Trojan Vapsup.zep détectéRésolu/Fermé

Question

Bonjour, tout est dans le titre ;-)

Depuis quelques temps Antivir me détecte ce trojan dans un fichier et je n'arrive pas à l'enlever : Malaware ne le trouve pas ... Est ce que quelqu'un peut m'aider ?

Merci d'avance et, bonne journée



Configuration: Windows 7 / Firefox 3.6.3

booddha · Answer

Bonjour

============= ZHPDIAG =============
* Télécharger ZHPDIAG

* Suivre les instructions lors de l'installation, lancement automatiquement à la fin.
* Cliquer sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une disquette
* Sauvegarder le rapport ici: cijoint et coller le lien dans la réponse sur ce forum

nico67 · Answer

Merci de t'occuper de mon ordi.

voici le rapport demandé (y'a beaucoup de lignes rouges :s ) :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijUQCRG5f.txt

booddha · Answer

Ok, Barres d'outils infectées et autres joyeuseté.

On commence par ça

===================  AD-Remover ======================
* Télécharger AD-Remover sur le Bureau. (Merci à C_XX)

Miroir

/!\ Se Déconnecter d'internet et fermer toutes applications en cours /!\

Désactiver provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de l'antivirus et des Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-cliquer sur l'icône Ad-remover située sur le Bureau.
- Sur la page, cliquer sur le bouton « NETTOYER »
- Confirmer lancement du scan
- Laisser travailler l'outil.
- Poster le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

nico67 · Answer

Re, voilà le rapport :


.
======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 22/04/10 à 19:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:50:07 le 24/04/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows 7(TM) HomePremium  - X64
Nom du PC: NICO-TOSH (TOSHIBA Satellite A500)
Utilisateur actuel: Nico (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Program Files (x86)\Ask.com
C:\Users\Nico\AppData\Roaming\Mozilla\FireFox\Profiles\mq2azsmt.default\extensions	oolbar@ask.com
C:\Users\Nico\AppData\Roaming\Mozilla\FireFox\Profiles\mq2azsmt.default\searchplugins\askcom.xml
C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\AppDataLow\AskToolbarInfo
HKCU\Software\AppDataLow\Software\AskToolbar
HKCU\Software\Ask.com
HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
HKLM\Software\Trymedia Systems
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SVPWUTIL
.
(Orpheline) BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Users\Nico\..\mq2azsmt.default\prefs.js - browser.search.defaultenginename: Ask.com
C:\Users\Nico\..\mq2azsmt.default\prefs.js - browser.search.defaulturl: hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource=3&q={searchTerms}
C:\Users\Nico\..\mq2azsmt.default\prefs.js - browser.search.selectedEngine: Google
C:\Users\Nico\..\mq2azsmt.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Users\Nico\..\mq2azsmt.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
C:\Users\Nico\..\mq2azsmt.default\prefs.js - keyword.URL: hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&q=
.
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=fr_FR&q=");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("browser.search.defaultengine", "Ask.com");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("browser.search.defaultenginename", "Ask.com");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("browser.search.order.1", "Ask.com");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("extensions.asktb.cbid", "PV");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&o={o}&l={l}");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("extensions.asktb.fresh-install", false);
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("extensions.asktb.l", "dis");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("extensions.asktb.last-config-req", "1272055597847");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("extensions.asktb.locale", "fr_FR");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("extensions.asktb.o", "15000");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("extensions.asktb.options-lang", "fr");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("extensions.asktb.options-locale", "UK");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("extensions.asktb.qsrc", "2871");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("extensions.asktb.r", "2");
EFFACÉ: C:\Users\Nico\..\mq2azsmt.default\prefs.js - user_pref("extensions.enabledItems", "s.alfa@idev.com:1.0,{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3,{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}:1.18,{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}:6.0.16,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{73a6fe31-595d-460b-a920-fcc0f8843232}:1.9.9.69,toolbar@ask.com:3.6.6.117,{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}:6.0.19,{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6.3");
.
* Internet Explorer Version 8.0.7600.16385 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Users\Nico\AppData\Local\Temp: 3 Fichier(s), 5 Dossier(s)
C:\Windows	emp: 0 Fichier(s), 2 Dossier(s)
C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Cookies: 2 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 2 Fichier(s), 5 Dossier(s)
.
C:\Ad-Remover\Quarantine: 124 Fichier(s)
C:\Ad-Remover\Backup: 15 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 7378 Octet(s)
.
Fin à: 11:54:21, 24/04/2010
.
============== E.O.F - CLEAN[1] ==============

booddha · Answer

Oki,

Reboote la machine et renvoie un ZHPDIAG

gen-hackman · Answer

bonjour sur Win 7 , il faut utiliser les outils avec le clic droit "executer en tant que......" sinon ils risquent de mal faire leur travail

