comment réparer les dégâts de win32 malware.g

Question

Bonjour, 

Mon PC a été touché par win32 malware.gen. Je crois que je l'ai nettoyé (scan en ligne, avast et malwarebytes ne trouvent plus rien), mais il reste les dégâts :
- navigation sur firefox entravée, je n'ai plus d'historique, les site visités ne s'enregistrent plus et je ne peux plus faire "écran précédent"
- plus de son: filtre décodeur DRM, mélangeur audiowave, splitter audio, suppresseur d'écho, synthétiseur de table son et synthétiseur DLS du noyau microsoft ne sont plus reconnus
- l'imprimante n'est plus reconnue non plus, cela semble provenir du contrôleur de bus USB qui subit le même sort que les contrôleurs de son ci-dessus (même statut dans "gestionnaire de périphérique"= Windows ne peut pas démarrer ce périphérique matériel car ses informations de configuration (dans le Registre) sont incomplètes ou endommagées. (Code 19).


J'ai fait un scan et log file avec Hijackthis, mais mes compétences s'arrêtent là!!
Merci de votre aide!!



Configuration: Windows XP / Firefox 3.6.3

Juju_the_ouf · Answer

Commence par poster le rapport

aqua · Answer

Ok, voici le rapport  merci!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:37:25, on 13/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\Explorer.EXE
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\WINDOWS\RTHDCPL.EXE
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Program Files\ASUS\GamerOSD\GamerOSD.exe
H:\Program Files\Java\jre6\bin\jusched.exe
H:\Program Files\iTunes\iTunesHelper.exe
H:\Program Files\Canon\MyPrinter\BJMyPrt.exe
H:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
H:\WINDOWS\drivers.exe
H:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
H:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
H:\Program Files\Microsoft ActiveSync\Wcescomm.exe
H:\Program Files\Bluetooth Remote Control\BTRemoteServer.exe
H:\Program Files\McAfee Security Scan\1.0.150\SSScheduler.exe
H:\Program Files\LimeWire\LimeWire.exe
H:\PROGRA~1\MI3AA1~1apimgr.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Microsoft Office\Office12\POWERPNT.EXE
H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\Program Files\Bonjour\mDNSResponder.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\Program Files\LogMeIn Hamachi\hamachi-2.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\Program Files\Java\jre6\bin\jqs.exe
H:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
H:\WINDOWS\system32
vsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\Program Files\PC Connectivity Solution\ServiceLayer.exe
H:\Program Files\iPod\bin\iPodService.exe
H:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
H:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
H:\Program Files\Steam\Steam.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://uk.ask.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - H:\Program Files\Ask.com\GenericAskToolbar.dll (file missing)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - H:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - H:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - H:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Program Files\Ask.com\GenericAskToolbar.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - H:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - H:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Program Files\Ask.com\GenericAskToolbar.dll (file missing)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - H:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ASUSGamerOSD] H:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [D-Link AirPlus G] H:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] H:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "H:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] H:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] H:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "H:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "H:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "H:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "H:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "h:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [swg] "H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [drivers Driver] H:\WINDOWS\drivers.exe
O4 - HKCU\..\Run: [Dofutils Driver] H:\WINDOWS\Dofutils.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "H:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "H:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [OrionBluetoothRemoteControl] "H:\Program Files\Bluetooth Remote Control\BTRemoteServer.exe" /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: LimeWire On Startup.lnk = H:\Program Files\LimeWire\LimeWire.exe
O4 - Global Startup: McAfee Security Scan.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://H:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3D3B42C2-11BF-4732-A304-A01384B70D68} (UploadListView Class) - http://picasaweb.google.com/s/v/56.42/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {C212D449-8B3C-41F2-BD9A-047BD770550F} (Perparer Class) - http://www.fiaa.eu/OPLauncher.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - H:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Apple Mobile Device - Apple Inc. - H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - H:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - H:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - H:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - H:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - H:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - H:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - H:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia - H:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TomTomHOMEService - TomTom - H:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: wampapache - Apache Software Foundation - H:\Program Files\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - H:\Program Files\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

moment de grace · Answer

bonjour

fais ceci stp

1)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe 

Miroir: 

https://www.androidworld.fr/ 

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

.............................

2)

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr => utiliser https://www.cjoint.com/

aqua · Answer

alors voici le rapport du 1) avec AD-R


Maintenant je lance le 2)

PS: Depuis la "désinfection" (avant mon 1er post), mon PC démarre normalement, puis bloque pendant 1/4 d'heure-20 minutes et ensuite il fonctionne apparemment normalement.


======= RAPPORT D'AD-REMOVER 2.0.0.1,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 12/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

H:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:09:41 le 13/06/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Propriétaire, PC-862C68A1A7BF ( ) 
 
============== ACTION(S) ==============


0,Dossier supprimé: H:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Fichier supprimé: H:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
0,Dossier supprimé: H:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\m02r7vo0.default\extensions	oolbar@ask.com
0,Fichier supprimé: H:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\m02r7vo0.default\searchplugins\askcom.xml
0,Dossier supprimé: H:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\AskSearch
0,Fichier supprimé: H:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ASKSUTBLOG
0,Dossier supprimé: H:\Program Files\AskTBar
0,Dossier supprimé: H:\Documents and Settings\Propriétaire\Local Settings\Application Data\AskToolbar
3,Fichier supprimé: H:\WINDOWS\Installer\19b17d4.msi 
3,Fichier supprimé: H:\WINDOWS\Installer\98aa6.msi   

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: H:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\m02r7vo0.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.order.1", "Ask.com"); 
Ligne supprimée: user_pref("extensions.asktb.cbid", "HG"); 
Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://eu.ask.com/web?qsrc={qsrc}&o={o}&l={l... 
Ligne supprimée: user_pref("extensions.asktb.fresh-install", false); 
Ligne supprimée: user_pref("extensions.asktb.l", "dis"); 
Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1276426775299"); 
Ligne supprimée: user_pref("extensions.asktb.locale", "fr_EU"); 
Ligne supprimée: user_pref("extensions.asktb.o", "15558"); 
Ligne supprimée: user_pref("extensions.asktb.options-lang", "fr"); 
Ligne supprimée: user_pref("extensions.asktb.options-locale", "UK"); 
Ligne supprimée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true); 
Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871"); 
Ligne supprimée: user_pref("extensions.asktb.r", "3"); 
Ligne supprimée: user_pref("extensions.enabledItems", "{E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1,6,2,48,jqs@sun.com:1.... 
-- Fichier Fermé --
 

1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{9CB65201-89C4-402c-BA80-02D8C59F9B1D}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9CB65201-89C4-402c-BA80-02D8C59F9B1D}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9CB65201-89C4-402c-BA80-02D8C59F9B1D}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CB65201-89C4-402c-BA80-02D8C59F9B1D}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{FE063DB9-4EC0-403e-8DD8-394C54984B2C}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE063DB9-4EC0-403e-8DD8-394C54984B2C}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE063DB9-4EC0-403e-8DD8-394C54984B2C}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{FE063DBB-4EC0-403e-8DD8-394C54984B2C}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{FE063DBB-4EC0-403e-8DD8-394C54984B2C}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Clé supprimée: HKCU\Software\Ask.com
0,Clé supprimée: HKCU\Software\AskToolbar
0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|Hotbar 11.0.78.0
0,Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|Hotbar@Hotbar.com
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{9CB65206-89C4-402C-BA80-02D8C59F9B1D}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{FE063DB9-4EC0-403E-8DD8-394C54984B2C}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.3 (fr)] **

-- H:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\m02r7vo0.default\Prefs.js --
browser.download.lastDir, H:\Documents and Settings\Propriétaire\Bureau
browser.search.defaultenginename, Google
browser.startup.homepage, hxxp://franceinter.fr
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: H:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: H:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

H:\Program Files\Ad-Remover\Quarantine: 168 Fichier(s)
H:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

H:\Ad-Report-CLEAN[1].txt - 5982 Octet(s)

Fin à: 19:11:14, 13/06/2010 
 
============== E.O.F ==============

aqua · Answer

Et voici le rapport de ZHP Diag, résultat de l'étape 2)

http://www.cijoint.fr/cjlink.php?file=cj201006/cijMZsVx1F.txt

il y a un fichier possiblement infecté à la fin...

moment de grace · Answer

ok

1)

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

H:\WINDOWS\drivers.exe
H:\c5f22up6.exe
H:\WINDOWS\System32\fjhdyfhsn.bat

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

...............................

