virus type rootkit Résolu/Fermé

Question

Bonjour à tous,
sur un PC windows XP SP3 j'ai un virus rootkit qui m'interdit le demarage sans echec, bloque tous les antivirus que j'ai essayé. Pour en finir avec ce virus, je décide de réinstaller windows à partir du CD rom d'installation.J'ai eu la mauvaise surprise de voir que je n'ai plus acces à mes lecteurs de cd room. Que puis-je faire? Fdisk? mais cette commande DOS est elle encore disponible? si oui comment? à partir de Démarrer...exécuter? Quand j'aurais fais cela pourais-je accéder au lecteur de cd room?. merci de votre aide.



Configuration: Windows 7 / Firefox 3.6.3

Xplode · Accepted Answer

Ok, j'étais quasiment sûr que c'était bagle.

Pas besoin de reformater ton ordi, fais ceci :

-+-+-+-+-> Findykill - Recherche <-+-+-+-+-


Note : Ton PC est infecté par le ver bagle. Celui ci se propage essentiellement via le P2P. Plus d'informations sur l'infection ici

[x] Télécharge Findykill ( d'El desaparecido ) | Miroir.

/!\ Branche toutes tes sources de données externes ( Clé USB, Disque dur externe, carte SD ) sur ton PC /!\

[x] Lance Findykill ( Utilisateurs de vista/seven -> Clic droit puis "Exécuter en tant qu'administrateur" ).

[x] Choisis la langue souhaitée ( F pour Français ) puis valide en appuyant sur Entrée.

[x] Au menu principal, choisis l'option n°1 ( Recherche ) puis patiente pendant le scan.

[x] A la fin du scan, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.

Notes -> Le rapport est également sauvegardé sous C:\FyK.txt
      -> Un tutoriel pour l'utilisation de findykill est disponible ici.

poupougne13 · Answer

Bonsoir...

Tu n'as pas accès au bios pour mettre le lecteur cd en premier ?
Cdt,
@+

mimoire · Answer

Dans le setup du pc j'ai:
First boot device CDROM
Second boot device: Floppy
Third boot device: HDD-0
donc à mon avis le PC devrait tenter de démarrer d'abord sur cdrom

Xplode · Answer

Salut,

Tu as le nom du "rootkit" en question?

Sinon, décris précisément tout les symptômes que tu as.

Et est ce qu'il t'es encore possible de lancer des applications sur le PC?

mimoire · Answer

Le rootkit doit etre: Rootkit.bagle.gen
et peut etre win32.bagle SUQ@mm
oui il y a des applications qui fonctionnent encore.

mimoire · Answer

voila le rapport:

############################## | FindyKill V5.045 |

# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 03:05:18 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,44 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT
 
############################## | Processus infectieux stoppés  | 

"C:\Documents and Settings\jean terrien\Application Data\drivers\winupgro.exe"  (1736)
"C:\Documents and Settings\jean terrien\Application Data\m\flec006.exe"  (1760)
"C:\WINDOWS\wintems.exe"  (2356)

################## | Eléments infectieux |

C:\WINDOWS\ban_list.txt  
C:\WINDOWS\mdelk.exe  
C:\WINDOWS\wintems.exe  
C:\WINDOWS\system32\srosa2.sys  
C:\WINDOWS\system32\wfsintwq.sys  
C:\Documents and Settings\jean terrien\Application Data\drivers  
C:\Documents and Settings\jean terrien\Application Data\drivers\downld  
C:\Documents and Settings\jean terrien\Application Data\drivers\winupgro.exe  
C:\Documents and Settings\jean terrien\Application Data\m  
C:\Documents and Settings\jean terrien\Application Data\m\data.oct  
C:\Documents and Settings\jean terrien\Application Data\m\flec006.exe  
C:\Documents and Settings\jean terrien\Application Data\m\list.oct  
C:\Documents and Settings\jean terrien\Application Data\m\srvlist.oct  
C:\Documents and Settings\jean terrien\Application Data\m\shared  
C:\Documents and Settings\jean terrien\Local Settings\Temporary Internet Files\Content.IE5\CX2R0TQR\servernames[1].html  

################## | Registre |

[HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]  
[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]  
[HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]  
[HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]  
[HKLM\SYSTEM\CurrentControlSet\Services\srosa]  
[HKLM\SYSTEM\ControlSet001\Services\srosa]  
[HKLM\SYSTEM\ControlSet002\Services\srosa]  
[HKLM\SYSTEM\ControlSet003\Services\srosa]  
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]  
[HKCU\Software\bisoft]  
[HKCU\Software\DateTime4]  
[HKCU\Software\MuleAppData]  
[HKCU\Software\WS4001]  
[HKCR\ed2k]  
[HKCU\Software\Classes\ed2k]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]  
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]  
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !  
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  

################## | ! Fin du rapport # FindyKill V5.045 ! |

mimoire · Answer

nouveau rapport apres valitation de l'option 2 "nettoyage" .J'avais aussi oublié une clef USB.

############################## | FindyKill V5.045 |

# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 10:33:13 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,48 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT
# F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32

################## | Eléments infectieux |


################## | Registre |

[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]  
[HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]  
[HKLM\SYSTEM\ControlSet001\Services\srosa]  
[HKLM\SYSTEM\ControlSet003\Services\srosa]  
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]  
[HKCU\Software\bisoft]  
[HKCU\Software\DateTime4]  
[HKCU\Software\MuleAppData]  
[HKCU\Software\WS4001]  
[HKCR\ed2k]  
[HKCU\Software\Classes\ed2k]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]  
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]  
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !  
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  

################## | ! Fin du rapport # FindyKill V5.045 ! |

Xplode · Answer

-+-+-+-+-> Findykill - Suppression <-+-+-+-+-


[x] Relance Findykill en choisissant cette fois ci l'option n°2 ( Suppression ).

[x] Le PC va redémarrer et findykill se lancera au démarrage.

[x] Patiente pendant le scan jusqu'à l'ouverture d'un rapport.

[x] Copie/Colle le contenu du rapport dans ta prochaine réponse.

