrendMicro 9.120.0.1004 2010.04.03 - 
VBA32 3.12.12.4 2010.04.02 - 
ViRobot 2010.4.3.2259 2010.04.03 - 
VirusBuster 5.0.27.0 2010.04.02 - 
Information additionnelle 
File size: 208896 bytes 
MD5   : 0a1df392a051340048daadc928856b0a 
SHA1  : 14608284be67fd62b99b724709126ad9570e7afc 
SHA256: f2108433f05b5c18877507ec3f86845b7cc0b22b600a9aea1e5769dc36852e9a 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x104AF
timedatestamp.....: 0x44FFF0DC (Thu Sep 7 12:13:48 2006)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x21436 0x22000 6.61 bba27e4278eeaa706e3df0d3a30fcdf2
.rdata 0x23000 0x8222 0x9000 4.66 d041f933702a6777dff4e8c22e5b6f7c
.data 0x2C000 0x663C 0x3000 2.87 048e1370aed0da5654c9e7c11ac420fe
.rsrc 0x33000 0x32C0 0x4000 4.55 6c770f72fc6d18005eea72bdd45b5e89

( 0 imports )


( 0 exports )
 
TrID  : File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%) 
ThreatExpert: https://www.symantec.com?md5=0a1df392a051340048daadc928856b0a 
ssdeep: 3072:RAjo0EEgR7teDS338ssZoBHTpNFQpg23zAsN5aqtzTlLgH:ekxE+JeDSH89ZoBlMg+9DlLs 
sigcheck: publisher....: 
copyright....: Copyright (C) 2005
product......: sw20 Application
description..: sw20 MFC Application
original name: sw20.EXE
internal name: sw20
file version.: 1, 0, 0, 1
comments.....: 
signers......: -
signing date.: -
verified.....: Unsigned
 
PEiD  : - 
CWSandbox: http://research.sunbelt-software.com/... 
RDS   : NSRL Reference Data Set
-

lucoco20 · Answer

Et le 2e:

MD5: a6309d3ff5c253738b14e4abf0930ec4 
First received: 2006.12.28 15:42:38 UTC 
Date 2010.04.08 05:05:05 UTC [>11D] 
Résultats 0/38 
Permalink: analisis/54347459ee59e9e415f66c30426440592e869feb3a86c131597e08ba8efa52f6-1270703105 