2)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

aqua · Answer

Rapport sur le fichier H:\WINDOWS\System32\fjhdyfhsn.bat 

Fichier fjhdyfhsn.bat reçu le 2010.06.15 07:04:31 (UTC)
Situation actuelle: terminé
Résultat: 1/41 (2.44%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	5.0.0.26 	2010.06.15 	-
AhnLab-V3 	2010.06.15.00 	2010.06.15 	-
AntiVir 	8.2.2.6 	2010.06.14 	-
Antiy-AVL 	2.0.3.7 	2010.06.11 	-
Authentium 	5.2.0.5 	2010.06.15 	-
Avast 	4.8.1351.0 	2010.06.14 	-
Avast5 	5.0.332.0 	2010.06.14 	-
AVG 	9.0.0.787 	2010.06.15 	-
BitDefender 	7.2 	2010.06.15 	-
CAT-QuickHeal 	10.00 	2010.06.15 	-
ClamAV 	0.96.0.3-git 	2010.06.15 	-
Comodo 	5105 	2010.06.15 	-
DrWeb 	5.0.2.03300 	2010.06.15 	-
eSafe 	7.0.17.0 	2010.06.14 	-
eTrust-Vet 	36.1.7634 	2010.06.15 	-
F-Prot 	4.6.0.103 	2010.06.14 	-
F-Secure 	9.0.15370.0 	2010.06.15 	-
Fortinet 	4.1.133.0 	2010.06.14 	-
GData 	21 	2010.06.15 	-
Ikarus 	T3.1.1.84.0 	2010.06.15 	-
Jiangmin 	13.0.900 	2010.06.14 	-
Kaspersky 	7.0.0.125 	2010.06.15 	-
McAfee 	5.400.0.1158 	2010.06.15 	-
McAfee-GW-Edition 	2010.1 	2010.06.14 	-
Microsoft 	1.5802 	2010.06.14 	-
NOD32 	5196 	2010.06.14 	-
Norman 	6.04.12 	2010.06.14 	BAT/Autorun.IZX
nProtect 	2010-06-14.02 	2010.06.14 	-
Panda 	10.0.2.7 	2010.06.14 	-
PCTools 	7.0.3.5 	2010.06.15 	-
Prevx 	3.0 	2010.06.15 	-
Rising 	22.51.06.01 	2010.06.13 	-
Sophos 	4.54.0 	2010.06.15 	-
Sunbelt 	6448 	2010.06.15 	-
Symantec 	20101.1.0.89 	2010.06.15 	-
TheHacker 	6.5.2.0.298 	2010.06.14 	-
TrendMicro 	9.120.0.1004 	2010.06.15 	-
TrendMicro-HouseCall 	9.120.0.1004 	2010.06.15 	-
VBA32 	3.12.12.5 	2010.06.14 	-
ViRobot 	2010.6.14.3884 	2010.06.15 	-
VirusBuster 	5.0.27.0 	2010.06.14 	-
Information additionnelle
File size: 148 bytes
MD5   : b7d5bbf8ee36889b7b8ca05ca650645c
SHA1  : c0fa59add36ab86ed165abd991e56ef6118557f0
SHA256: dc21307257b226d9c5520150eabe4793f63e9d75ce80dcd04a82fd146571c936
TrID  : File type identification
Unknown!
ssdeep: 3:mKDDfmA+5K0DZj4bAs1Cki97NFZj4bAs1Cki9Vjjvn:hqNabb1Cki97Ncbb1Cki9V/vn
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD  : -
RDS   : NSRL Reference Data Set

aqua · Answer

Rapport sur le fichier H:\WINDOWS\drivers.exe 

=> le fichier H:\c5f22up6.exe est refusé par virustotal, trop lourd...<=

 Fichier drivers.exe reçu le 2010.06.15 06:42:28 (UTC)
Situation actuelle: terminé
Résultat: 5/41 (12.20%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	5.0.0.26 	2010.06.15 	-
AhnLab-V3 	2010.06.15.00 	2010.06.15 	-
AntiVir 	8.2.2.6 	2010.06.14 	-
Antiy-AVL 	2.0.3.7 	2010.06.11 	-
Authentium 	5.2.0.5 	2010.06.15 	W32/VBTrojan.17C!Generic
Avast 	4.8.1351.0 	2010.06.14 	-
Avast5 	5.0.332.0 	2010.06.14 	-
AVG 	9.0.0.787 	2010.06.15 	-
BitDefender 	7.2 	2010.06.15 	Generic.Malware.SL!!g.D59D0542
CAT-QuickHeal 	10.00 	2010.06.15 	-
ClamAV 	0.96.0.3-git 	2010.06.15 	-
Comodo 	5105 	2010.06.15 	-
DrWeb 	5.0.2.03300 	2010.06.15 	-
eSafe 	7.0.17.0 	2010.06.14 	-
eTrust-Vet 	36.1.7634 	2010.06.15 	-
F-Prot 	4.6.0.103 	2010.06.14 	W32/VBTrojan.17C!Generic
F-Secure 	9.0.15370.0 	2010.06.15 	Generic.Malware.SL!!g.D59D0542
Fortinet 	4.1.133.0 	2010.06.14 	-
GData 	21 	2010.06.15 	Generic.Malware.SL!!g.D59D0542
Ikarus 	T3.1.1.84.0 	2010.06.15 	-
Jiangmin 	13.0.900 	2010.06.14 	-
Kaspersky 	7.0.0.125 	2010.06.15 	-
McAfee 	5.400.0.1158 	2010.06.15 	-
McAfee-GW-Edition 	2010.1 	2010.06.14 	-
Microsoft 	1.5802 	2010.06.14 	-
NOD32 	5196 	2010.06.14 	-
Norman 	6.04.12 	2010.06.14 	-
nProtect 	2010-06-14.02 	2010.06.14 	-
Panda 	10.0.2.7 	2010.06.14 	-
PCTools 	7.0.3.5 	2010.06.15 	-
Prevx 	3.0 	2010.06.15 	-
Rising 	22.51.06.01 	2010.06.13 	-
Sophos 	4.54.0 	2010.06.15 	-
Sunbelt 	6448 	2010.06.15 	-
Symantec 	20101.1.0.89 	2010.06.15 	-
TheHacker 	6.5.2.0.298 	2010.06.14 	-
TrendMicro 	9.120.0.1004 	2010.06.15 	-
TrendMicro-HouseCall 	9.120.0.1004 	2010.06.15 	-
VBA32 	3.12.12.5 	2010.06.14 	-
ViRobot 	2010.6.14.3884 	2010.06.15 	-
VirusBuster 	5.0.27.0 	2010.06.14 	-
Information additionnelle
File size: 139264 bytes
MD5   : 0a4151bd9e010f16f8e44f7eac4dcd0a
SHA1  : 3e6d31faadb7952b6292f52fafda70ba9762d94f
SHA256: ef1f18ff665b9a24a6359b39b1b14159f84a26247881ef02ea7c9c4dd6f8d1c9
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2380
timedatestamp.....: 0x4B463EE0 (Thu Jan 7 21:06:56 2010)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1E498 0x1F000 5.92 36e36b370046c0c4edcd3551729ab2f0
.data 0x20000 0x1F44 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x22000 0xBD0 0x1000 3.88 443c94c61b837abe01b2ee70c789409a

( 1 imports )

> msvbvm60.dll: __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaLateIdCall, -, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, -, __vbaLsetFixstr, __vbaSetSystemError, __vbaRecDestruct, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaVarTstLe, __vbaAryDestruct, __vbaVarForInit, __vbaExitProc, -, __vbaFileCloseAll, -, __vbaObjSet, -, __vbaOnError, _adj_fdiv_m16i, _adj_fdivr_m16i, -, __vbaStrFixstr, __vbaFpR8, __vbaBoolVarNull, __vbaVarTstLt, _CIsin, -, -, -, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaGet3, __vbaAryConstruct2, __vbaVarTstEq, -, __vbaI2I4, DllFunctionCall, __vbaFpUI1, _adj_fpatan, __vbaFixstrConstruct, __vbaStrR8, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, __vbaVarAnd, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaStrToUnicode, -, __vbaPrintFile, __vbaDateStr, -, _adj_fprem, _adj_fdivr_m64, -, -, -, __vbaFPException, __vbaInStrVar, __vbaStrVarVal, -, __vbaVarCat, __vbaDateVar, -, __vbaLsetFixstrFree, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaInStr, __vbaNew2, __vbaR8Str, _adj_fdiv_m32i, _adj_fdivr_m32i, -, __vbaStrCopy, __vbaI4Str, __vbaVarNot, __vbaFreeStrList, -, _adj_fdivr_m32, _adj_fdiv_r, -, -, -, __vbaVarTstNe, __vbaI4Var, __vbaVarCmpEq, -, __vbaVarAdd, __vbaStrToAnsi, -, __vbaVarDup, __vbaFpI4, __vbaVarTstGe, __vbaVarCopy, -, _CIatan, __vbaI2ErrVar, __vbaStrMove, __vbaR8IntI4, -, -, _allmul, __vbaLateIdSt, -, _CItan, -, __vbaFPInt, __vbaVarForNext, _CIexp, __vbaFreeObj, __vbaFreeStr, __vbaRecAssign

( 0 exports )
TrID  : File type identification
Win32 Executable Microsoft Visual Basic 6 (86.2%)
Win32 Executable Generic (5.8%)
Win32 Dynamic Link Library (generic) (5.1%)
Generic Win/DOS Executable (1.3%)
DOS Executable Generic (1.3%)
Symantec reputation: Suspicious.Insight https://www.broadcom.com/support/security-center
ssdeep: 1536:XHk8w2OBt5aoxtz+Ge7bSM7zo9XavcX4Xik3Bsu3PHlGQTxGFOA4WJsz6qz:GtHaoxtzVQ7zOqm4Xik3BsufPMiWqz
sigcheck: publisher....: Ankama
copyright....: n/a
product......: Dofutils
description..: n/a
original name: Dofutils.exe
internal name: Dofutils
file version.: 0.09.0001
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD  : -
RDS   : NSRL Reference Data Set


Maintenant le lance l'analyse complète avec Malwarebytes... et je vais bosser ;) j'espère que l'ordi tiendra le choc!
Merci encore!!!

aqua · Answer

Finalement, j'ai attendu la fin de l'examen de Malwarebytes, il n'a rien détecté (rapport ci-dessous). Par contre, mon antivirus Avast a donné des alertes, mais je pense qu'il a détecté les éléments mis en quarantaine, c'était sur H:\systeme volume information\restore....
Par contre, quand Malwarebytes était sur ces mêmes fichiers "restore", il n'a rien trouvé...