Notes -> Le rapport est également sauvegardé sous C:\FyK.txt
      -> Un tutoriel pour l'utilisation de findykill ( suppression ) est disponible ici.
      -> Si le bureau ne réapparaît pas après l'utilisation de findykill, appuie simultanément sur CTRL ALT SUPPR. A l'onglet "Applications", clique sur [Nouvelle tâche]. Tape "explorer.exe" ( sans les guillemets ) puis [Ok].

mimoire · Answer

merci pour ton aide. Voici le rapport:

############################## | FindyKill V5.045 |

# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 11:07:32 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,47 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT
# F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32

################## | Eléments infectieux |


################## | Registre |

[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]  
[HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]  
[HKLM\SYSTEM\ControlSet001\Services\srosa]  
[HKLM\SYSTEM\ControlSet003\Services\srosa]  
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]  
[HKCU\Software\bisoft]  
[HKCU\Software\DateTime4]  
[HKCU\Software\MuleAppData]  
[HKCU\Software\WS4001]  
[HKCR\ed2k]  
[HKCU\Software\Classes\ed2k]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]  
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]  
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !  
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  

################## | ! Fin du rapport # FindyKill V5.045 ! |

Xplode · Answer

Il faut que tu lances l'option 2

mimoire · Answer

avec l'option 2 le scan s'est refermé tout seul à 40%. Je vais réessayer de le refaire.

Xplode · Answer

Ok, dis moi si tu n'arrives toujours pas à passer l'option 2.

mimoire · Answer

l'option 2 démarre corectement: redémarrage PC, scan, il se ferme au moment du scan des fichiers zip

Xplode · Answer

Tu as un rapport sous C:\ ? ( FyK.txt )

mimoire · Answer

sans fournir de rapport évidemment

Xplode · Answer

Ok, on va faire autrement. -+-+-+-+-> OtMoveIt <-+-+-+-+- [x] Télécharge OtMoveIt sur ton bureau. [x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ". :services sK9Ou0s srosa :reg [-HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s] [-HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s] [-HKLM\SYSTEM\ControlSet001\Services\srosa] [-HKLM\SYSTEM\ControlSet003\Services\srosa] [-HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S] [-HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S] [-HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA] [-HKCU\Software\bisoft] [-HKCU\Software\DateTime4] [-HKCU\Software\MuleAppData] [-HKCU\Software\WS4001] [-HKCR\ed2k] [-HKCU\Software\Classes\ed2k] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"=- [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"=- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"=- [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"=- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"=- [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"=- [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft] [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4] [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData] [-HKCU\Software\Local AppWizard-Generated Applications\key_generator] [-HKCU\Software\Local AppWizard-Generated Applications\winupgro] [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator] [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro] :commands [emptytemp] [x] Clique maintenant sur " MoveIt! " [x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message. --------------------------------------------------- -+-+-+-+-> ComboFix <-+-+-+- [x] Télécharge ComboFix ( de sUBs ) à cette adresse. [x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\ [x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\ [x] Double clique sur " Combofix.exe " [x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le [x] Pendant le scan, ne touche à rien ( souris, clavier ) [x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse. Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

mimoire · Answer

pas de chances.....je télécharge bien OTM mais il refuse de s'executer!

Xplode · Answer

Passe à combofix ( renomme le en CCM.exe avant de le télécharger )

mimoire · Answer

je ne peux pas déactiver AVIRA!!! j'ai pas oser lancer combo que faire?

mimoire · Answer

message que j'ai : Avira n'est pas une application win32 valide. J'ai essayé de vider le repertoire avira. Il s'est effacé partiellement et combo me dit que avira toujours actif

Xplode · Answer

Refais ceci ( OTM ) en prenant soin de renommer OTM en CCM.exe avant le téléchargement ( dans " nom du fichier " -> ccm.exe )

mimoire · Answer

Je viens de changer de PC car il semble que à partir du PC infecté je ne puisse plus te donner de réponse.
J'ai refais OTM et coller le texte que tu m'as envoyé ensuite moveit....j'obtiens un résultat dans la fenètre résultats puis OTM plante. j'ai donc relancer combo et j'obtiens un compte rendu. Est-ce que je peux sans risques le transferer du PC infecté vers celui-ci par une clef USB pour te l'envoyer?
merci

mimoire · Answer

je ne peux pas graver de CD puisque je n'ai plus acces à mes lecteurs/graveurs

mimoire · Answer

J'espère t'avoir bien compris: sur l'ordi sain j'ai téléchargé USBfix, j'y ai placé mes clefs USB. USBfix ne se lance pas: peut etre parce que mon pc sain est un windows7 64bits. Tu comprend, je ne voudrais pas l'infecter à son tour!!!
mais, maintenant que j'y ai branché mes clefs USB......le risque est pris

mimoire · Answer

je viens de t'envoyer le rapport combo a partir du PC sain! je ne comprend pas je ne le vois pas dans la discution!!!

mimoire · Answer

je comprend pas bien comment je peux t'envoyer un fichier alors que je n'ai pas ton adresse mail!!!!

mimoire · Answer

OK voila:
https://www.cjoint.com/?gyqkwBEdhc

Xplode · Answer

Bien,

Maintenant réessaie findykill ( option n°2 ) et poste moi le rapport

mimoire · Answer

findykill se referme avant la fin du scan, pendant le scan des fichiers zip environ 40% du scan effectué

Xplode · Answer

On va essayer autre chose.

-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-


[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

[x] Sélectionne tout tes disques locaux et amovibles

[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Tu peux ensuite vider la quarantaine de MBAM.