@+ ^^

nico67 · Answer

Voilà le rapport : le rouge a disparu ...

http://www.cijoint.fr/cjlink.php?file=cj201004/cijuvwdPXr.txt

booddha · Answer

Y'en reste

==================  MalwareBytes =====================

Telecharger MalwareBytes (Qui peut être conservé)

* L'enregistrer sur le bureau
* Double cliquer sur le fichier téléchargé pour lancer le processus d'installation.
* Dans l'onglet "mise à jour", cliquer sur le bouton Recherche de mise à jour
* Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepter
* Une fois la mise à jour terminé
* Sélectionner l'onglet, Recherche
* Sélectionner Exécuter un examen rapide
* Cliquer sur Rechercher
* Le scan démarre.
* A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. 
* Cliquer sur Afficher les résultats pour afficher tous les objets trouvés.
* Cliquer sur Ok pour poursuivre.
* Si des malwares ont été détectés, cliquer sur Afficher les résultats
* Sélectionner tout (ou laisser cochés) et cliquer sur Supprimer la sélection.
* Malwarebytes va détruire les fichiers et clés de registre et en faire une copie dans la quarantaine.
* Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
* Sélectionner l'onglet rapport/log
* Une fois le rapport affiché
* Taper Ctrl A pour tout sélectionner
* Taper Ctrl C pour tout copier
* Revenir sur le forum et dans la prochaine réponse taper CTRL V pour tout coller.

Si besoin d'aide regarder ces tutoriels :
Aide
Autre aide

nico67 · Answer

Apparement rien au vu à l'horizon ...

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4029

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

24/04/2010 12:53:12
mbam-log-2010-04-24 (12-53-12).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 109608
Temps écoulé: 2 minute(s), 27 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

booddha · Answer

Tu en es ou de tes soucis ?

nico67 · Answer

Désolé pour le retard ...

Disons qu'il ne me détecte plus aucune intrusion donc je suppose que cela doit etre plutot bon

booddha · Answer

OK, fais ceci.

Supprime tous les rapports ZHPDIAG.TXT que tu as sur ta machine.

Reboote la machine et refais ensuite un rapport ZHPDIAG

Si c'est bon on aura encore une ou deux manip à faire pour finaliser.

nico67 · Answer

voilà le rapport :


http://www.cijoint.fr/cjlink.php?file=cj201004/cijx4dS5Uu.txt

booddha · Answer

==================== VIRUS TOTAL ====================== 
* Cliquer sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* Cocher Afficher les fichiers et dossiers cachés
* Décocher Masquer les extensions des fichiers dont le type est connu
* Décocher Masquer les fichiers protégés du système d'exploitation (recommandé)

* Cliquer sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important 
Aller sur le site VIRUS TOTAL

	*	COPIER/COLLER dans le champ de saisie ce qui est en gras

C:\Program Files (x86)\Softonic_France	bSoft.dll

	*	Appuyer sur le bouton Envoyer le fichier

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

	*	Copier/Coller le rapport dans le prochain message.

nico67 · Answer

voilà le rapport :