Rapport Malwarebytes:

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 222463
Temps écoulé: 40 minute(s), 33 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

MERCI MERCI MERCI

aqua · Answer

Voici ce qu'Avast a trouvé ce matin (alertes)


15/06/2010 10:13:24	SYSTEM	1724	Sign of "Win32:Malware-gen" has been found in "H:\System Volume Information\_restore{BA724AC0-E602-4ED1-A9AF-7F73BF4322D6}\RP179\A0079529.sys" file.  
15/06/2010 10:13:44	SYSTEM	1724	Sign of "Win32:Malware-gen" has been found in "H:\System Volume Information\_restore{BA724AC0-E602-4ED1-A9AF-7F73BF4322D6}\RP179\A0073508.sys" file.  
15/06/2010 10:13:55	SYSTEM	1724	Sign of "Win32:Malware-gen" has been found in "H:\System Volume Information\_restore{BA724AC0-E602-4ED1-A9AF-7F73BF4322D6}\RP179\A0079532.sys" file.  
15/06/2010 10:14:00	SYSTEM	1724	Sign of "Win32:Malware-gen" has been found in "H:\System Volume Information\_restore{BA724AC0-E602-4ED1-A9AF-7F73BF4322D6}\RP179\A0079533.sys" file.  
15/06/2010 10:14:04	SYSTEM	1724	Sign of "Win32:Malware-gen" has been found in "H:\System Volume Information\_restore{BA724AC0-E602-4ED1-A9AF-7F73BF4322D6}\RP179\A0079534.sys" file.  
15/06/2010 10:14:18	SYSTEM	1724	Sign of "Win32:Trojan-gen" has been found in "H:\System Volume Information\_restore{BA724AC0-E602-4ED1-A9AF-7F73BF4322D6}\RP179\A0080591.exe" file.  
15/06/2010 10:14:35	SYSTEM	1724	Sign of "Win32:MalOb-BH [Cryp]" has been found in "H:\System Volume Information\_restore{BA724AC0-E602-4ED1-A9AF-7F73BF4322D6}\RP179\A0087855.exe" file.

moment de grace · Answer

H:\systeme volume information\restore.... 


pas grave on s'en occupera...surtout ne restaure pas ton pc

pour MBAM, j'ai besoin de l'entête du rapport

en pour lui H:\c5f22up6.exe

Télécharge SEAF ( de C__XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe 


* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil. 

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci : 

c5f22up6.exe


* Au niveau des " options des fichiers ", fait les réglages suivant : 
> A "Calculer le checksum" , choisis : MD5 
> Coche la case devant " Info. supplémentaire ". 
> Coche la case devant " Afficher les ADS " 

* Au niveau des " options du registre " : 
> coche " chercher également dans le registre " 

( ne touche à aucun autre réglage ) 

* Clique sur " Lancer la recherche " et laisse travailler l'outil ... 
( cela peut-être plus ou moins long suivant les cas ). 

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

aqua · Answer

voilà le rapport MBAM avec l'entête:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4199

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15/06/2010 10:28:09
mbam-log-2010-06-15 (10-28-09).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 222463
Temps écoulé: 40 minute(s), 33 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

aqua · Answer

Et le rapport SEAF....

1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 11:00:24 le 15/06/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. c5f22up6.exe
8. 
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Affichage des ADS
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
15. 
16. "h:\c5f22up6.exe" [ ----A---- | 43051760 ]
17. TC: 05/06/2010,20:04:34 | TM: 05/06/2010,20:09:58 | DA: 15/06/2010,09:37:40
18. MD5: 6615a5f96556485255a0db2e6a498edf
19. 
20. 
21. /!\ ADS: Zone.Identifier , 26 Byte(s)
22. 
23. =========================
24. 
25. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
26. 
27. Aucun dossier trouvé
28. 
29. 
30. ====== Entrée(s) du registre ======
31. 
32. 
33. 
34. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
35. "g"="H:\c5f22up6.exe"
36. 
37. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
38. "c"="H:\c5f22up6.exe"
39. 
40. [HKEY_USERS\S-1-5-21-1343024091-527237240-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
41. "g"="H:\c5f22up6.exe"
42. 
43. [HKEY_USERS\S-1-5-21-1343024091-527237240-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
44. "c"="H:\c5f22up6.exe"
45. 
46. =========================
47. 
48. Fin à: 11:02:21 le 15/06/2010 ( E.O.F )


MERCI A TOI (ET A C_XX!!) POUR CETTE ENTRAIDE!

aqua · Answer

Maintenant je vais bosser ;)

mais j'ai posté sur ci-joint.fr un rapport de MBAM que j'avais déjà fait le 4 juin, à toutes fins utiles (il avait repéré pas mal de fichiers infectés...)

http://www.cijoint.fr/cjlink.php?file=cj201006/cij1JkYQeq.txt

A+

moment de grace · Answer

celui ci c5f22up6.exe m'embête, je le crois mauvais mais je n'arrive pas à me le faire confirmer


Télécharge List_Kill'em et enregistre le sur ton bureau 

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe


double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation 

Laisse coché : 

Executer Shortcut 
Executer List_Kill'em 

une fois terminée , clic sur "terminer" et le programme se lancera seul 

choisis l'option Search 

laisse travailler l'outil 

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué. 

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

aqua · Answer

Voici le rapport List'em.txt (chomage tehcnique ce matin;), je l'ai mis sur ci-joint.fr, je crois qu'il est trop long pour le poster direct:

http://www.cijoint.fr/cjlink.php?file=cj201006/cijtJgm43V.txt

moment de grace · Answer

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

.........................

de plus

ce fichier H:\c5f22up6.exe  peux tu le zipper avec winrar par exemple et me l'envoyer
moments.de.grace@free.fr

aqua · Answer

Bonjour
Je vais relancer kill'em
Avant j'essaye depuis un moment de t'envoyer le fichier, mais même compressé il reste très lourd (32Mo), la messagerie n'aime pas.
L'icône de ce fichier est une araignée...

aqua · Answer

je t'ai envoyé la capture d'écran sur free

moment de grace · Answer

H:\c5f22up6.exe  tu peux le supprimer

en attente du rapport killem

aqua · Answer

j'ai supprimé H:\c5f22up6.exe et sa compression et la corbeille.

et voici le rapport kill'em:
l'ordi continue de bloquer au démarrage (la barre des tâche en bas, l'heure, etc sont bloquées), il faut attendre 1/2h environ puis il fonctionne normalement.