Fichier sw24.exe reçu le 2010.04.08 05:05:05 (UTC)
Situation actuelle: terminé 

Résultat: 0/38 (0.00%)
 Formaté Impression des résultats  
Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.50 2010.04.08 - 
AhnLab-V3 5.0.0.2 2010.04.07 - 
AntiVir 7.10.6.41 2010.04.07 - 
Antiy-AVL 2.0.3.7 2010.04.07 - 
Authentium 5.2.0.5 2010.04.08 - 
Avast 4.8.1351.0 2010.04.07 - 
Avast5 5.0.332.0 2010.04.07 - 
AVG 9.0.0.787 2010.04.07 - 
BitDefender 7.2 2010.04.07 - 
CAT-QuickHeal 10.00 2010.04.08 - 
ClamAV 0.96.0.3-git 2010.04.08 - 
Comodo 4536 2010.04.08 - 
DrWeb 5.0.2.03300 2010.04.08 - 
eSafe 7.0.17.0 2010.04.07 - 
eTrust-Vet 35.2.7413 2010.04.07 - 
F-Prot 4.5.1.85 2010.04.07 - 
F-Secure 9.0.15370.0 2010.04.08 - 
Fortinet 4.0.14.0 2010.04.07 - 
GData 19 2010.04.07 - 
Ikarus T3.1.1.80.0 2010.04.08 - 
Jiangmin 13.0.900 2010.04.07 - 
Kaspersky 7.0.0.125 2010.04.07 - 
Microsoft 1.5605 2010.04.07 - 
NOD32 5008 2010.04.07 - 
Norman 6.04.11 2010.04.07 - 
nProtect 2009.1.8.0 2010.04.06 - 
Panda 10.0.2.2 2010.04.07 - 
PCTools 7.0.3.5 2010.04.08 - 
Prevx 3.0 2010.04.08 - 
Rising 22.42.03.00 2010.04.08 - 
Sophos 4.52.0 2010.04.08 - 
Sunbelt 6150 2010.04.08 - 
Symantec 20091.2.0.41 2010.04.08 - 
TheHacker 6.5.2.0.257 2010.04.08 - 
TrendMicro 9.120.0.1004 2010.04.08 - 
VBA32 3.12.12.4 2010.04.05 - 
ViRobot 2010.4.8.2266 2010.04.08 - 
VirusBuster 5.0.27.0 2010.04.07 - 
Information additionnelle 
File size: 69632 bytes 
MD5   : a6309d3ff5c253738b14e4abf0930ec4 
SHA1  : 06f29b3e8cc4375c097ce76be09a07dad4625f2b 
SHA256: 54347459ee59e9e415f66c30426440592e869feb3a86c131597e08ba8efa52f6 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x29A9
timedatestamp.....: 0x44FFF110 (Thu Sep 7 12:14:40 2006)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xAFA6 0xB000 6.60 28745c612b94f44faba3a818c92fd271
.rdata 0xC000 0x2B1C 0x3000 5.11 a977e342d51b624adf14fd5dc4532460
.data 0xF000 0x2D38 0x1000 2.42 ec5ffa27e3ec1d30fd02c7f95e78a70d
.rsrc 0x12000 0x9F0 0x1000 3.84 9160f7270dbf051381e725cbffc143f7

( 2 imports )

> kernel32.dll: FreeLibrary, GetProcAddress, LoadLibraryA, CloseHandle, WriteFile, CreateFileA, FlushFileBuffers, GetLastError, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetLocaleInfoA, HeapSize, GetOEMCP, GetACP, GetCPInfo, GetConsoleMode, GetConsoleCP, WideCharToMultiByte, MultiByteToWideChar, InterlockedExchange, HeapAlloc, HeapFree, RaiseException, HeapReAlloc, VirtualAlloc, GetModuleHandleA, RtlUnwind, GetCommandLineA, GetVersionExA, GetProcessHeap, GetStartupInfoA, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, VirtualFree, HeapDestroy, HeapCreate, ExitProcess, GetStdHandle, GetModuleFileNameA, SetUnhandledExceptionFilter, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, IsDebuggerPresent, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, InitializeCriticalSection, Sleep, SetFilePointer, GetThreadLocale
> user32.dll: LoadAcceleratorsA, GetMessageA, TranslateAcceleratorA, TranslateMessage, DispatchMessageA, CreateWindowExA, ShowWindow, UpdateWindow, SendMessageA, LoadIconA, LoadCursorA, RegisterClassExA, LoadStringA, DefWindowProcA, DestroyWindow, DialogBoxParamA, BeginPaint, EndPaint, PostQuitMessage, EndDialog

( 0 exports )
 
TrID  : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) 
ThreatExpert: https://www.symantec.com?md5=a6309d3ff5c253738b14e4abf0930ec4 
ssdeep: 1536:1JNVDSxWry8jweqWH3QuinwDpbgkkGRZtwyRQ:HDLf1fZt3a 
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
PEiD  : - 
CWSandbox: http://research.sunbelt-software.com/... 
RDS   : NSRL Reference Data Set
-

lucoco20 · Answer

par contre le scan malwarebytes est pas prêt de finir, je supprimerai tout ce qu'il a découvert mais si j'ai des infections dans mon matériel lié avec les ports usb, sa va recommencer indéfiniment non ?

lucoco20 · Answer

Et voilà enfin le résultat du scan:


19/04/2010 13:53:12
mbam-log-2010-04-19 (13-53-12).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 220732
Temps écoulé: 2 heure(s), 9 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\PROPRIETAIRE\Local Settings\Temp\avG\MSASCui.exe (Trojan.MultipleAV) -> Quarantined and deleted successfully.




j'ai donc tout supprimé, mais par contre je n'ai pas encore redémarré mon ordi.