 Fichier tbSoft.dll reçu le 2010.04.27 15:24:44 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 61 et 87 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.50	2010.04.27	-
AhnLab-V3	5.0.0.2	2010.04.27	-
AntiVir	8.2.1.224	2010.04.27	-
Antiy-AVL	2.0.3.7	2010.04.27	-
Authentium	5.2.0.5	2010.04.27	-
Avast	4.8.1351.0	2010.04.27	-
Avast5	5.0.332.0	2010.04.27	-
AVG	9.0.0.787	2010.04.27	-
BitDefender	7.2	2010.04.27	-
CAT-QuickHeal	10.00	2010.04.27	-
ClamAV	0.96.0.3-git	2010.04.27	-
Comodo	4689	2010.04.27	-
DrWeb	5.0.2.03300	2010.04.27	-
eSafe	7.0.17.0	2010.04.26	-
eTrust-Vet	35.2.7453	2010.04.27	-
F-Prot	4.5.1.85	2010.04.26	-
F-Secure	9.0.15370.0	2010.04.27	-
Fortinet	4.0.14.0	2010.04.27	-
GData	21	2010.04.27	-
Ikarus	T3.1.1.80.0	2010.04.27	-
Jiangmin	13.0.900	2010.04.27	-
Kaspersky	7.0.0.125	2010.04.27	-
McAfee	5.400.0.1158	2010.04.27	-
McAfee-GW-Edition	6.8.5	2010.04.27	-
Microsoft	1.5703	2010.04.27	-
NOD32	5065	2010.04.27	-
Norman	6.04.11	2010.04.27	-
nProtect	2010-04-27.01	2010.04.27	-
Panda	10.0.2.7	2010.04.26	-
PCTools	7.0.3.5	2010.04.27	-
Prevx	3.0	2010.04.27	-
Rising	22.45.01.04	2010.04.27	-
Sophos	4.53.0	2010.04.27	-
Sunbelt	6227	2010.04.27	-
Symantec	20091.2.0.41	2010.04.27	-
TheHacker	6.5.2.0.270	2010.04.27	-
TrendMicro	9.120.0.1004	2010.04.27	-
TrendMicro-HouseCall	9.120.0.1004	2010.04.27	-
VBA32	3.12.12.4	2010.04.27	-
ViRobot	2010.4.26.2294	2010.04.26	-
VirusBuster	5.0.27.0	2010.04.27	-
Information additionnelle
File size: 2355224 bytes
MD5...: eb339c24dc8a9b00d59a912656cb2c8a
SHA1..: 4b75623989a8b915f9065f9ee196516e3c7c5619
SHA256: 241f2fb4d47d1cfc9e14e18b0b10fb208fa3ba914eecccf0e907ae824f1c693d
ssdeep: 49152:VDrDDwLxutZPWd7KIwJZZ1v3pzYAYQ4BD07r2vzVQ8qba6cr:VbDOwKRKT
Hv3pzhYQ4Dj
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1182b0
timedatestamp.....: 0x4ba0dcf4 (Wed Mar 17 13:45:24 2010)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x148592 0x148600 6.60 8d8ec5dcb8b42958dcb69feddd5a7545
.rdata 0x14a000 0x74e57 0x75000 4.53 e2e9555651e827333dc4ed22ccde7623
.data 0x1bf000 0x8584 0x6400 4.96 b4eb22f14509bdf3a1f1f62c73a9bf28
.rsrc 0x1c8000 0x5d258 0x5d400 5.97 68473ab0339b366097d89411f3ab992c
.reloc 0x226000 0x1d09e 0x1d200 5.94 05050eb9a3f44fd6a9c1499821cc55e2