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.0.9 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Propriétaire (Administrateurs) 
Update on 13/06/2010 by g3n-h@ckm@n ::::: 01.25
Start at: 00:13:48 | 17/06/2010

AMD Athlon(tm) 64 X2 Dual Core Processor 4800+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1356 [VPS 100616-1] 4.8.1356 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque amovible
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local | 229,49 Go (176,59 Go free) [Programmes] | NTFS
I:\ -> Disque fixe local | 236,26 Go (232,47 Go free) [Données] | NTFS
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\cmd.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Alwil Software\Avast4\setup\avast.setup
H:\Program Files\Google\Update\GoogleUpdate.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\WINDOWS\ATKKBService.exe
H:\Program Files\Bonjour\mDNSResponder.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\Program Files\Google\Update\GoogleUpdate.exe
H:\Program Files\Google\Update\GoogleUpdate.exe
H:\Program Files\LogMeIn Hamachi\hamachi-2.exe
H:\Program Files\Java\jre6\bin\jqs.exe
H:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
H:\WINDOWS\system32
vsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\WINDOWS\System32\alg.exe
H:\Program Files\List_Kill'em\ERUNT.EXE
H:\Program Files\List_Kill'em\pv.exe
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
Quarantined & Deleted !! : H:\Documents and Settings\Propri'taire\Local Settings\Temporary Internet Files\SuggestedSites.dat 
 
=======
Hosts :
=======

127.0.0.1       localhost   

========
Registry
========

=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.com/?gws_rd=ssl
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Search Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	REG_DWORD      	1 (0x1) 
AntiVirusDisableNotify	REG_DWORD      	0 (0x0) 
FirewallDisableNotify	REG_DWORD      	0 (0x0) 
UpdatesDisableNotify	REG_DWORD      	0 (0x0) 
AntiVirusOverride	REG_DWORD      	1 (0x1) 
FirewallOverride	REG_DWORD      	1 (0x1) 
 
========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
================ 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvata.sys 
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

moment de grace · Answer

Lances à nouveau killem 

choisis l'option MANUEL DELETE

un bloc note va s'ouvrir, copies colles ce texte

H:\WINDOWS\drivers.exe 

fermes le bloc note en acceptant l'enregistrement

un rapport devrait s'ouvrir

copies son contenu ici

aqua · Answer

Ok, voici le rapport du Manual delete:

¤¤¤¤¤¤¤¤¤¤ File | Folder 

Je pense que H:\WINDOWS\drivers.exe  a déjà été supprimé par combofix que j'ai lancé ce matin.

Tu penses que la partie est gagnée?

Et lui? H:\WINDOWS\System32\fjhdyfhsn.bat

moment de grace · Answer

ne lances pas des outils sans concertation, on ne sais plus où on en ai ensuite
surtout combofix

postes le rapport combo stp

aqua · Answer

C'est vrai...
Plates Excuses... Voilà le rapport combofix (il passe pas en post)

http://www.cijoint.fr/cjlink.php?file=cj201006/cijqb2ilFR.txt

moment de grace · Answer

quelques trucs à vérifier

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

h:\windows\system32\dllcache\iedvtool.dll h:\windows\system32\config\systemprofile\Application Data\qcopjv.dat 
h:\windows\system32\Macromed\Shockwave 10
ssstub.exe 

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

aqua · Answer

pour les trois fichiers, virustotal a dit "le fichier a déjà été analysé" 
(j'ai pris la date et le permalink pour le dernier:19.01.2010... analisis/b2da43f0d37eaa91980286ed9eb00ab8b3176eb7b488b1e8188239de126b370e-1268518906)
c'est pas moi juré ;)

rapport iedvtool.dll:

 Fichier iedvtool.dll reçu le 2010.06.17 22:04:48 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 60 et 85 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	5.0.0.26	2010.06.17	-
AhnLab-V3	2010.06.17.02	2010.06.17	-
AntiVir	8.2.2.6	2010.06.17	-
Antiy-AVL	2.0.3.7	2010.06.17	-
Authentium	5.2.0.5	2010.06.17	-
Avast	4.8.1351.0	2010.06.17	-
Avast5	5.0.332.0	2010.06.17	-
AVG	9.0.0.787	2010.06.17	-
BitDefender	7.2	2010.06.17	-
CAT-QuickHeal	10.00	2010.06.17	-
ClamAV	0.96.0.3-git	2010.06.17	-
Comodo	5136	2010.06.17	-
DrWeb	5.0.2.03300	2010.06.17	-
eSafe	7.0.17.0	2010.06.17	-
eTrust-Vet	36.1.7642	2010.06.17	-
F-Prot	4.6.1.107	2010.06.17	-
F-Secure	9.0.15370.0	2010.06.17	-
Fortinet	4.1.133.0	2010.06.17	-
GData	21	2010.06.17	-
Ikarus	T3.1.1.84.0	2010.06.17	-
Jiangmin	13.0.900	2010.06.15	-
Kaspersky	7.0.0.125	2010.06.17	-
McAfee	5.400.0.1158	2010.06.17	-
McAfee-GW-Edition	2010.1	2010.06.16	-
Microsoft	1.5902	2010.06.17	-
NOD32	5205	2010.06.17	-
Norman	6.05.06	2010.06.17	-
nProtect	2010-06-17.01	2010.06.17	-
Panda	10.0.2.7	2010.06.17	-
PCTools	7.0.3.5	2010.06.17	-
Prevx	3.0	2010.06.18	-
Rising	22.52.03.04	2010.06.17	-
Sophos	4.54.0	2010.06.17	-
Sunbelt	6463	2010.06.17	-
Symantec	20101.1.0.89	2010.06.17	-
TheHacker	6.5.2.0.299	2010.06.17	-
TrendMicro	9.120.0.1004	2010.06.17	-
TrendMicro-HouseCall	9.120.0.1004	2010.06.17	-
VBA32	3.12.12.5	2010.06.17	-
ViRobot	2010.6.14.3884	2010.06.17	-
VirusBuster	5.0.27.0	2010.06.17	-
Information additionnelle
File size: 743424 bytes
MD5...: 573bce2232c52e6d08f5b4c816121b6f
SHA1..: d60fa15f51586ba9f3218cce977bfb9f5a8cef04
SHA256: f5d5fd2265dedbb435b4d6cee88bb6c7b69d0ac28b725ab91c8d6a4ccdcdd498
ssdeep: 12288:pNpTuI6vOaIB2zgOhvkoGtxJVOMHmL1BnjuPx985Ht9oMyqniakmQ:qzIA
zguvkoGtZOrnj2i8Myqnie
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x181e
timedatestamp.....: 0x4be29afc (Thu May 06 10:33:32 2010)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x80cf1 0x80e00 6.43 ccbf47f5ff8081d5a335098d68fc60c1
.data 0x82000 0xed8 0xe00 2.52 6a7119da8e01619539b630bcf277feca
.rsrc 0x83000 0x2d2f8 0x2d400 5.42 610a70c8bab8a192baf8cca812943213
.reloc 0xb1000 0x63a0 0x6400 6.63 467d6723b0f8e548697a5b5378d4b1a6