[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.

mimoire · Answer

pour l'instant tout se passe bien (analyse en cours)...4 éléments infectés mais je crois que c'est loin d'etre terminé.Heureusement que j'avais assez peu de choses sur le PC. Encore merci de ton aide. Quand ce sera terminé je t'envoie le rapport mais je ne désinfecte pas, j'attend ta réponse

mimoire · Answer

voila le rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4233

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

24/06/2010 17:48:39
mbam-log-2010-06-24 (17-48-39).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 165946
Temps écoulé: 53 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 19

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\FyK\Quarantine\C\Documents and Settings\jean terrien\Application Data\drivers\downld\78093.exe.FindyKill (Worm.Bagle) -> Quarantined and deleted successfully.
C:\FyK\Quarantine\C\Documents and Settings\jean terrien\Application Data\m\flec006.exe.FindyKill (Worm.Bagle) -> Quarantined and deleted successfully.
C:\FyK\Quarantine\C\WINDOWS\mdelk.exe.FindyKill (Worm.Bagle) -> Quarantined and deleted successfully.
C:\FyK\Quarantine\C\WINDOWS\wintems.exe.FindyKill (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013004.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013090.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013106.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013147.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013157.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013158.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013318.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013414.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013431.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013549.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013553.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013763.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013766.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013767.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013768.exe (Worm.Bagle) -> Quarantined and deleted successfully.

Xplode · Answer

Réessaie Findykill maintenant.

mimoire · Answer

rapport findykill:

############################## | FindyKill V5.045 |

# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 17:55:50 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,37 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,45 Mo free) # FAT
# E:\ # Disque amovible # 62,31 Mo (3,45 Mo free) # FAT
# F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32

################## | Eléments infectieux |


################## | Registre |

[HKCR\ed2k]  
[HKCU\Software\Classes\ed2k]  
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]  
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.045 ! |

Xplode · Answer

Réessaie l'option n°2

mimoire · Answer

l'option 2 s'est arretée comme précédemment (à 40% envion) du scan, mais peut etre est-ce normal.pas de rapport à l'écran

mimoire · Answer

les choses vont nettement mieux..... pour ne pas dire "problème résolu" soyons prudent. Dans ce cas i me reste à réinstaller mes lecteurs de CD je pense.

Xplode · Answer

-+-+-+-+-> OtMoveIt <-+-+-+-+-


[x] Télécharge OtMoveIt sur ton bureau.

[x] Lance le ( sous vista/7 -> clic droit puis " exécuter en tant qu'admin " ), puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".


:reg


[-HKCR\ed2k]
[-HKCU\Software\Classes\ed2k]
[-HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[-HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
[-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro] 

:commands

[emptytemp]



[x] Clique maintenant sur " MoveIt! "

[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.

mimoire · Answer

tu es toujours là? J'ai essayé de réinstaller les pilotes de mes lecteurs CD....windows me dit qu'il ne trouve pas de meilleurs pilote que ceux installés.!!!

mimoire · Answer

Ok pour mouve it,je le fais et je colle le rapport

mimoire · Answer

Tu peux me dire ou je le prend MoveIt

mimoire · Answer

résultat: je te l'écrit car moveit plante à chaque fois (sablier en permanence)
All processes killed
J'en déduit que c'est bon?

mimoire · Answer

comment je fais ça?

mimoire · Answer

voila ce que j'ai:
All processes killed
REGISTRY

puis le sablié  moveit planté ou c'est tres long!!!

mimoire · Answer

ecoute, tu es tres sympa de t'occuper de mon cas mais il fera jour demain je ne vais pas monopoliser tout ton temps.Si tu veux on revois cela demain

mimoire · Answer

je fais le scan avec malware

mimoire · Answer

on peux s'arreter quand tu veux ca là il y en a pour 1 heure environ

mimoire · Answer

je t'envoie le résultat du scan demain matin. OK?

Xplode · Answer

Pas de soucis.

mimoire · Answer

merci. Si tu me suportes.....à demain!

mimoire · Answer

Salut Xplode, j'ai le rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4233

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

24/06/2010 20:19:29
mbam-log-2010-06-24 (20-19-29).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 165960
Temps écoulé: 53 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

mimoire · Answer

tout cela me parais bien! peut-on considérer problème réglé?

Xplode · Answer

Non, repasse findykill option 1 puis poste moi le rapport, il reste toujours des clés infectieuses et surement des programmes corrompus.

mimoire · Answer

voila:

############################## | FindyKill V5.045 |

# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 12:00:38 | 25/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (136,45 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,45 Mo free) # FAT
# E:\ # Disque amovible # 62,31 Mo (3,45 Mo free) # FAT
# F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32

################## | Eléments infectieux |


################## | Registre |

[HKCR\ed2k]  
[HKCU\Software\Classes\ed2k]  
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]  
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]  
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.045 ! |

Xplode · Answer

-+-+-+-+-> The Avenger <-+-+-+-+-


[x] Télécharge The Avenger.

[x] Ouvre l'archive, extrait avenger.exe sur ton bureau puis lance le.

[x] Clique sur [Ok] lors du message d'avertissement puis copie/colle le code ci dessous dans la partie "Imput script here".


Registry keys to delete:

HKCR\ed2k
HKCU\Software\Classes\ed2k
HKCU\Software\Local AppWizard-Generated Applications\key_generator
HKCU\Software\Local AppWizard-Generated Applications\winupgro
HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator
HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro


[x] Clique ensuite sur [Execute] puis valide par [Oui] puis encore par [Oui] pour redémarrer le PC.

[x] Au redémarrage, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.

mimoire · Answer

impossible, j'obtiens une erreur:
invalid registry syntax in command:
"HKCR\ed2k"
Only registry keys under the HKEY_local_machine hive are accessible to this program.
Skipping line. (Registry key deletion mode)

gen-hackman · Answer

bonjour je propose un coup de main :

execute ceci apres l'avoir dezippé

http://sd-4.archive-host.com/membres/up/829108531491024/Temp_Tools/Key.zip

mimoire · Answer

bonjour, Avira grogne (il me signale un virus ou un programme indésirable)
que faut-il faire?

gen-hackman · Answer

c'est normal il faut le desactiver :)

mimoire · Answer

j'ai déactivé Avira et tenter de lancer le programme.réponse: "le contenu potentiellement dangereux a été bloqué"

gen-hackman · Answer

par qui ?

mimoire · Answer

c'est bon, il falait simplement extraire du zip sur le bureau. voila le résultat:
Deleted : HKCR\ed2k  
Deleted : "HKCU\Software\Local AppWizard-Generated Applications\key_generator"  
Deleted : "HKCU\Software\Local AppWizard-Generated Applications\winupgro"

gen-hackman · Answer

voila je vous laisse continuer :)

mimoire · Answer

OK merci

Xplode · Answer

@Gen,

Merci pour le coup de main ;-)