( 20 imports )
> COMCTL32.dll: ImageList_Create, InitCommonControlsEx, CreateToolbarEx, PropertySheetW, CreatePropertySheetPageW, ImageList_ReplaceIcon, _TrackMouseEvent, -
> WININET.dll: DeleteUrlCacheEntry, FindNextUrlCacheEntryA, FindFirstUrlCacheEntryA, InternetCanonicalizeUrlW, InternetCrackUrlW, InternetCloseHandle, InternetSetOptionA, HttpOpenRequestA, FindCloseUrlCache, InternetConnectA, InternetGetLastResponseInfoA, HttpSendRequestA, HttpQueryInfoA, InternetOpenA, InternetCrackUrlA, InternetOpenW, InternetSetOptionW, InternetOpenUrlW, InternetReadFile, InternetSetOptionExA, InternetQueryOptionA, GetUrlCacheEntryInfoW, InternetCanonicalizeUrlA, InternetGetConnectedState
> SHLWAPI.dll: SHDeleteKeyA, PathFileExistsW
> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -
> VERSION.dll: GetFileVersionInfoW, VerQueryValueW, GetFileVersionInfoSizeW
> MSIMG32.dll: GradientFill
> RPCRT4.dll: UuidToStringW
> urlmon.dll: ObtainUserAgentString, URLDownloadToFileW
> CRYPT32.dll: CryptProtectData, CryptUnprotectData, CryptQueryObject, CryptMsgGetParam, CertFindCertificateInStore, CertGetNameStringA, CertGetNameStringW, CertFreeCertificateContext, CertCloseStore, CryptMsgClose
> WINMM.dll: sndPlaySoundW, PlaySoundW, PlaySoundA, timeGetTime
> KERNEL32.dll: OutputDebugStringW, GetTickCount, GetModuleHandleW, GetShortPathNameW, GetLongPathNameW, LocalFree, GetCurrentThreadId, GetCurrentProcessId, CloseHandle, ReleaseMutex, InterlockedDecrement, SetEndOfFile, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetLocaleInfoA, InterlockedExchange, InitializeCriticalSectionAndSpinCount, SetFilePointer, FlushFileBuffers, GetConsoleMode, GetConsoleCP, LCMapStringA, GetStringTypeW, GetStringTypeA, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, HeapSize, LCMapStringW, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, GetStdHandle, WriteFile, ExitProcess, VirtualAlloc, VirtualFree, HeapDestroy, HeapCreate, InterlockedIncrement, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, MoveFileW, GetCommandLineA, ResumeThread, ExitThread, RaiseException, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, HeapReAlloc, HeapAlloc, RtlUnwind, GetProcessHeap, HeapFree, MapViewOfFile, UnmapViewOfFile, OpenFileMappingW, CreateFileMappingW, ReleaseSemaphore, CreateSemaphoreW, SetEvent, GetCurrentThread, SetThreadPriority, TerminateProcess, CreateToolhelp32Snapshot, Thread32First, Thread32Next, OpenProcess, LocalAlloc, lstrcpyA, GetComputerNameW, GetSystemTimeAsFileTime, RemoveDirectoryW, GetFileTime, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, SizeofResource, CreateFileW, GetFileSize, GlobalAlloc, GlobalLock, ReadFile, MulDiv, LoadLibraryA, GlobalUnlock, GlobalFree, GetLastError, GetProcAddress, GetModuleHandleA, GetModuleFileNameW, WaitForSingleObject, CreateEventW, lstrlenW, MoveFileExW, GetModuleFileNameA, WideCharToMultiByte, FreeLibrary, LoadLibraryW, lstrcpyW, CopyFileW, FindClose, FindNextFileW, DeleteFileW, FindFirstFileW, CreateThread, SetLastError, OpenMutexW, GetCurrentProcess, FlushInstructionCache, VirtualProtect, Sleep, ExpandEnvironmentStringsW, CreateProcessW, GetLocaleInfoW, CreateMutexW, Beep, MultiByteToWideChar, GetLocalTime, GetDateFormatW, GetTimeFormatW, FindResourceW, LoadResource, LockResource, FreeResource, GetFileAttributesW, GetVersionExA
> USER32.dll: SetCursor, GetWindowLongW, GetParent, SetDlgItemTextW, ClientToScreen, SetWindowTextA, SetWindowTextW, GetClientRect, GetDlgCtrlID, CallWindowProcA, InvalidateRect, IsWindow, GetWindowRgn, MessageBeep, LoadCursorA, SendMessageA, wsprintfW, PostMessageA, ShowWindow, SetWindowLongW, ReleaseDC, GetWindow, UpdateWindow, GetClassInfoExW, RegisterClassExW, CopyRect, InflateRect, DrawFocusRect, CharUpperW, SetRect, GetLastInputInfo, IsIconic, LoadImageW, SystemParametersInfoW, MoveWindow, DrawTextW, GetDC, GetWindowRect, RegisterWindowMessageW, GetActiveWindow, IsDialogMessageA, IsDialogMessageW, MessageBoxA, DialogBoxParamW, DialogBoxParamA, CreateDialogParamA, CreateDialogParamW, SetRectEmpty, GetKeyState, SetDlgItemInt, GetDlgItemTextA, FrameRect, DrawFrameControl, AllowSetForegroundWindow, CharLowerBuffA, DrawEdge, MsgWaitForMultipleObjects, PostThreadMessageA, SetParent, GetDlgItemTextW, GetScrollInfo, GetMenuItemRect, InsertMenuItemA, InsertMenuItemW, IsMenu, GetMenuInfo, SetMenuInfo, GetMenuItemID, GetMenuState, SetMenuItemInfoW, CheckMenuItem, EnableMenuItem, DeleteMenu, TrackPopupMenu, PostMessageW, GetMonitorInfoW, GetMenuItemCount, GetMenuItemInfoW, CreatePopupMenu, DestroyMenu, SetClassLongA, SetLayeredWindowAttributes, SetForegroundWindow, EnableWindow, IsDlgButtonChecked, CheckDlgButton, SetActiveWindow, TranslateMessage, GetMessageA, ReleaseCapture, GetCapture, DispatchMessageW, DispatchMessageA, SetCapture, GetUpdateRect, BeginPaint, EndPaint, SetWindowRgn, GetDlgItem, OffsetRect, DrawIconEx, GetIconInfo, DestroyIcon, GetSystemMetrics, FillRect, GetSysColor, PeekMessageA, MessageBoxW, DefWindowProcW, GetAsyncKeyState, SendMessageW, GetWindowTextLengthW, EndDialog, GetWindowTextW, FindWindowW, GetMenuItemInfoA, SetWindowsHookExA, UnhookWindowsHookEx, CallNextHookEx, CreateWindowExW, UnregisterClassA, GetClassNameW, DefWindowProcA, GetWindowLongA, SetWindowLongA, GetFocus, IsChild, KillTimer, IsWindowUnicode, CallWindowProcW, FindWindowExW, GetWindowThreadProcessId, SetWindowPos, MonitorFromRect, GetMonitorInfoA, GetClassInfoW, RegisterClassW, DestroyWindow, SetTimer, GetDesktopWindow, SetFocus, GetCursorPos, ScreenToClient, PtInRect, IsWindowVisible
> GDI32.dll: GetDeviceCaps, RealizePalette, SelectPalette, PlgBlt, SetLayout, PtInRegion, GetTextColor, GetBkColor, GetBkMode, ExcludeClipRect, SetRectRgn, OffsetRgn, FrameRgn, SetTextAlign, TextOutW, RoundRect, CombineRgn, GetPixel, CreateCompatibleBitmap, BitBlt, CreateRectRgn, Polygon, GdiFlush, SetPixel, GetObjectA, GetTextAlign, GetTextExtentPoint32W, GetLayout, Rectangle, SetBkColor, CreateCompatibleDC, DeleteDC, CreateSolidBrush, CreateFontIndirectW, CreatePen, SelectObject, MoveToEx, LineTo, DeleteObject, GetWindowOrgEx, SetWindowOrgEx, SetBkMode, SetTextColor, GetStockObject
> COMDLG32.dll: GetOpenFileNameW
> ADVAPI32.dll: OpenProcessToken, RegCreateKeyExA, RegSetValueExA, RegCreateKeyExW, RegSetValueExW, RegDeleteKeyW, CryptCreateHash, CryptHashData, CryptGetHashParam, CryptDestroyHash, CryptAcquireContextA, CryptReleaseContext, RegEnumValueW, RegEnumKeyExW, RegDeleteValueW, RegOpenKeyW, RegEnumKeyW, RegCreateKeyW, RegQueryInfoKeyW, RegOpenKeyExW, RegQueryValueExW, RegOpenKeyExA, GetTokenInformation, GetSidSubAuthorityCount, GetSidSubAuthority, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, ConvertStringSecurityDescriptorToSecurityDescriptorA, GetSecurityDescriptorSacl, SetSecurityDescriptorSacl, RegCloseKey, RegDeleteKeyA
> SHELL32.dll: SHCreateDirectoryExW, ShellExecuteW, ShellExecuteExW, SHGetFolderPathW
> ole32.dll: IIDFromString, CoCreateInstance, CoCreateGuid, StringFromGUID2, CLSIDFromString, CoUninitialize, CoInitialize, CreateStreamOnHGlobal, CoGetMalloc, StringFromIID
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> PSAPI.DLL: EnumProcessModules, GetModuleFileNameExW, EnumProcesses, GetModuleBaseNameW, GetProcessMemoryInfo
> DNSAPI.dll: DnsQuery_A