( 16 imports )
> msvcrt.dll: __1type_info@@UAE@XZ, realloc, _terminate@@YAXXZ, _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, _unlock, _wcslwr, _errno, __CxxFrameHandler, _mbsstr, floor, _CIcos, _CIsin, _CIsqrt, _CIatan2, memcpy, towlower, _wcsnicmp, iswdigit, iswalpha, towupper, iswalnum, wcsstr, iswxdigit, wcsrchr, iswspace, strtoul, wcschr, calloc, strchr, toupper, _vsnwprintf, _CxxThrowException, memset, _vscwprintf, _wcsicmp, _purecall, malloc, __dllonexit, _lock, _onexit, memmove, mbtowc, __mb_cur_max, isleadbyte, _iob, _snprintf, _itoa, ferror, __badioinfo, __pioinfo, _fileno, _lseeki64, _write, _isatty, free, bsearch, wcsncmp
> KERNEL32.dll: MapViewOfFile, CreateFileMappingW, UnmapViewOfFile, GetSystemDefaultUILanguage, GetUserDefaultUILanguage, SearchPathW, GetLocaleInfoW, GlobalFree, EnumUILanguagesW, InterlockedIncrement, InterlockedDecrement, lstrcmpW, SizeofResource, LockResource, LoadResource, FindResourceW, FindResourceExW, MultiByteToWideChar, GetLastError, WideCharToMultiByte, lstrcmpiA, lstrlenW, Sleep, GetTickCount, lstrlenA, HeapFree, HeapAlloc, GetProcessHeap, GetTimeFormatA, GetDateFormatA, FileTimeToSystemTime, FileTimeToLocalFileTime, GlobalUnlock, GlobalLock, GlobalAlloc, TlsGetValue, RaiseException, EnterCriticalSection, LeaveCriticalSection, FlushInstructionCache, GetCurrentProcess, GetCurrentThreadId, SetLastError, MulDiv, HeapCreate, HeapDestroy, HeapReAlloc, HeapSize, LocalFree, FreeLibrary, GetModuleHandleW, LoadLibraryW, TlsSetValue, GlobalAddAtomW, GetProcAddress, CloseHandle, IsDebuggerPresent, SetEvent, WaitForSingleObject, ResetEvent, CreateThread, CreateEventW, InterlockedExchange, GetModuleFileNameW, GetVersionExW, TlsFree, TlsAlloc, lstrcmpA, GetCurrentProcessId, CreateFileW, WriteFile, GetTempFileNameW, ReadFile, GetFileSize, InitializeCriticalSection, DeleteCriticalSection, lstrcmpiW, LoadLibraryExW, OpenEventW, GetVersionExA, GetVersion, LoadLibraryA, VirtualFree, VirtualAlloc, InterlockedCompareExchange, OutputDebugStringA, RtlUnwind, QueryPerformanceCounter, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, DeactivateActCtx, ActivateActCtx, ReleaseActCtx, CreateActCtxW
> USER32.dll: GetDlgItemInt, GetActiveWindow, GetWindowInfo, GetWindow, GetClassLongW, SetLayeredWindowAttributes, ReleaseCapture, DrawEdge, UpdateWindow, GetCapture, SetCapture, IsIconic, GetClassInfoExW, TrackPopupMenu, RegisterClassExW, CheckMenuItem, GetMenuState, PostThreadMessageW, SystemParametersInfoA, AllowSetForegroundWindow, BringWindowToTop, CharNextW, NotifyWinEvent, UnregisterClassA, TrackPopupMenuEx, CreatePopupMenu, AppendMenuW, SetMenuItemInfoW, DestroyMenu, MessageBoxW, CloseWindow, LoadImageW, SendDlgItemMessageW, LoadIconW, MsgWaitForMultipleObjects, DestroyIcon, GetWindowThreadProcessId, AttachThreadInput, BeginPaint, FindWindowExW, EndPaint, GetUpdateRect, ValidateRect, DrawFocusRect, InSendMessageEx, ReplyMessage, IsWindowEnabled, GetComboBoxInfo, GetDesktopWindow, SetPropW, GetPropW, RemovePropW, EndDialog, CallWindowProcW, ClientToScreen, GetClassNameW, SetForegroundWindow, LoadAcceleratorsW, DestroyAcceleratorTable, GetMessagePos, CallNextHookEx, PostMessageW, EnableMenuItem, UnhookWindowsHookEx, SetWindowsHookExW, KillTimer, SetTimer, LoadMenuW, GetSubMenu, TranslateAcceleratorW, GetKeyState, MapWindowPoints, GetParent, EnableWindow, SetDlgItemTextW, IsDlgButtonChecked, CheckDlgButton, DialogBoxParamW, SetParent, ShowCaret, GetWindowTextW, DrawTextW, IsRectEmpty, UnionRect, InflateRect, EqualRect, CopyRect, SetRect, GetSystemMetrics, IntersectRect, GetFocus, SystemParametersInfoW, RedrawWindow, GetSysColorBrush, GetSysColor, IsWindowVisible, SetFocus, GetClientRect, CreateWindowExW, DefWindowProcW, MoveWindow, SetWindowLongW, OpenClipboard, EmptyClipboard, SetClipboardData, CloseClipboard, WindowFromPoint, GetWindowLongW, IsChild, ScreenToClient, ChildWindowFromPoint, GetDC, ReleaseDC, IsWindow, SendMessageW, LoadStringW, GetDlgItem, SetWindowTextW, InvalidateRect, SetClassLongW, FillRect, FrameRect, DestroyCursor, CreateDialogParamW, ShowWindow, LoadCursorW, SetCursor, DestroyWindow, PeekMessageW, TranslateMessage, DispatchMessageW, SetWindowPos, OffsetRect, PtInRect, SetRectEmpty, GetWindowRect
> ole32.dll: CreateStreamOnHGlobal, CoMarshalInterThreadInterfaceInStream, CoGetInterfaceAndReleaseStream, CoUninitialize, CoInitializeEx, StringFromGUID2, CoTaskMemFree, CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc, OleInitialize, OleUninitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -
> OLEACC.dll: CreateStdAccessibleObject, LresultFromObject
> ADVAPI32.dll: RegCloseKey, RegSetValueExW, RegCreateKeyExW, RegDeleteKeyW, RegDeleteValueW, RegOpenKeyExW, RegQueryInfoKeyW, RegEnumKeyExW, RegQueryValueExA, RegOpenKeyExA, RegQueryValueExW
> SHELL32.dll: SHGetFolderPathW, -, SHGetInstanceExplorer
> GDI32.dll: IntersectClipRect, SelectClipRgn, GetClipRgn, CreateRectRgn, GetObjectW, SetBkColor, GetBkColor, SetTextColor, SelectObject, CreateFontIndirectW, GetCurrentObject, GetTextColor, SetLayout, GetDeviceCaps, SetBkMode, DeleteDC, CreateCompatibleBitmap, CreateCompatibleDC, BitBlt, Rectangle, GetStockObject, CreatePen, LineTo, MoveToEx, CreateFontW, GetTextExtentPointW, CreatePatternBrush, CreateBitmap, PatBlt, CombineRgn, GetTextExtentPoint32W, GetPixel, CreateSolidBrush, DeleteObject, StretchBlt, SetTextAlign, TextOutW
> urlmon.dll: CoInternetCreateZoneManager, CoInternetIsFeatureEnabled, CoInternetCombineIUri, GetMarkOfTheWeb, -, CreateUri
> WININET.dll: InternetSetOptionW, FindNextUrlCacheEntryW, DeleteUrlCacheEntryW, FindFirstUrlCacheEntryW, PrivacyGetZonePreferenceW, PrivacySetZonePreferenceW, HttpOpenRequestW, GetUrlCacheEntryInfoW, InternetCanonicalizeUrlW, RetrieveUrlCacheEntryStreamW, ReadUrlCacheEntryStream, UnlockUrlCacheEntryStream, InternetGetCookieW
> MSIMG32.dll: TransparentBlt, GradientFill
> SHLWAPI.dll: PathRemoveExtensionW, PathAddExtensionW, UrlCanonicalizeW, StrStrW, -, SHStrDupW, SHDeleteKeyW, StrChrW, StrToIntW, PathAppendW, PathFindExtensionW, -, StrRChrW, PathFindFileNameW, PathUndecorateW, SHCreateStreamOnFileW, StrCmpW, StrCmpIW, -, StrChrA
> iertutil.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> IEFRAME.dll: -, -, -, IEIsProtectedModeProcess
> UxTheme.dll: IsThemeActive

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
RDS...: NSRL Reference Data Set
-
trid..: DirectShow filter (43.0%)
Windows OCX File (26.3%)
Win64 Executable Generic (18.2%)
Win32 Executable MS Visual C++ (generic) (8.0%)
Win32 Executable Generic (1.8%)
pdfid.: -
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Windows_ Internet Explorer
description..: Internet Explorer Developer Tools
original name: iedvtool.dll
internal name: iedvtool.dll
file version.: 8.00.6001.18923 (longhorn_ie8_gdr.100419-1241)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

aqua · Answer

rapport qcopjv.dat:

 Fichier qcopjv.dat reçu le 2010.06.17 22:08:36 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	5.0.0.26	2010.06.17	-
AhnLab-V3	2010.06.17.02	2010.06.17	-
AntiVir	8.2.2.6	2010.06.17	-
Antiy-AVL	2.0.3.7	2010.06.17	-
Authentium	5.2.0.5	2010.06.17	-
Avast	4.8.1351.0	2010.06.17	-
Avast5	5.0.332.0	2010.06.17	-
AVG	9.0.0.787	2010.06.17	-
BitDefender	7.2	2010.06.17	-
CAT-QuickHeal	10.00	2010.06.17	-
ClamAV	0.96.0.3-git	2010.06.17	-
Comodo	5136	2010.06.17	-
DrWeb	5.0.2.03300	2010.06.17	-
eSafe	7.0.17.0	2010.06.17	-
eTrust-Vet	None	2010.06.17	-
F-Prot	4.6.1.107	2010.06.17	-
F-Secure	9.0.15370.0	2010.06.17	-
Fortinet	4.1.133.0	2010.06.17	-
GData	21	2010.06.17	-
Ikarus	T3.1.1.84.0	2010.06.17	-
Jiangmin	13.0.900	2010.06.15	-
Kaspersky	7.0.0.125	2010.06.17	-
McAfee	5.400.0.1158	2010.06.17	-
McAfee-GW-Edition	2010.1	2010.06.16	-
Microsoft	1.5902	2010.06.17	-
NOD32	5205	2010.06.17	-
Norman	6.05.06	2010.06.17	-
nProtect	2010-06-17.01	2010.06.17	-
Panda	10.0.2.7	2010.06.17	-
PCTools	7.0.3.5	2010.06.17	-
Prevx	3.0	2010.06.18	-
Rising	22.52.03.04	2010.06.17	-
Sophos	4.54.0	2010.06.17	-
Sunbelt	6463	2010.06.17	-
Symantec	20101.1.0.89	2010.06.17	-
TheHacker	6.5.2.0.299	2010.06.17	-
TrendMicro	9.120.0.1004	2010.06.17	-
TrendMicro-HouseCall	9.120.0.1004	2010.06.17	-
VBA32	3.12.12.5	2010.06.17	-
ViRobot	2010.6.14.3884	2010.06.17	-
VirusBuster	5.0.27.0	2010.06.17	-
Information additionnelle
File size: 12 bytes
MD5...: 92e22c532df3567061dae395c33e9fc2
SHA1..: d327e6ec5859cd4099abf58393d3de44c530c287
SHA256: 64f7db9296f32ccb7d7b1b05b609364e4dd0d84c04e9e31b1ecaeb921f0d6721
ssdeep: 3:IuKy/Wn:IuKy/W
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

aqua · Answer

rapport  nssstub.exe:

Fichier nssstub.exe reçu le 2010.06.17 22:11:20 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	5.0.0.26	2010.06.17	-
AhnLab-V3	2010.06.17.02	2010.06.17	-
AntiVir	8.2.2.6	2010.06.17	-
Antiy-AVL	2.0.3.7	2010.06.17	-
Authentium	5.2.0.5	2010.06.17	-
Avast	4.8.1351.0	2010.06.17	-
Avast5	5.0.332.0	2010.06.17	-
AVG	9.0.0.787	2010.06.17	-
BitDefender	7.2	2010.06.17	-
CAT-QuickHeal	10.00	2010.06.17	-
ClamAV	0.96.0.3-git	2010.06.17	-
Comodo	5136	2010.06.17	-
DrWeb	5.0.2.03300	2010.06.17	-
eSafe	7.0.17.0	2010.06.17	-
eTrust-Vet	36.1.7642	2010.06.17	-
F-Prot	4.6.1.107	2010.06.17	-
F-Secure	9.0.15370.0	2010.06.17	-
Fortinet	4.1.133.0	2010.06.17	-
GData	21	2010.06.17	-
Ikarus	T3.1.1.84.0	2010.06.17	-
Jiangmin	13.0.900	2010.06.15	-
Kaspersky	7.0.0.125	2010.06.17	-
McAfee	5.400.0.1158	2010.06.17	-
McAfee-GW-Edition	2010.1	2010.06.16	-
Microsoft	1.5902	2010.06.17	-
NOD32	5205	2010.06.17	-
Norman	6.05.06	2010.06.17	-
nProtect	2010-06-17.01	2010.06.17	-
Panda	10.0.2.7	2010.06.17	-
PCTools	7.0.3.5	2010.06.17	-
Prevx	3.0	2010.06.18	-
Rising	22.52.03.04	2010.06.17	-
Sophos	4.54.0	2010.06.17	-
Sunbelt	6463	2010.06.17	-
Symantec	20101.1.0.89	2010.06.17	-
TheHacker	6.5.2.0.299	2010.06.17	-
TrendMicro	9.120.0.1004	2010.06.17	-
TrendMicro-HouseCall	9.120.0.1004	2010.06.17	-
VBA32	3.12.12.5	2010.06.17	-
ViRobot	2010.6.14.3884	2010.06.17	-
VirusBuster	5.0.27.0	2010.06.17	-
Information additionnelle
File size: 497016 bytes
MD5...: 4b4374c08ed9d744eb875d1d6720fab6
SHA1..: d4a624cbc32f1d5c6c63b55fcffd1c0b3241a70c
SHA256: b2da43f0d37eaa91980286ed9eb00ab8b3176eb7b488b1e8188239de126b370e
ssdeep: 6144:jhsDAHQHq8it0CkzC1PAqxrFGB14WMb7lsk5xv/sboXh:jhiAHQHq8iNUC1
YEYEWMHPwo
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x30a46
timedatestamp.....: 0x4b439ec5 (Tue Jan 05 20:19:17 2010)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x582d1 0x59000 6.60 3959c3965fffbe25b9548c2b750e0ecf
.rdata 0x5a000 0x14954 0x15000 5.14 b25bdc50d5d6c1f07d3bb5d06c652bbd
.data 0x6f000 0x49b4 0x3000 3.93 398f0c0881a12a71d1005d17b267d19f
.rsrc 0x74000 0x5afc 0x6000 5.27 9c701bf7587750731181f6e88bc4e310

( 15 imports )
> COMCTL32.dll: InitCommonControlsEx
> WININET.dll: HttpSendRequestW, InternetReadFile, HttpAddRequestHeadersW, HttpOpenRequestW, InternetCloseHandle, InternetConnectW, InternetOpenW, DeleteUrlCacheEntryW, FindNextUrlCacheEntryW, FindFirstUrlCacheEntryW, DeleteUrlCacheGroup, FindNextUrlCacheGroup, FindFirstUrlCacheGroup, InternetGetConnectedState, HttpQueryInfoW, InternetOpenUrlW, InternetCanonicalizeUrlW
> IPHLPAPI.DLL: GetAdaptersInfo
> WS2_32.dll: -, -, -, -
> urlmon.dll: URLOpenStreamW
> Secur32.dll: GetUserNameExW
> PSAPI.DLL: GetModuleFileNameExW
> KERNEL32.dll: GetSystemTimeAsFileTime, GetModuleHandleA, RaiseException, WriteFile, SizeofResource, LockResource, LoadResource, FindResourceW, FindResourceExW, GetLastError, MultiByteToWideChar, lstrlenA, EnterCriticalSection, LeaveCriticalSection, SetLastError, GlobalUnlock, GlobalLock, GlobalAlloc, lstrlenW, InitializeCriticalSection, DeleteCriticalSection, FlushInstructionCache, GetCurrentProcess, lstrcmpW, MulDiv, GetModuleFileNameW, InterlockedIncrement, InterlockedDecrement, GetCurrentThreadId, GetExitCodeThread, CloseHandle, WaitForSingleObject, lstrcmpiW, FreeLibrary, LoadLibraryExW, GetModuleHandleW, ExitProcess, GetDiskFreeSpaceExW, InterlockedExchange, FreeResource, GetTempPathW, CreateFileW, DeleteFileW, MoveFileExW, GetVersionExW, GetSystemDefaultLangID, OpenProcess, Process32NextW, Process32FirstW, CreateToolhelp32Snapshot, GetCurrentProcessId, GetCommandLineW, GlobalFree, GlobalHandle, GetExitCodeProcess, ExitThread, Sleep, SetEvent, WaitForMultipleObjects, CreateEventW, GetTimeZoneInformation, LoadLibraryW, CreateProcessW, CopyFileW, GetSystemDirectoryW, GetStartupInfoW, WideCharToMultiByte, GetFileAttributesW, lstrcpyW, GetTickCount, SetProcessAffinityMask, GetProcessAffinityMask, RemoveDirectoryW, FindClose, FindNextFileW, FindFirstFileW, CreateDirectoryW, GetLocalTime, ReadFile, GetFileSize, GlobalSize, LocalFree, SetEndOfFile, CreateFileA, GetFileAttributesA, SetFilePointer, RtlUnwind, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, CreateThread, VirtualAlloc, VirtualFree, IsProcessorFeaturePresent, LoadLibraryA, InterlockedCompareExchange, GetThreadLocale, GetLocaleInfoA, GetACP, GetProcessHeap, HeapSize, HeapReAlloc, HeapFree, HeapAlloc, HeapDestroy, GetVersionExA, GetModuleFileNameA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCurrentThread, HeapCreate, FatalAppExitA, GetCPInfo, GetOEMCP, IsValidCodePage, LCMapStringA, LCMapStringW, SetConsoleCtrlHandler, GetConsoleCP, GetConsoleMode, FlushFileBuffers, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, SetHandleCount, GetShortPathNameW, GetStdHandle, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetLocaleInfoW, GetStringTypeA, GetStringTypeW, GetTimeFormatA, GetDateFormatA, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetProcAddress
> USER32.dll: ReleaseCapture, FillRect, CallWindowProcW, GetClassNameW, IsChild, SetCapture, RedrawWindow, InvalidateRgn, InvalidateRect, ReleaseDC, GetDC, ScreenToClient, ClientToScreen, MoveWindow, CharNextW, EndPaint, RegisterWindowMessageW, GetClassInfoExW, LoadCursorW, BeginPaint, GetDesktopWindow, DestroyAcceleratorTable, GetFocus, SetFocus, IsWindow, CreateAcceleratorTableW, DialogBoxParamW, GetActiveWindow, PostMessageW, SetTimer, KillTimer, MessageBoxW, PostQuitMessage, DialogBoxIndirectParamW, LoadImageW, GetSystemMetrics, ExitWindowsEx, CopyRect, GetWindowTextLengthW, GetWindowTextW, DefWindowProcW, SendMessageW, SetWindowContextHelpId, CreateWindowExW, SetWindowLongW, DestroyWindow, MapDialogRect, GetParent, GetWindow, GetWindowRect, SystemParametersInfoW, GetClientRect, MapWindowPoints, SetWindowPos, SendDlgItemMessageW, GetWindowLongW, EndDialog, GetDlgItem, SetWindowTextW, GetDlgCtrlID, SetCursor, GetSysColor, RegisterClassExW, UnregisterClassA
> GDI32.dll: GetObjectW, CreateSolidBrush, GetDeviceCaps, GetStockObject, CreateCompatibleDC, CreateCompatibleBitmap, DeleteDC, SelectObject, BitBlt, DeleteObject
> ADVAPI32.dll: RegCloseKey, LookupAccountNameW, SetEntriesInAclW, SetNamedSecurityInfoW, OpenProcessToken, LookupPrivilegeValueW, AdjustTokenPrivileges, RegQueryValueExW, RegEnumKeyExW, RegQueryInfoKeyW, RegSetValueExW, RegOpenKeyExW, RegDeleteKeyW, RegDeleteValueW, RegCreateKeyExW
> SHELL32.dll: SHCreateDirectoryExW, ShellExecuteW, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExW, SHGetPathFromIDListW, SHFileOperationW
> ole32.dll: CLSIDFromString, CoInitializeEx, CreateStreamOnHGlobal, OleInitialize, OleUninitialize, StringFromGUID2, OleLockRunning, CoGetClassObject, CLSIDFromProgID, CoCreateInstance, CoTaskMemAlloc, CoTaskMemRealloc, CoTaskMemFree, CoUninitialize, CoInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: PathFileExistsW, PathRemoveFileSpecW, PathStripPathW, PathAppendW, PathCanonicalizeW