@mimoire

Repasse Findykill option 1 pour vérification.

mimoire · Answer

voila:

############################## | FindyKill V5.045 |

# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 13:54:42 | 25/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (136,44 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,45 Mo free) # FAT
# E:\ # Disque amovible # 62,31 Mo (3,45 Mo free) # FAT
# F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32

################## | Eléments infectieux |


################## | Registre |

[HKCR\ed2k]  

################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.045 ! |

Xplode · Answer

Toujours impossible de passer l'option n°2?

mimoire · Answer

l'option 2 n'est pas passée (fermée avant la fin mais pendant le scan j'ai eu une dizaine d'allerte virus de la part de Avira. à chaque fois j'ai fai supprimer. Faut-il repasser findykill option 1 et 2 apres avoir désactiver Avira?

mimoire · Answer

les virus trouvés:
TR/Crypt TPM.Gen
worm/bagle.gen

Xplode · Answer

Désinstalle antivir puis relance findykill option 2 et poste moi le rapport.

mimoire · Answer

toujours arret prématuré de findykill.....pas de rapport

gen-hackman · Answer

desinstalle-le puis retelecharge-le puis option 2 direct

mimoire · Answer

toujours arret prématuré

mimoire · Answer

l'option 2 s'arrete toujours prématurément apres suppression de findy et retéléchargement

mimoire · Answer

une petite remarque: j'ai 2 pc. sur celui ci sur le forum les messages que l'on échange, je les vois....normal mais sur le pc infecté je vois que des messages ont été envoyés mais ils son vides de tout texte meme apres actualisation de la page web!!!

mimoire · Answer

maintenant, meme sur le pc sain je ne vois plus les messages, ni les miens ni les votres

mimoire · Answer

sans doute un problème sur votre forum!!!
J'espère que vous etes toujours là
merci ,votre collaboration est précieuse

gen-hackman · Answer

salut oui le site a eu un petit souci mais quand ca arrive c'est jamais très long les webmasters sont actifs au moindre souci :)

mimoire · Answer

l'option 2 s'arrete toujours prématurément apres suppression de findy et retéléchargement

gen-hackman · Answer

on va essayer de modifier les services autrement

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer Shortcut
&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

&#9654 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur ok

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus. 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

mimoire · Answer

http://www.cijoint.fr/cjlink.php?file=cj201006/cije1IYIA9.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijMTXYbLE.txt

mimoire · Answer

voila les 2 fichiers
http://www.cijoint.fr/cjlink.php?file=cj201006/cije1IYIA9.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijMTXYbLE.txt

gen-hackman · Answer

&#9654 Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche    Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

&#9654 clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\WINDOWS\System32\zmghpaudcp.exe

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

mimoire · Answer

voila: Fichier BBC4AA7700083F95401C014681550E0057CC7686.exe reçu le 2009.06.14 20:19:03 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.06.14 - AhnLab-V3 5.0.0.2 2009.06.14 - AntiVir 7.9.0.187 2009.06.14 - Antiy-AVL 2.0.3.1 2009.06.12 - Authentium 5.1.2.4 2009.06.14 - Avast 4.8.1335.0 2009.06.14 - AVG 8.5.0.339 2009.06.14 - BitDefender 7.2 2009.06.14 - CAT-QuickHeal 10.00 2009.06.13 - ClamAV 0.94.1 2009.06.14 - Comodo 1320 2009.06.14 - DrWeb 5.0.0.12182 2009.06.14 - eSafe 7.0.17.0 2009.06.11 - eTrust-Vet 31.6.6556 2009.06.12 - F-Prot 4.4.4.56 2009.06.14 - F-Secure 8.0.14470.0 2009.06.13 - Fortinet 3.117.0.0 2009.06.14 - GData 19 2009.06.14 - Ikarus T3.1.1.59.0 2009.06.14 - K7AntiVirus 7.10.762 2009.06.12 - Kaspersky 7.0.0.125 2009.06.14 - McAfee 5646 2009.06.14 - McAfee+Artemis 5646 2009.06.14 - McAfee-GW-Edition 6.7.6 2009.06.14 - Microsoft 1.4701 2009.06.14 - NOD32 4153 2009.06.14 - Norman 2009.06.12 - nProtect 2009.1.8.0 2009.06.14 - Panda 10.0.0.14 2009.06.14 - PCTools 4.4.2.0 2009.06.12 - Prevx 3.0 2009.06.14 - Rising 21.33.62.00 2009.06.14 - Sophos 4.42.0 2009.06.14 - Sunbelt 3.2.1858.2 2009.06.14 - Symantec 1.4.4.12 2009.06.14 - TheHacker 6.3.4.3.345 2009.06.13 - TrendMicro 8.950.0.1092 2009.06.12 - VBA32 3.12.10.7 2009.06.14 - ViRobot 2009.6.13.1785 2009.06.13 - VirusBuster 4.6.5.0 2009.06.14 - Information additionnelle File size: 81920 bytes MD5 : 339e12575a4220dd5f72268870a7a1c0 SHA1 : 6b2da0de6bfcf31ab104ea7cdc1b53bac0e615df SHA256: 25ee489748ee3d0209b772a03e0214244e2903051f41131f2e517c6049998c18 PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9661
timedatestamp.....: 0x48A00006 (Mon Aug 11 11:01:58 2008)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9FE6 0xA000 5.93 115f463add43d0bcb8395169b6e09287
.data 0xB000 0x768 0x400 6.54 af707d86c3af563b212b028a114bc749
.rsrc 0xC000 0x97F8 0x9800 4.74 1d060cc8017733e774d6f05f1e07195d

( 7 imports )