( 14 exports )
DllCanUnloadNow, DllConnectToIE, DllConnectionProc, DllGetClassObject, DllGetInstallFileNameExt, DllOnUninstall, DllOnUpdateFinish, DllOpenUninstallPage, DllRegisterServer, DllShowTB, DllShowToolbar, DllShowToolbarWithIE, DllUnregisterServer, DllUpdate
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Windows OCX File (71.0%)
Win32 Executable MS Visual C++ (generic) (21.6%)
Win32 Executable Generic (4.9%)
Generic Win/DOS Executable (1.1%)
DOS Executable Generic (1.1%)
sigcheck:
publisher....: Conduit Ltd.
copyright....: Copyright (c) Conduit Ltd. 2008
product......: Conduit Toolbar
description..: Conduit Toolbar
original name: n/a
internal name: Conduit Toolbar
file version.: 5, 3, 7, 1
comments.....: Conduit Toolbar ver 1.0
signers......: -
signing date.: -
verified.....: Unsigned

booddha · Answer

As-tu consulté des résultats d'examens style bac ou autres récemment ? 
Si il n'y a pas de solution c'est qu'il n'y a pas de problème.

nico67 · Answer

non, pas du tout. Cette période est quelques années dernière moi

booddha · Answer

Regarde quand même dans ajout/suppression de programmes, si y a pas un truc :
france examen qq chose
gibusr
letmiin
winletmin

Si oui, tu désinstalles, sinon, ben tu me le dis

nico67 · Answer

il n'y a aucun de ces 4 là.