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: InstallShield setup (42.6%)
Win32 Executable MS Visual C++ (generic) (37.3%)
Win32 Executable Generic (8.4%)
Win32 Dynamic Link Library (generic) (7.5%)
Generic Win/DOS Executable (1.9%)
sigcheck:
publisher....: Symantec Corporation
copyright....: Copyright (c) 2010 Symantec Corporation
product......: nssstub Components
description..: nssstub
original name: nssstub
internal name: nssstub
file version.: 2.2.0.9
comments.....: n/a
signers......: Symantec Corporation
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 10:20 PM 1/5/2010
verified.....: -

aqua · Answer

pas de coup en douce ;)
http://www.infos-du-net.com/forum/293870-11-comment-reparer-win32-malware

moment de grace · Answer

bonjour

vu

ton honnêteté te grandit...

il faut terminer quelque part...ici ou là bas

à toi de voir

en passant comment va le pc ?

aqua · Answer

ICI!!
http://www.infos-du-net.com/forum/293870-11-comment-reparer-win32-malware
mes excuses et merci pour ton indulgence ;)

Le PC:
Il continue de bloquer un bon 1/4 d'heure au démarrage, lorsqu'on arrive sur le bureau. La barre inférieure est inaccessible (souris en sablier), je peux ouvrir un fichier du bureau, mais après ouverture, tout se bloque, je ne peux pas lancer de programme.
Ensuite ça se débloque et ça marche normalement (apparemment).
Mais:
Pas d'historique de navigation dans Firefox, alors que tout est correct dans Outils/options (dans Explorer ce n'est pas le cas, il y a l'historique).
J'ai fait un Ctrl+Alt + del, je n'ai que la fenêtre des tâches, pas d'onglet et cette fenêtre reste là, je ne peux plus l'enlever. 
Les périphériques:
depuis le début (1er post) les fichiers son ne fonctionnent plus.
A un moment le "contrôleur bus USB" et la  carte asynchrone RAS étaient dans le même cas mais c'est rentré dans l'ordre pour les deux.
Mon imprimante n'est plus reconnue.
Je n'ai pas essayé de réinstaller quoi que ce soit pour le moment.

aqua · Answer

bah non... je voulais dire ici ici ^.^
j'ai mis le lien pour que tu voies les adieux à Sham_Rock ;)

moment de grace · Answer

ah mince tu restes...
(sourire)

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau. 
* Merci à Malekal pour le tutoriel 
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
* Double clique sur mbr.exe 
* Un rapport sera généré : mbr.log 
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: 

=>  Sous XP : "%userprofile%\Bureau\mbr" -f 

=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f


* (veuillez à bien respecter les guillemets) 
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !" 
* Réactive tes protections .Poste ce rapport et supprime le ensuite. 

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
o Relance mbr.exe 
o Réactive tes protections. 
o Le nouveau mbr.log devrait être celui-ci : 
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net 
o device: opened successfully 
user: MBR read successfully 
kernel: MBR read successfully 
user & kernel MBR OK

aqua · Answer

J'ai désactivé avast (j'ai rien d'autre) et la connection. Le rapport mbf.log a été tout de suite ce que tu annonces à la fin de ton message:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

J'ai l'impression que le problème avec la barre inférieure au démarrage est lié à une fonction désactivée ou désinstallée...

moment de grace · Answer

effectivement, il semble qu'au point de vue infection on soit pas mal...

réinstalles ce qui doit l'etre (imprimante) ou qui peut l'être (firefox)

de plus

Télécharge Zeb Restore 
http://telechargement.zebulon.fr/zeb-restore.html 
Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente. 

Voici les éléments qui peuvent être restaurés : coche les lignes en gras 
- RegEdit : réactive l'accès à RegEdit 
- Clés RUN : réactive le lancement de programmes par clés RunXXX 
- Bouton Arrêter : rétablit le bouton Arrêter 
- Windows Update : rétablit la fonction Windows Update 
- Gestionnaire des tâches : réactive le gestionnaire des tâches 
- Panneau de configuration : réactive le Panneau de configuration 
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes 
- Policies : remet en place des éléments désactivés par "Policies" 
- Bureau : réactive le Bureau 
- Réparation IE : répare Internet Exploreur (pages de recherche) 
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com 
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares) 
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.) 
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts

aqua · Answer

Bon.
En fait dans gestionnaire de périphériques j'ai le fameux point d'exclamation sur:

les matériels de son cités dans mon tout premier post 
+
périphérique usb composite

donc l'imprimante, même réinstallée, n'est pas reconnue, les entrées physiques usb ne fonctionnent plus.

J'ai exécuté en cochant gestionnaire des tâches, rien n'a changé. mais je n'ai pas redémarré l'ordi.
Je vais essayer.

moment de grace · Answer

as tu essayé d'aller sur https://www.touslesdrivers.com/ e d'installer ce qu'il te propose

aqua · Answer

J'ai vu que je peux lire une clé usb, j'ai donc essayé de re-réinstaller l'imprimante, elle n'est toujours pas détectée.

Dans "gestionnaire de périphériques", le périphérique usb composite a le message "Windows ne peut pas démarrer ce périphérique matériel car ses informations de configuration (dans le Registre) sont incomplètes ou endommagées. (Code 19)" . Dans "emplacement", il y a: Emplacement 0 (MP210 series)
MP210 c'est l'imprimante.
J'ai essayé aussi de l'installer en la branchant sur une autre entrée usb, celle qui lit la clé...
Rien.

Sur touslesdrivers.com, je ne trouve rien qui me parle par rapport aux versions et fournisseurs de pilote que je vois dans "gestionnaire de périphérique", il n'y a pas de "carte contrôleur" dans la catégorie constructeur "microsoft" sur le site.

Pour le son, le point commun de tous les périphériques son qui ne fonctionnent pas, c'est "Noyau microsoft", avec toujours le message "Windows ne peut pas démarrer ce périphérique matériel car ses informations de configuration (dans le Registre) sont incomplètes ou endommagées. (Code 19)"
et ils ont la même "version du pilote": 5.1.2535.0
J'ai googlé et trouvé Microsoft Kernel System Audio Device 5.1.2535.0 sur soft32.com mais je n'arrive pas à le télécharger (j'ai vu kernel qqpart dans les scans des derniers jours...).

Je ne peux plus faire d'impression écran!!!

Je dois aller chercher directement chez Microsoft? C'est une histoire de clé de registre, n'est-ce pas?

moment de grace · Answer

oui une réparation semble inevitable

as tu le cd de xp ?

aqua · Answer

J'ai un ancien CD version 2002, avec la clé d'enregistrement.
La version installée est plus récente, c'est un installation "one shot" en ligne  faite lorsque la carte mère a grillé il y a quelques mois.
Je ne sais pas si je peux réparer avec ce système, il faut que je retourne chez le "réparateur" qui m'a installé cette version.
Je peux y aller ce soir.

aqua · Answer

OK, je vais faire ça et si je dois réparer, je vais sur "mes_drivers" dans touslesdrivers.com (dixit le réparateur que j'ai appelé ce matin concernant la version de Windows one shot.

Je te tiens au courant ce soir!

Merci de tant d'endurance ;)

aqua · Answer

lorsque j'ai lancé sfc /scannow , j'ai eu le message suivant: "les fichiers nécessaires au fonctionnement de windows doivent être copiés dans le dossier DLL cache". Et "insérez votre CD windows XP professionnel maintenant".

Le CD que j'ai n'est pas le bon.