> advapi32.dll: RegCloseKey, RegQueryValueExA, RegSetValueExA, RegDeleteValueA, RegOpenKeyExA
> comctl32.dll: InitCommonControlsEx
> gdi32.dll: CreateFontIndirectA, DeleteObject, CreateFontA
> kernel32.dll: CreateEventA, CloseHandle, WaitForSingleObject, SetEvent, OpenMutexA, Sleep, CreateMutexA, ResetEvent, WaitForMultipleObjects, CreateThread, EnterCriticalSection, GetCommandLineA, InitializeCriticalSection, LeaveCriticalSection, GetModuleHandleA, ReleaseMutex, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoA, InterlockedCompareExchange, InterlockedExchange, DeleteCriticalSection, GetLastError
> msvcrt.dll: __getmainargs, _cexit, _exit, _XcptFilter, _ismbblead, exit, _acmdln, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _unlock, __dllonexit, _lock, _onexit, _terminate@@YAXXZ, _controlfp, strstr, strncpy, sprintf, __2@YAPAXI@Z, memset, _snprintf, _purecall, __3@YAXPAX@Z, _initterm
> user32.dll: GetClassInfoExA, MoveWindow, ShowWindow, MapWindowPoints, GetSystemMetrics, SetCursor, PostMessageA, GetParent, EnableWindow, RedrawWindow, SetTimer, KillTimer, SetWindowTextA, SetForegroundWindow, GetDlgCtrlID, SetFocus, UnionRect, RegisterDeviceNotificationA, LoadImageA, PostQuitMessage, UnregisterDeviceNotification, DestroyIcon, MessageBoxA, DispatchMessageA, IsDialogMessageA, TranslateMessage, GetLastActivePopup, GetMessageA, FindWindowA, EnumChildWindows, RegisterClassExA, GetWindowRect, GetClientRect, GetDesktopWindow, PtInRect, SetWindowPos, GetWindowLongA, SetWindowLongA, SendMessageA, CreateWindowExA, SystemParametersInfoA, DefWindowProcA, IsWindow, DestroyWindow, LoadStringA, LoadCursorA, GetSysColorBrush
> zmghpap.dll: _initiate_reset@iAudioDevice@@QAEHXZ, _set_device_parameter@iAudioDevice@@QAEHPBDHPAXH@Z, _create_audio_device@@YAPAViAudioDevice@@XZ, _get_streaming_status@iAudioDevice@@QAEHPAUstreaming_status_t@@@Z, _create_audio_device_impl@@YAPAViAudioDevice@@PBD@Z, _custom_name@iAudioDevice@@QAEPBDXZ, _info@iAudioDevice@@QBEABUdevice_info@@XZ, _get_device_info_ex@iAudioDevice@@QAEHPAUdevice_info_ex@@@Z, _get_info@iUSBAudioDevice@@QAEHPAUdevice_info_usb@@@Z, _get_info@i1394AudioDevice@@QAEHPAUdevice_info_1394@@@Z, _enum_driver_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _delete_driver_parameter@iAudioDevice@@QAEHPBD@Z, _get_driver_parameter@iAudioDevice@@QAEHPBDPAK@Z, _set_driver_parameter@iAudioDevice@@QAEHPBDK@Z, _enum_compatible_devices@@YAHPBDPADPAUdevice_enum_t@@PAHH@Z, _enum_device_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _delete_device_parameter@iAudioDevice@@QAEHPBD@Z, _get_device_parameter@iAudioDevice@@QAEHPBDPAK@Z, _set_device_parameter@iAudioDevice@@QAEHPBDK@Z, _destroy_audio_device@@YAXPAViAudioDevice@@@Z

( 0 exports )
TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 1536:R9BUUuvBTwnDhLBROPklvBcdqRl2ujq/eWz29S9OLaqrX:RTcPQl2ujq/eWa9SsLaqr PEiD : - RDS : NSRL Reference Data Set
- Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.06.14 - AhnLab-V3 5.0.0.2 2009.06.14 - AntiVir 7.9.0.187 2009.06.14 - Antiy-AVL 2.0.3.1 2009.06.12 - Authentium 5.1.2.4 2009.06.14 - Avast 4.8.1335.0 2009.06.14 - AVG 8.5.0.339 2009.06.14 - BitDefender 7.2 2009.06.14 - CAT-QuickHeal 10.00 2009.06.13 - ClamAV 0.94.1 2009.06.14 - Comodo 1320 2009.06.14 - DrWeb 5.0.0.12182 2009.06.14 - eSafe 7.0.17.0 2009.06.11 - eTrust-Vet 31.6.6556 2009.06.12 - F-Prot 4.4.4.56 2009.06.14 - F-Secure 8.0.14470.0 2009.06.13 - Fortinet 3.117.0.0 2009.06.14 - GData 19 2009.06.14 - Ikarus T3.1.1.59.0 2009.06.14 - K7AntiVirus 7.10.762 2009.06.12 - Kaspersky 7.0.0.125 2009.06.14 - McAfee 5646 2009.06.14 - McAfee+Artemis 5646 2009.06.14 - McAfee-GW-Edition 6.7.6 2009.06.14 - Microsoft 1.4701 2009.06.14 - NOD32 4153 2009.06.14 - Norman 2009.06.12 - nProtect 2009.1.8.0 2009.06.14 - Panda 10.0.0.14 2009.06.14 - PCTools 4.4.2.0 2009.06.12 - Prevx 3.0 2009.06.14 - Rising 21.33.62.00 2009.06.14 - Sophos 4.42.0 2009.06.14 - Sunbelt 3.2.1858.2 2009.06.14 - Symantec 1.4.4.12 2009.06.14 - TheHacker 6.3.4.3.345 2009.06.13 - TrendMicro 8.950.0.1092 2009.06.12 - VBA32 3.12.10.7 2009.06.14 - ViRobot 2009.6.13.1785 2009.06.13 - VirusBuster 4.6.5.0 2009.06.14 - Information additionnelle File size: 81920 bytes MD5 : 339e12575a4220dd5f72268870a7a1c0 SHA1 : 6b2da0de6bfcf31ab104ea7cdc1b53bac0e615df SHA256: 25ee489748ee3d0209b772a03e0214244e2903051f41131f2e517c6049998c18 PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9661
timedatestamp.....: 0x48A00006 (Mon Aug 11 11:01:58 2008)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9FE6 0xA000 5.93 115f463add43d0bcb8395169b6e09287
.data 0xB000 0x768 0x400 6.54 af707d86c3af563b212b028a114bc749
.rsrc 0xC000 0x97F8 0x9800 4.74 1d060cc8017733e774d6f05f1e07195d