Pour info, les dernières choses que j'ai installé sont des démos de Jeu PC] et game spy arcade (qui devait etre compris dans une des démos je pense vu que je ne l'ai pas cherché de moi même)

booddha · Answer

Ok, si y a pas, pour le supprimer... :
- Demarrer / executer / tape services.msc
- Cherche Gestionnaire de mise à jour Winsudate dans la liste
- Double clic dessus, positionne le type de démarrage sur désactiver

Redémarre l'ordinateur

-- Menu Démarrer puis executer, dans le champs tape : SC delete WinSvc

Supprime le dossier : C:\Program Files\Winsudate\

Supprime les rapports ZHPDIAG.TXT présents sur ta machine.

Reboote encore une fois et renvoie moi un ZHPDIAG.

nico67 · Answer

Je n'ai pas mot pour mot ce que vous me mettez dans la liste.  J'ai cherché dans la lettre G et si il y avait autre part quelque chose contenant winsudate et il n'y est pas non plus. Par contre,  j'ai Windows Update à la fin, ca doit etre ca non ?

J'préfère attendre une réponse avant de continuer ...

gen-hackman · Answer

salut :

suite à ceci :

https://forums.commentcamarche.net/forum/affich-17493807-trojan-vapsup-zep-detecte?full#13

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer Shortut
&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

nico67 · Answer

Salut, désolé si le nettoyage traine en longueur ; je n'suis pas toujours sur l'ordi.

Voilà le rapport :

List'em by g3n-h@ckm@n 1.7.2.4

User : Nico (Administrateurs) 
Update on 28/04/2010 by g3n-h@ckm@n ::::: 10.45
Start at: 16:52:08 | 29/04/2010

Intel(R) Core(TM)2 Duo CPU     P7450  @ 2.13GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 232,88 Go (152,17 Go free) [WINDOWS] | NTFS
D:\ -> Disque fixe local | 232,49 Go (224,82 Go free) [Data] | NTFS
E:\ -> Disque CD-ROM
 
Boot: Normal 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files (x86)\TOSHIBA\Bluetooth Monitor\BtMon2.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
C:\Program Files (x86)\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files (x86)\TOSHIBA\TRCMan\TRCMan.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\TOSHIBA\HDMICtrlMan\HCMSoundChanger.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\CFProcSRVC.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files (x86)\List_Kill'em\List_Kill'em.exe
C:\Windows\SysWOW64\cmd.exe
C:\Program Files (x86)\List_Kill'em\pv.exe

======================
Keys "Run" 
======================

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Google Update	REG_SZ         	"C:\Users\Nico\AppData\Local\Google\Update\GoogleUpdate.exe" /c

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
HWSetup	REG_SZ         	"C:\Program Files\TOSHIBA\Utilities\HWSetup.exe" hwSetUP 
KeNotify	REG_SZ         	C:\Program Files (x86)\TOSHIBA\Utilities\KeNotify.exe 
TUSBSleepChargeSrv	REG_EXPAND_SZ  	%ProgramFiles(x86)%\TOSHIBA\TOSHIBA USB Sleep and Charge Utility\TUSBSleepChargeSrv.exe 
ToshibaServiceStation	REG_SZ         	C:\Program Files (x86)\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe /hide:60 
TRCMan	REG_SZ         	C:\Program Files (x86)\TOSHIBA\TRCMan\TRCMan.exe 
avgnt	REG_SZ         	"C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min 
Adobe Reader Speed Launcher	REG_SZ         	"C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
Adobe ARM	REG_SZ         	"C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" 
SunJavaUpdateSched	REG_SZ         	"C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" 
QuickTime Task	REG_SZ         	"C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime 
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
ConsentPromptBehaviorAdmin	REG_DWORD      	5 (0x5) 
ConsentPromptBehaviorUser	REG_DWORD      	3 (0x3) 
EnableInstallerDetection	REG_DWORD      	1 (0x1) 
EnableLUA	REG_DWORD      	1 (0x1) 
EnableSecureUIAPaths	REG_DWORD      	1 (0x1) 
EnableUIADesktopToggle	REG_DWORD      	0 (0x0) 
EnableVirtualization	REG_DWORD      	1 (0x1) 
PromptOnSecureDesktop	REG_DWORD      	1 (0x1) 
ValidateAdminCodeSignatures	REG_DWORD      	0 (0x0) 
dontdisplaylastusername	REG_DWORD      	0 (0x0) 
legalnoticecaption	REG_SZ         	 
legalnoticetext	REG_SZ         	 
scforceoption	REG_DWORD      	0 (0x0) 
shutdownwithoutlogon	REG_DWORD      	1 (0x1) 
undockwithoutlogon	REG_DWORD      	1 (0x1) 
FilterAdministratorToken	REG_DWORD      	0 (0x0) 