J'essaie avec toutsesdrivers.com/mes_drivers

Il n'y a rien à faire avec la commande Regedit?

aqua · Answer

le repérage de mes drivers donne ceci (est-ce que je dois désinstaller et réinstaller "nVidia Corporation MCP61 SATA Controller" et les diskdrive USB?):

Résumé de votre configuration

Système d'exploitation
Windows XP Edition familliale (build 2600) Service Pack 3

Processeur
AMD Athlon 64 X2 4800+ 2500 MHz (Brisbane)

Carte mère
ASUSTeK Computer INC. M2N-X Plus Rev x.xx

Options de recherche

Afficher uniquement les drivers plus récents que ceux installés

Afficher uniquement les drivers certifiés WHQL

Afficher aussi les drivers beta

Système d'exploitation




Liste de vos matériels et de leurs drivers

Advanced Micro Devices AMD Athlon(tm) 64 X2 Dual Core Processor 4800+
Drivers installés:
Constructeur: Advanced Micro Devices | Fichier INF: oem8.inf | Classe: processor | Version: 1.3.2.0 | Date: 27/05/2006

Advanced Micro Devices AMD Athlon(tm) 64 X2 Dual Core Processor 4800+
Drivers installés:
Constructeur: Advanced Micro Devices | Fichier INF: oem8.inf | Classe: processor | Version: 1.3.2.0 | Date: 27/05/2006

nVidia Corporation G84 [GeForce 8600 GT]
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: oem36.inf | Classe: display | Version: 6.14.12.5721 | Date: 07/06/2010

Realtek Semiconductor Corp. Realtek High Definition Audio
Drivers installés:
Constructeur: Realtek Semiconductor Corp. | Fichier INF: oem7.inf | Classe: media | Version: 5.10.0.5443 | Date: 10/07/2007

RaLink AirPlus G DWL-G510 Wireless Network Adapter (Rev.C)
Drivers installés:
Constructeur: RaLink | Fichier INF: oem15.inf | Classe: net | Version: 1.0.0.0 | Date: 04/06/2005

nVidia Corporation MCP61 IDE
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: mshdc.inf | Classe: hdc | Version: 5.1.2600.2180 | Date: 01/07/2001

nVidia Corporation MCP61 SATA Controller
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: oem6.inf | Classe: hdc | Version: 5.10.2600.692 | Date: 18/10/2006

Drivers disponibles:
Nvidia nForce 5 (drivers 15.46 WHQL)
Constructeur: NVIDIA Corporation | Fichier INF: nvgts.inf | Classe: hdc | Version: 11.1.0.30 | Date: 30/06/2009 | Date de publication: 02/10/2009

Nvidia nForce 4/6/7 (drivers 15.45 WHQL)
Constructeur: NVIDIA Corporation | Fichier INF: nvrd32.inf | Classe: scsiadapter | Version: 11.1.0.30 | Date: 30/06/2009 | Date de publication: 02/10/2009

Nvidia ION (drivers 20.14 WHQL)
Constructeur: NVIDIA Corporation | Fichier INF: nvgts.inf | Classe: hdc | Version: 10.3.0.46 | Date: 12/11/2008 | Date de publication: 12/07/2009

Nvidia nForce 6/7/9 IGP (drivers 15.26 WHQL)
Constructeur: NVIDIA Corporation | Fichier INF: nvrd32.inf | Classe: scsiadapter | Version: 10.3.0.46 | Date: 12/11/2008 | Date de publication: 19/03/2009

Nvidia nForce 7 IGP (drivers 20.09 WHQL)
Constructeur: NVIDIA Corporation | Fichier INF: nvrd32.inf | Classe: scsiadapter | Version: 10.3.0.42 | Date: 18/08/2008 | Date de publication: 18/01/2009

Nvidia nForce Professional 2000/3000 (drivers 15.16 WHQL)
Constructeur: NVIDIA Corporation | Fichier INF: nvgts.inf | Classe: hdc | Version: 10.3.0.21 | Date: 25/01/2008 | Date de publication: 11/09/2008

nVidia Corporation MCP61 SATA Controller
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: oem6.inf | Classe: hdc | Version: 5.10.2600.692 | Date: 18/10/2006

Generic USB CF Reader USB Device
Drivers installés:
Constructeur: | Fichier INF: disk.inf | Classe: diskdrive | Version: 5.1.2535.0 | Date: 01/07/2001

Generic USB MS Reader USB Device
Drivers installés:
Constructeur: | Fichier INF: disk.inf | Classe: diskdrive | Version: 5.1.2535.0 | Date: 01/07/2001

Generic USB SD Reader USB Device
Drivers installés:
Constructeur: | Fichier INF: disk.inf | Classe: diskdrive | Version: 5.1.2535.0 | Date: 01/07/2001

Generic USB SM Reader USB Device
Drivers installés:
Constructeur: | Fichier INF: disk.inf | Classe: diskdrive | Version: 5.1.2535.0 | Date: 01/07/2001

TSSTcorp CDDVDW SH-S202J
Drivers installés:
Constructeur: | Fichier INF: cdrom.inf | Classe: cdrom | Version: 5.1.2535.0 | Date: 01/07/2001

Souris PS/2
Drivers installés:
Constructeur: | Fichier INF: msmouse.inf | Classe: mouse | Version: 5.1.2600.0 | Date: 01/07/2001

Clavier standard 101/102 touches ou clavier Natural Keyboard PS/2
Drivers installés:
Constructeur: | Fichier INF: keyboard.inf | Classe: keyboard | Version: 5.1.2600.2180 | Date: 01/07/2001

Écran Plug-and-Play
Drivers installés:
Constructeur: | Fichier INF: monitor.inf | Classe: monitor | Version: 5.1.2001.0 | Date: 06/06/2001

Pont ISA standard PCI
Drivers installés:
Constructeur: | Fichier INF: machine.inf | Classe: system | Version: 5.1.2600.2180 | Date: 01/07/2001

Advanced Micro Devices [AMD] K8 [Athlon64/Opteron] HyperTransport Technology Configuration
Drivers installés:
Constructeur: Advanced Micro Devices [AMD] | Fichier INF: machine.inf | Classe: system | Version: 5.1.2600.2180 | Date: 01/07/2001

Advanced Micro Devices [AMD] K8 [Athlon64/Opteron] Address Map
Drivers installés:
Constructeur: Advanced Micro Devices [AMD] | Fichier INF: machine.inf | Classe: system | Version: 5.1.2600.2180 | Date: 01/07/2001

Advanced Micro Devices [AMD] K8 [Athlon64/Opteron] DRAM Controller
Drivers installés:
Constructeur: Advanced Micro Devices [AMD] | Fichier INF: machine.inf | Classe: system | Version: 5.1.2600.2180 | Date: 01/07/2001

Advanced Micro Devices [AMD] K8 [Athlon64/Opteron] Miscellaneous Control
Drivers installés:
Constructeur: Advanced Micro Devices [AMD] | Fichier INF: machine.inf | Classe: system | Version: 5.1.2600.2180 | Date: 01/07/2001

nVidia Corporation MCP61 PCI Express bridge
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: machine.inf | Classe: system | Version: 5.1.2600.2180 | Date: 01/07/2001

nVidia Corporation MCP61 PCI Express bridge
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: machine.inf | Classe: system | Version: 5.1.2600.2180 | Date: 01/07/2001

nVidia Corporation MCP61 PCI Express bridge
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: machine.inf | Classe: system | Version: 5.1.2600.2180 | Date: 01/07/2001

nVidia Corporation MCP61 Memory Controller
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: machine.inf | Classe: system | Version: 5.1.2600.2180 | Date: 01/07/2001

nVidia Corporation MCP61 SMBus
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: oem3.inf | Classe: system | Version: 4.5.7.0 | Date: 08/06/2006

nVidia Corporation MCP61 High Definition Audio
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: hdaudbus.inf | Classe: system | Version: 5.10.0.5010 | Date: 05/03/2004

nVidia Corporation MCP61 PCI bridge
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: machine.inf | Classe: system | Version: 5.1.2600.2180 | Date: 01/07/2001

nVidia Corporation MCP61 Memory Controller
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: machine.inf | Classe: system | Version: 5.1.2600.2180 | Date: 01/07/2001

Alcor Micro Corp. Flash Card Reader/Writer (Périphérique de stockage de masse USB)
Drivers installés:
Constructeur: Alcor Micro Corp. | Fichier INF: usbstor.inf | Classe: usb | Version: 5.1.2600.0 | Date: 01/07/2001

nVidia Corporation MCP61 USB Controller
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: usbport.inf | Classe: usb | Version: 5.1.2600.2180 | Date: 01/07/2001

nVidia Corporation MCP61 USB Controller
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: usbport.inf | Classe: usb | Version: 5.1.2600.0 | Date: 01/06/2002

nVidia Corporation MCP61 Ethernet
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: oem4.inf | Classe: nvidia network bus enumerator | Version: 65.7.6.0 | Date: 21/05/2007

Drivers disponibles:
Nvidia nForce 4 IGP (drivers 15.24 WHQL)
Constructeur: NVIDIA | Fichier INF: nvnetbus.inf | Version: 67.8.9 | Date: 01/08/2008 | Date de publication: 15/09/2008

aqua · Answer

Bon ça s'est terminé par un formatage vendredi chez le réparateur du coin.
Le CD, même le bon, ne pouvait réparer les clés de registre.

Pour savoir: tu as une idée d'où est venu le mal, d'après tous les rapports ci-dessus?

Quoi qu'il en soit, supermercis pour ton aide et ta patience!

Bonne route Moment de grace!

Comment réparer les dégâts de win32 malware.g

45 réponses

Votre réponse

Discussions similaires

Newsletters