( 7 imports )

> advapi32.dll: RegCloseKey, RegQueryValueExA, RegSetValueExA, RegDeleteValueA, RegOpenKeyExA
> comctl32.dll: InitCommonControlsEx
> gdi32.dll: CreateFontIndirectA, DeleteObject, CreateFontA
> kernel32.dll: CreateEventA, CloseHandle, WaitForSingleObject, SetEvent, OpenMutexA, Sleep, CreateMutexA, ResetEvent, WaitForMultipleObjects, CreateThread, EnterCriticalSection, GetCommandLineA, InitializeCriticalSection, LeaveCriticalSection, GetModuleHandleA, ReleaseMutex, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoA, InterlockedCompareExchange, InterlockedExchange, DeleteCriticalSection, GetLastError
> msvcrt.dll: __getmainargs, _cexit, _exit, _XcptFilter, _ismbblead, exit, _acmdln, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _unlock, __dllonexit, _lock, _onexit, _terminate@@YAXXZ, _controlfp, strstr, strncpy, sprintf, __2@YAPAXI@Z, memset, _snprintf, _purecall, __3@YAXPAX@Z, _initterm
> user32.dll: GetClassInfoExA, MoveWindow, ShowWindow, MapWindowPoints, GetSystemMetrics, SetCursor, PostMessageA, GetParent, EnableWindow, RedrawWindow, SetTimer, KillTimer, SetWindowTextA, SetForegroundWindow, GetDlgCtrlID, SetFocus, UnionRect, RegisterDeviceNotificationA, LoadImageA, PostQuitMessage, UnregisterDeviceNotification, DestroyIcon, MessageBoxA, DispatchMessageA, IsDialogMessageA, TranslateMessage, GetLastActivePopup, GetMessageA, FindWindowA, EnumChildWindows, RegisterClassExA, GetWindowRect, GetClientRect, GetDesktopWindow, PtInRect, SetWindowPos, GetWindowLongA, SetWindowLongA, SendMessageA, CreateWindowExA, SystemParametersInfoA, DefWindowProcA, IsWindow, DestroyWindow, LoadStringA, LoadCursorA, GetSysColorBrush
> zmghpap.dll: _initiate_reset@iAudioDevice@@QAEHXZ, _set_device_parameter@iAudioDevice@@QAEHPBDHPAXH@Z, _create_audio_device@@YAPAViAudioDevice@@XZ, _get_streaming_status@iAudioDevice@@QAEHPAUstreaming_status_t@@@Z, _create_audio_device_impl@@YAPAViAudioDevice@@PBD@Z, _custom_name@iAudioDevice@@QAEPBDXZ, _info@iAudioDevice@@QBEABUdevice_info@@XZ, _get_device_info_ex@iAudioDevice@@QAEHPAUdevice_info_ex@@@Z, _get_info@iUSBAudioDevice@@QAEHPAUdevice_info_usb@@@Z, _get_info@i1394AudioDevice@@QAEHPAUdevice_info_1394@@@Z, _enum_driver_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _delete_driver_parameter@iAudioDevice@@QAEHPBD@Z, _get_driver_parameter@iAudioDevice@@QAEHPBDPAK@Z, _set_driver_parameter@iAudioDevice@@QAEHPBDK@Z, _enum_compatible_devices@@YAHPBDPADPAUdevice_enum_t@@PAHH@Z, _enum_device_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _delete_device_parameter@iAudioDevice@@QAEHPBD@Z, _get_device_parameter@iAudioDevice@@QAEHPBDPAK@Z, _set_device_parameter@iAudioDevice@@QAEHPBDK@Z, _destroy_audio_device@@YAXPAViAudioDevice@@@Z

( 0 exports )
TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 1536:R9BUUuvBTwnDhLBROPklvBcdqRl2ujq/eWz29S9OLaqrX:RTcPQl2ujq/eWa9SsLaqr PEiD : - RDS : NSRL Reference Data Set
-

gen-hackman · Answer

heu le nom du fichier ni la date ne correspondent...

mimoire · Answer

j'ai refais, voila...ça me semble pas différent! Fichier BBC4AA7700083F95401C014681550E0057CC7686.exe reçu le 2009.06.14 20:19:03 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.06.14 - AhnLab-V3 5.0.0.2 2009.06.14 - AntiVir 7.9.0.187 2009.06.14 - Antiy-AVL 2.0.3.1 2009.06.12 - Authentium 5.1.2.4 2009.06.14 - Avast 4.8.1335.0 2009.06.14 - AVG 8.5.0.339 2009.06.14 - BitDefender 7.2 2009.06.14 - CAT-QuickHeal 10.00 2009.06.13 - ClamAV 0.94.1 2009.06.14 - Comodo 1320 2009.06.14 - DrWeb 5.0.0.12182 2009.06.14 - eSafe 7.0.17.0 2009.06.11 - eTrust-Vet 31.6.6556 2009.06.12 - F-Prot 4.4.4.56 2009.06.14 - F-Secure 8.0.14470.0 2009.06.13 - Fortinet 3.117.0.0 2009.06.14 - GData 19 2009.06.14 - Ikarus T3.1.1.59.0 2009.06.14 - K7AntiVirus 7.10.762 2009.06.12 - Kaspersky 7.0.0.125 2009.06.14 - McAfee 5646 2009.06.14 - McAfee+Artemis 5646 2009.06.14 - McAfee-GW-Edition 6.7.6 2009.06.14 - Microsoft 1.4701 2009.06.14 - NOD32 4153 2009.06.14 - Norman 2009.06.12 - nProtect 2009.1.8.0 2009.06.14 - Panda 10.0.0.14 2009.06.14 - PCTools 4.4.2.0 2009.06.12 - Prevx 3.0 2009.06.14 - Rising 21.33.62.00 2009.06.14 - Sophos 4.42.0 2009.06.14 - Sunbelt 3.2.1858.2 2009.06.14 - Symantec 1.4.4.12 2009.06.14 - TheHacker 6.3.4.3.345 2009.06.13 - TrendMicro 8.950.0.1092 2009.06.12 - VBA32 3.12.10.7 2009.06.14 - ViRobot 2009.6.13.1785 2009.06.13 - VirusBuster 4.6.5.0 2009.06.14 - Information additionnelle File size: 81920 bytes MD5 : 339e12575a4220dd5f72268870a7a1c0 SHA1 : 6b2da0de6bfcf31ab104ea7cdc1b53bac0e615df SHA256: 25ee489748ee3d0209b772a03e0214244e2903051f41131f2e517c6049998c18 PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9661
timedatestamp.....: 0x48A00006 (Mon Aug 11 11:01:58 2008)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9FE6 0xA000 5.93 115f463add43d0bcb8395169b6e09287
.data 0xB000 0x768 0x400 6.54 af707d86c3af563b212b028a114bc749
.rsrc 0xC000 0x97F8 0x9800 4.74 1d060cc8017733e774d6f05f1e07195d