===============

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoActiveDesktop	REG_DWORD      	1 (0x1) 
ForceActiveDesktopOn	REG_DWORD      	0 (0x0) 
NoActiveDesktopChanges	REG_DWORD      	0 (0x0) 

===============
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS	REG_SZ         	

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 ReportBootOk	REG_SZ         	1 
 Shell	REG_SZ         	explorer.exe 
 PreCreateKnownFolders	REG_SZ         	{A520A1A4-1780-4FF6-BD18-167343C5AF16} 
 DefaultDomainName	REG_SZ         	 
 DefaultUserName	REG_SZ         	 
 Userinit	REG_SZ         	C:\Windows\system32\userinit.exe, 
 VMApplet	REG_SZ         	SystemPropertiesPerformance.exe /pagefile 
 allocatecdroms	REG_SZ         	0 

===============


===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

===============

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
C:\Program Files (x86)\JeuDeMots\JeuDeMots.exe	REG_SZ         	C:\Program Files (x86)\JeuDeMots\JeuDeMots.exe:*:Enabled:JeuDeMots

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
C:\Program Files (x86)\JeuDeMots\JeuDeMots.exe	REG_SZ         	C:\Program Files (x86)\JeuDeMots\JeuDeMots.exe:*:Enabled:JeuDeMots

===============
ActivX controls
===============

[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{D27CDB6E-AE6D-11CF-96B8-444553540000}]

===============
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]

==============
BHO :
======

[<NO NAME>	REG_SZ         	]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]

===
DNS
===

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3D91AD9D-AAF3-4776-AF1F-0038BFD80376}: DhcpNameServer=212.27.40.241 212.27.40.240 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C8A3A44A-2656-4CCE-9A17-100D235581AF}: DhcpNameServer=89.2.0.1 89.2.0.2 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3D91AD9D-AAF3-4776-AF1F-0038BFD80376}: DhcpNameServer=212.27.40.241 212.27.40.240 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C8A3A44A-2656-4CCE-9A17-100D235581AF}: DhcpNameServer=89.2.0.1 89.2.0.2 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3D91AD9D-AAF3-4776-AF1F-0038BFD80376}: DhcpNameServer=212.27.40.241 212.27.40.240 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C8A3A44A-2656-4CCE-9A17-100D235581AF}: DhcpNameServer=89.2.0.1 89.2.0.2 
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2 
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2 
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2 

================
Internet Explorer :
================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr
Local Page	REG_SZ         	C:\Windows\SysWOW64\blank.htm
Default_Search_URL	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_Page_URL	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	http://search.orbitdownloader.com
Local Page	REG_SZ         	C:\Windows\system32\blank.htm

========
Services
========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
Wlansvc : 0x2 ( OK = 2 )
SharedAccess : 0x4 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )

========
Safemode
========

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot : OK !!  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal : OK !!  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network : OK !!  
 
=========
Atapi.sys
=========

C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_amd64_neutral_a69a58a4286f0b22\atapi.sys : 
 MD5 :: [02062c0b390b7729edc9e69c680a6f3c]
SHA256 :: [0261683c6dc2706dce491a1cdc954ac9c9e649376ec30760bb4e225e18dc5273]
 
C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_392d19c13b3ad543\atapi.sys : 
 MD5 :: [02062c0b390b7729edc9e69c680a6f3c]
SHA256 :: [0261683c6dc2706dce491a1cdc954ac9c9e649376ec30760bb4e225e18dc5273]
 