Tigzy · Answer

Tu as toujours des fenêtres de antivirusXP? 


USBFix est un outil développé par Chiquitine29 et C_XX qui supprime certaines infections USB et nettoye les périphériques amovibles.


Brancher les lecteurs externes (Clé USB, Disque dur, ...) susceptibles 
d'avoir été infectés

Télécharger USBFix

- Lancer USBFix.exe
- Choisir F pour Français => Touche Entrée
- Taper 1 => Entrée pour recherche
- Puis ok
- Patienter pendant la détection- Un fichier texte s'ouvre, fichier => enregistrer sous
- laisser le nom par défaut, enregistrer sur le bureau
-  copier coller le contenu du fichier texte dans la fenetre de réponse

lucoco20 · Answer

Voila le rapport usbfix:


############################## | UsbFix V6.105 |

User : PROPRIETAIRE (Administrateurs) # DEFAULT
Update on 17/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:05:41 | 19/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  E2180  @ 2.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]
AV : McAfee VirusScan  [ Enabled | Updated ]
FW : McAfee Personal Firewall[ Enabled ]
FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 74,52 Go (17,63 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 1,89 Go (1,88 Go free) # FAT

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0154f133-d450-11de-ba8a-0015af198472}
Shell\AutoRun\command =E:\ClickMe.exe 

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.105 ! |

lucoco20 · Answer

je dois y aller, je ne sais pas vers quelle heure je reviendrai, mais vu que, à priori toutes menaces à été supprimé, sa devrait aller, dès mon retour j'exécuterai tes recommendations.

lucoco20 · Answer

sa y est, j'ai fais la méthode 2 de usbfix, par contre je n'ai eu aucuns rapports.

Tigzy · Answer

Pff...

Télécharger sur le bureau 
Gmer
= Clic sur ==> GMER Application: Gmer.zip 
= Clic-droit sur l'archive Gmer
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip) 
= Double-clic sur Gmer qui vient de se créer 
= Une fenêtre s'ouvre, clic Scan
Patienter jusqu'à la fin du scan 
= Clic Save 
= Choisir => bureau => nommer : rapport 

= Ne pas refermer Gmer ( ceci n'est pas impératif,mais évite de recommencer le scan si des supprressions à faire)

lucoco20 · Answer

J'ai directment enregistrer GMER sur le bureau, aucuns fichier zip, sur le bureau il a le nom de h9rygzrx. Je double clique dessus, j'exécute le programme, et hop, à nouveau un écran tout noir, une erreur fatale....

Voila ce que j'ai récupéré de l'erreur:

BCCode : 44     BCP1 : 852F38C8     BCP2 : 00000D64     BCP3 : 00000000     
BCP4 : 00000000     OSVer : 5_1_2600     SP : 3_0     Product : 768_1     

C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\WER33c0.dir00\Mini042010-02.dmp
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\WER33c0.dir00\sysdata.xml

Tigzy · Answer

Bon, je pense savoir pourquoi...

Telécharge sur le bureau Defogger

= Double click sur Defogger
= Une fenêtre apparait clique Disable
= Redemarre ton PC si demandé

-----------

retente Gmer.

Tigzy · Answer

Salut

J'ai du nouveau de la part de Malekal_Morte;

- Désinstalle Zone Alarm
- Désinstalle Mc Afee , et les autres Antivirus que tu as SAUF ANTIVIR

- SpyHunter est une arnaque, cf : https://forum.malekal.com/viewtopic.php?t=12847&start= 
Vire le 