( 7 imports )

> advapi32.dll: RegCloseKey, RegQueryValueExA, RegSetValueExA, RegDeleteValueA, RegOpenKeyExA
> comctl32.dll: InitCommonControlsEx
> gdi32.dll: CreateFontIndirectA, DeleteObject, CreateFontA
> kernel32.dll: CreateEventA, CloseHandle, WaitForSingleObject, SetEvent, OpenMutexA, Sleep, CreateMutexA, ResetEvent, WaitForMultipleObjects, CreateThread, EnterCriticalSection, GetCommandLineA, InitializeCriticalSection, LeaveCriticalSection, GetModuleHandleA, ReleaseMutex, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoA, InterlockedCompareExchange, InterlockedExchange, DeleteCriticalSection, GetLastError
> msvcrt.dll: __getmainargs, _cexit, _exit, _XcptFilter, _ismbblead, exit, _acmdln, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _unlock, __dllonexit, _lock, _onexit, _terminate@@YAXXZ, _controlfp, strstr, strncpy, sprintf, __2@YAPAXI@Z, memset, _snprintf, _purecall, __3@YAXPAX@Z, _initterm
> user32.dll: GetClassInfoExA, MoveWindow, ShowWindow, MapWindowPoints, GetSystemMetrics, SetCursor, PostMessageA, GetParent, EnableWindow, RedrawWindow, SetTimer, KillTimer, SetWindowTextA, SetForegroundWindow, GetDlgCtrlID, SetFocus, UnionRect, RegisterDeviceNotificationA, LoadImageA, PostQuitMessage, UnregisterDeviceNotification, DestroyIcon, MessageBoxA, DispatchMessageA, IsDialogMessageA, TranslateMessage, GetLastActivePopup, GetMessageA, FindWindowA, EnumChildWindows, RegisterClassExA, GetWindowRect, GetClientRect, GetDesktopWindow, PtInRect, SetWindowPos, GetWindowLongA, SetWindowLongA, SendMessageA, CreateWindowExA, SystemParametersInfoA, DefWindowProcA, IsWindow, DestroyWindow, LoadStringA, LoadCursorA, GetSysColorBrush
> zmghpap.dll: _initiate_reset@iAudioDevice@@QAEHXZ, _set_device_parameter@iAudioDevice@@QAEHPBDHPAXH@Z, _create_audio_device@@YAPAViAudioDevice@@XZ, _get_streaming_status@iAudioDevice@@QAEHPAUstreaming_status_t@@@Z, _create_audio_device_impl@@YAPAViAudioDevice@@PBD@Z, _custom_name@iAudioDevice@@QAEPBDXZ, _info@iAudioDevice@@QBEABUdevice_info@@XZ, _get_device_info_ex@iAudioDevice@@QAEHPAUdevice_info_ex@@@Z, _get_info@iUSBAudioDevice@@QAEHPAUdevice_info_usb@@@Z, _get_info@i1394AudioDevice@@QAEHPAUdevice_info_1394@@@Z, _enum_driver_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _delete_driver_parameter@iAudioDevice@@QAEHPBD@Z, _get_driver_parameter@iAudioDevice@@QAEHPBDPAK@Z, _set_driver_parameter@iAudioDevice@@QAEHPBDK@Z, _enum_compatible_devices@@YAHPBDPADPAUdevice_enum_t@@PAHH@Z, _enum_device_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _delete_device_parameter@iAudioDevice@@QAEHPBD@Z, _get_device_parameter@iAudioDevice@@QAEHPBDPAK@Z, _set_device_parameter@iAudioDevice@@QAEHPBDK@Z, _destroy_audio_device@@YAXPAViAudioDevice@@@Z

( 0 exports )
TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 1536:R9BUUuvBTwnDhLBROPklvBcdqRl2ujq/eWz29S9OLaqrX:RTcPQl2ujq/eWa9SsLaqr PEiD : - RDS : NSRL Reference Data Set
- Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.06.14 - AhnLab-V3 5.0.0.2 2009.06.14 - AntiVir 7.9.0.187 2009.06.14 - Antiy-AVL 2.0.3.1 2009.06.12 - Authentium 5.1.2.4 2009.06.14 - Avast 4.8.1335.0 2009.06.14 - AVG 8.5.0.339 2009.06.14 - BitDefender 7.2 2009.06.14 - CAT-QuickHeal 10.00 2009.06.13 - ClamAV 0.94.1 2009.06.14 - Comodo 1320 2009.06.14 - DrWeb 5.0.0.12182 2009.06.14 - eSafe 7.0.17.0 2009.06.11 - eTrust-Vet 31.6.6556 2009.06.12 - F-Prot 4.4.4.56 2009.06.14 - F-Secure 8.0.14470.0 2009.06.13 - Fortinet 3.117.0.0 2009.06.14 - GData 19 2009.06.14 - Ikarus T3.1.1.59.0 2009.06.14 - K7AntiVirus 7.10.762 2009.06.12 - Kaspersky 7.0.0.125 2009.06.14 - McAfee 5646 2009.06.14 - McAfee+Artemis 5646 2009.06.14 - McAfee-GW-Edition 6.7.6 2009.06.14 - Microsoft 1.4701 2009.06.14 - NOD32 4153 2009.06.14 - Norman 2009.06.12 - nProtect 2009.1.8.0 2009.06.14 - Panda 10.0.0.14 2009.06.14 - PCTools 4.4.2.0 2009.06.12 - Prevx 3.0 2009.06.14 - Rising 21.33.62.00 2009.06.14 - Sophos 4.42.0 2009.06.14 - Sunbelt 3.2.1858.2 2009.06.14 - Symantec 1.4.4.12 2009.06.14 - TheHacker 6.3.4.3.345 2009.06.13 - TrendMicro 8.950.0.1092 2009.06.12 - VBA32 3.12.10.7 2009.06.14 - ViRobot 2009.6.13.1785 2009.06.13 - VirusBuster 4.6.5.0 2009.06.14 - Information additionnelle File size: 81920 bytes MD5 : 339e12575a4220dd5f72268870a7a1c0 SHA1 : 6b2da0de6bfcf31ab104ea7cdc1b53bac0e615df SHA256: 25ee489748ee3d0209b772a03e0214244e2903051f41131f2e517c6049998c18 PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9661
timedatestamp.....: 0x48A00006 (Mon Aug 11 11:01:58 2008)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9FE6 0xA000 5.93 115f463add43d0bcb8395169b6e09287
.data 0xB000 0x768 0x400 6.54 af707d86c3af563b212b028a114bc749
.rsrc 0xC000 0x97F8 0x9800 4.74 1d060cc8017733e774d6f05f1e07195d