Référence :
==========

Win 2000_SP2   : ff953a8f08ca3f822127654375786bbe
Win 2000_SP4   : 8c718aa8c77041b3285d55a0ce980867
Win XP_32b     : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b      : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b  : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b  : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b  : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b  : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b  : 02062C0B390B7729EDC9E69C680A6F3C
Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e
 
=======
Drive :
=======


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Users\Nico\AppData\Local\GDIPFONTCACHEV1.DAT  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 

Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges  
Present !! : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  

============

driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-29 17:02:08
Windows 6.1.7600  WOW64 FAT NTAPI

detected NTDLL code modification:
ZwEnumerateKey 0 != 47, ZwQueryKey 0 != 19, ZwOpenKey 0 != 15, ZwClose 0 != 12, ZwEnumerateValueKey 0 != 16, ZwQueryValueKey 0 != 20, ZwOpenFile 0 != 48, ZwQueryDirectoryFile 0 != 50, ZwQuerySystemInformation 0 != 51Initialization error


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 17:02:08,84

gen-hackman · Answer

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'option Restore MBR

laisse travailler l'outil.

en fin de scan un rapport s'ouvre 

&#9654 colle le contenu dans ta reponse 

puis :

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

gen-hackman · Answer

ce n'est pas ce qui est demandé

nico67 · Answer

Rapport suite à Restore MBR :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR 

Deuxième à venir

gen-hackman · Answer

tu l'as bien executé avec le clic droit "executer en tant que....."  ???

nico67 · Answer

il faut que je le réinstalle à chaque fois en passant par list kill em install.

Quand je veux le lancer en tant qu'administrateur à partir du raccourci bureai il me dit qu'il ne trouve Rest_MBR.bat. "Vérifiez que vous avez entré le nom correct puis réessayer. Donc en gros à chaque fois (pour restore et clean) j'ai du passer para là où il demande de cocher les deux cases short cut et list kill em

gen-hackman · Answer

tu lances l'install avec le clic droit ?

nico67 · Answer

clique droit et en tant qu'administrateur oui

gen-hackman · Answer

ok ben j'attends le second rapport dans ce cas

nico67 · Answer

Kill'em by g3n-h@ckm@n 1.7.2.4 
 
User : Nico (Administrateurs) 
Update on 28/04/2010 by g3n-h@ckm@n ::::: 10.45
Start at: 17:41:03 | 29/04/2010

Intel(R) Core(TM)2 Duo CPU     P7450  @ 2.13GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 232,88 Go (151,55 Go free) [WINDOWS] | NTFS
D:\ -> Disque fixe local | 232,49 Go (224,82 Go free) [Data] | NTFS
E:\ -> Disque CD-ROM
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\SysWOW64\runonce.exe
C:\Windows\SysWOW64\cmd.exe
C:\Program Files (x86)\List_Kill'em\ERUNT.EXE
C:\Program Files (x86)\List_Kill'em\pv.exe
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
Quarantined & Deleted !! : C:\Users\Nico\AppData\Local\GDIPFONTCACHEV1.DAT 
Quarantined & Deleted !! : C:\Users\Nico\LOCAL Settings\Temp\catchme.dll 
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$IKRS356.avi   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$ILV8N8L.avi   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$IN6BPA9.rar   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$ISG7DUD.avi   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$ISQW7K3.avi   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$IVZID0E.avi   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$IX3W5V3.rar   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$RKRS356.avi   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$RLV8N8L.avi   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$RN6BPA9.rar   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$RSG7DUD.avi   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$RSQW7K3.avi   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$RVZID0E.avi   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2912068716-2319535366-389121658-1001\$RX3W5V3.rar   
 
=======
Hosts :
=======

127.0.0.1       localhost   

========
Registry
========

Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges  
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.com/?gws_rd=ssl
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Search Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	REG_DWORD      	1 (0x1) 
AntiVirusDisableNotify	REG_DWORD      	0 (0x0) 
FirewallDisableNotify	REG_DWORD      	0 (0x0) 
UpdatesDisableNotify	REG_DWORD      	0 (0x0) 
AntiVirusOverride	REG_DWORD      	1 (0x1) 
FirewallOverride	REG_DWORD      	1 (0x1) 
 
========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Wlansvc : Start = 2   
 SharedAccess : Start = 2   
 windefend : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

desinstalle AD-Remover
Desinstalle List_Kill'em

fais un complet avec antivir et poste le rapport

Trojan Vapsup.zep détecté

33 réponses

Discussions similaires

Newsletters