----------------------  Ensuite seulement

Télécharge sur le bureau « RSIT »
Double-clic dessus,
(Avec VISTA > clic-droit et > Exécuter en tant qu'administrateur.)
Laisser « 1 month »,
Cliquer sur « Continue ».
Si l'outil « HijackThis » n'est pas présent sur le PC ou n'est pas détecté, RSIT le téléchargera (autoriser l'accès internet à RSIT si le pare-feu le demande).
Accepter la licence de HijackThis.
À la fin du scan 2 rapports sont créés: « log.txt » et « info.txt ».
Copier les rapports, les coller dans la réponse.
Note: les rapports se situent aussi dans « C:\rsit\log.txt » et « C:\rsit\info.txt ».

lucoco20 · Answer

Sauf que McAfee, j'ai une license, si je le désinstalle elle va expirée non ? et malwarebytes, je le désinstalle ? Et dans les commandes, ils disent si le pare-feu le demande, or normalement si je désinstalle Zone Alarme tous les programmes pourront accéder au net non ?

Tigzy · Answer

Gros doute sur un Driver:

*Copier ceci:

C:\WINDOWS\system32\FsUsbExDisk.SYS

*Aller sur Virus Total 
* Cliquer sur "Choose"
*Coller dans "nom du fichier" et envoyer le fichier
*Puis coller le rapport généré

lucoco20 · Answer

Sa me met le fichier a déjà été analysé, je reprends l'ancien rapport ?

lucoco20 · Answer

J'ai eu ça:

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.50 2010.04.20 - 
AhnLab-V3 5.0.0.2 2010.04.20 - 
AntiVir 7.10.6.143 2010.04.20 - 
Antiy-AVL 2.0.3.7 2010.04.19 - 
Authentium 5.2.0.5 2010.04.20 - 
Avast 4.8.1351.0 2010.04.20 - 
Avast5 5.0.332.0 2010.04.20 - 
AVG 9.0.0.787 2010.04.20 - 
BitDefender 7.2 2010.04.20 - 
CAT-QuickHeal 10.00 2010.04.20 - 
ClamAV 0.96.0.3-git 2010.04.20 - 
Comodo 4652 2010.04.20 - 
DrWeb 5.0.2.03300 2010.04.20 - 
eSafe 7.0.17.0 2010.04.18 - 
eTrust-Vet 35.2.7436 2010.04.20 - 
F-Prot 4.5.1.85 2010.04.20 - 
F-Secure 9.0.15370.0 2010.04.20 - 
Fortinet 4.0.14.0 2010.04.20 - 
GData 19 2010.04.20 - 
Ikarus T3.1.1.80.0 2010.04.20 - 
Jiangmin 13.0.900 2010.04.20 - 
Kaspersky 7.0.0.125 2010.04.20 - 
McAfee 5.400.0.1158 2010.04.20 - 
McAfee-GW-Edition 6.8.5 2010.04.20 - 
Microsoft 1.5703 2010.04.20 - 
NOD32 5044 2010.04.20 - 
Norman 6.04.11 2010.04.20 - 
nProtect 2010-04-20.01 2010.04.20 - 
Panda 10.0.2.7 2010.04.19 - 
PCTools 7.0.3.5 2010.04.20 - 
Prevx 3.0 2010.04.20 - 
Rising 22.44.01.03 2010.04.20 - 
Sophos 4.52.0 2010.04.20 - 
Sunbelt 6199 2010.04.20 - 
Symantec 20091.2.0.41 2010.04.20 - 
TheHacker 6.5.2.0.265 2010.04.19 - 
TrendMicro 9.120.0.1004 2010.04.20 - 
TrendMicro-HouseCall 9.120.0.1004 2010.04.20 - 
VBA32 3.12.12.4 2010.04.19 - 
ViRobot 2010.4.19.2284 2010.04.20 - 
VirusBuster 5.0.27.0 2010.04.19 - 
Information additionnelle 
File size: 36608 bytes 
MD5...: 790a4ca68f44be35967b3df61f3e4675 
SHA1..: bd0ea1bd82cfff4129b486d4d2f6661e3f28d318 
SHA256: 7cbc77c620aba75fef4ba8ad9c38766d50cd18106eba4693f162f2c5a7d46aa8 
ssdeep: 768:o04pOmckpdHXCDwdGSlAK5uVEWA69ir1FmU:oncUyEdGShwEWG1FmU
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6d1f
timedatestamp.....: 0x48c8bdc2 (Thu Sep 11 06:42:10 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x260 0x6cfe 0x6d00 6.57 8022e15a8918cb4af57e6d43d51c9b4c
.data 0x6f60 0x11a0 0x11a0 0.82 9d966a7c58463c4d95af560266df5b39
INIT 0x8100 0x564 0x580 5.17 24e35a4a457a8a9b599721f5c8fbc294
.reloc 0x8680 0x876 0x880 6.44 74e8722b79e3fe3758d06246890e01d2

( 2 imports ) 
> ntoskrnl.exe: KeEnterCriticalRegion, sprintf, ExAcquireResourceSharedLite, IoFreeIrp, KeSetEvent, KeWaitForSingleObject, IofCallDriver, KeGetCurrentThread, IoAllocateIrp, KeInitializeEvent, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, IoGetCurrentProcess, PsGetCurrentProcessId, strncpy, ZwClose, ObfDereferenceObject, IoAttachDeviceToDeviceStack, IoCreateDevice, IoGetRelatedDeviceObject, ObReferenceObjectByHandle, ZwCreateFile, ExAcquireResourceExclusiveLite, IoQueryVolumeInformation, IoAttachDeviceByPointer, KeQuerySystemTime, ExInterlockedPopEntrySList, ExInterlockedPushEntrySList, ProbeForWrite, _except_handler3, IoDeleteDevice, IoDetachDevice, ExQueueWorkItem, IofCompleteRequest, MmMapLockedPages, DbgPrint, IoDeleteSymbolicLink, ExInitializeNPagedLookasideList, ExInitializeResourceLite, IoCreateSymbolicLink, NtBuildNumber, ExReleaseResourceLite, KeLeaveCriticalRegion, ExAllocatePoolWithTag, RtlInitUnicodeString, ExFreePool
> HAL.dll: KeQueryPerformanceCounter, ExAcquireFastMutex, ExReleaseFastMutex, KeGetCurrentIrql

( 0 exports ) 
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Tigzy · Answer

Bon c'est légitime alors...
Là je vois pas quoi faire de plus...

J'attends une réponse des collègue.
Ou en sont tes problèmes?

lucoco20 · Answer

Je n'en ai plus depuis hier, mais tu m'avais dis qu'il restait quelques trucs à faire quand je t'avais montré un rapport ZHP. Sinon tu as dis que là je n'étais pas protégé, c'est normal ?

Tigzy · Answer

Tu peux essayer ça aussi?


*Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
*Désactivez vos protections et coupez la connexion. 
*Sous Windows XP : double-cliquez surmbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur" 
*Un rapport sera généré : mbr.log

lucoco20 · Answer

Combofix n'a pas marché, encore la même erreur:

BCCode : 19     BCP1 : 00000020     BCP2 : 84E82A00     BCP3 : 84E82E18     
BCP4 : 1A830015     OSVer : 5_1_2600     SP : 3_0     Product : 768_1     


C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\WER8fb9.dir00\Mini042010-04.dmp
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\WER8fb9.dir00\sysdata.xml


Je vais essayer mbr.

lucoco20 · Answer

Voilà le rapport mbr:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Tigzy · Answer

Tools cleaner permet de supprimer tous les outils utilisés dans une désinfection. 


Télécharger  sur le bureau 

ToolsCleaner2.exe
---------------
= CliC Recherche
le scan finit
= CliC Suppression
= CliC Quitter
= supprimer cet outil, son rapport qui est à C:\TCleaner.txt
= supprimer les divers rapports du nettoyage, si encore présents , qui sont à C:\

lucoco20 · Answer

Oui mais tout à l'heure tu m'as dis que je n'étais pas protéger, pourquoi ?

Je peux retélécharger Zone Alarme ?

Besoin d'aide, virus Total XP

30 réponses

Discussions similaires