( 7 imports )

> advapi32.dll: RegCloseKey, RegQueryValueExA, RegSetValueExA, RegDeleteValueA, RegOpenKeyExA
> comctl32.dll: InitCommonControlsEx
> gdi32.dll: CreateFontIndirectA, DeleteObject, CreateFontA
> kernel32.dll: CreateEventA, CloseHandle, WaitForSingleObject, SetEvent, OpenMutexA, Sleep, CreateMutexA, ResetEvent, WaitForMultipleObjects, CreateThread, EnterCriticalSection, GetCommandLineA, InitializeCriticalSection, LeaveCriticalSection, GetModuleHandleA, ReleaseMutex, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoA, InterlockedCompareExchange, InterlockedExchange, DeleteCriticalSection, GetLastError
> msvcrt.dll: __getmainargs, _cexit, _exit, _XcptFilter, _ismbblead, exit, _acmdln, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _unlock, __dllonexit, _lock, _onexit, _terminate@@YAXXZ, _controlfp, strstr, strncpy, sprintf, __2@YAPAXI@Z, memset, _snprintf, _purecall, __3@YAXPAX@Z, _initterm
> user32.dll: GetClassInfoExA, MoveWindow, ShowWindow, MapWindowPoints, GetSystemMetrics, SetCursor, PostMessageA, GetParent, EnableWindow, RedrawWindow, SetTimer, KillTimer, SetWindowTextA, SetForegroundWindow, GetDlgCtrlID, SetFocus, UnionRect, RegisterDeviceNotificationA, LoadImageA, PostQuitMessage, UnregisterDeviceNotification, DestroyIcon, MessageBoxA, DispatchMessageA, IsDialogMessageA, TranslateMessage, GetLastActivePopup, GetMessageA, FindWindowA, EnumChildWindows, RegisterClassExA, GetWindowRect, GetClientRect, GetDesktopWindow, PtInRect, SetWindowPos, GetWindowLongA, SetWindowLongA, SendMessageA, CreateWindowExA, SystemParametersInfoA, DefWindowProcA, IsWindow, DestroyWindow, LoadStringA, LoadCursorA, GetSysColorBrush
> zmghpap.dll: _initiate_reset@iAudioDevice@@QAEHXZ, _set_device_parameter@iAudioDevice@@QAEHPBDHPAXH@Z, _create_audio_device@@YAPAViAudioDevice@@XZ, _get_streaming_status@iAudioDevice@@QAEHPAUstreaming_status_t@@@Z, _create_audio_device_impl@@YAPAViAudioDevice@@PBD@Z, _custom_name@iAudioDevice@@QAEPBDXZ, _info@iAudioDevice@@QBEABUdevice_info@@XZ, _get_device_info_ex@iAudioDevice@@QAEHPAUdevice_info_ex@@@Z, _get_info@iUSBAudioDevice@@QAEHPAUdevice_info_usb@@@Z, _get_info@i1394AudioDevice@@QAEHPAUdevice_info_1394@@@Z, _enum_driver_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _delete_driver_parameter@iAudioDevice@@QAEHPBD@Z, _get_driver_parameter@iAudioDevice@@QAEHPBDPAK@Z, _set_driver_parameter@iAudioDevice@@QAEHPBDK@Z, _enum_compatible_devices@@YAHPBDPADPAUdevice_enum_t@@PAHH@Z, _enum_device_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _delete_device_parameter@iAudioDevice@@QAEHPBD@Z, _get_device_parameter@iAudioDevice@@QAEHPBDPAK@Z, _set_device_parameter@iAudioDevice@@QAEHPBDK@Z, _destroy_audio_device@@YAXPAViAudioDevice@@@Z

( 0 exports )
TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 1536:R9BUUuvBTwnDhLBROPklvBcdqRl2ujq/eWz29S9OLaqrX:RTcPQl2ujq/eWa9SsLaqr PEiD : - RDS : NSRL Reference Data Set
-

mimoire · Answer

c'est vrai que la date au début du rapport est bizare!!!

gen-hackman · Answer

meme chose avec ces trois fichiers ? 

C:\WINDOWS\System32\zmghpap.dll   
C:\WINDOWS\System32\zmghpaso.dll   
C:\WINDOWS\System32\zmghpcoinst.dll 
?G3?-?@¢??@?(TM)©®?

Xplode · Answer

Re,

Suis plutôt cette procédure :

-+-+-+-+-> Virustotal <-+-+-+-+-


[x] Rends toi sur ce site puis cliques sur " Choisissez un fichier ".

[x] Sélectionne ce fichier : C:\WINDOWS\System32\zmghpaudcp.exe  puis cliques sur " Ouvrir ". Patiente pendant l'envoi.

[x] Si il est indiqué que le fichier a déjà été analysé, clique sur " Réanalyser ".

[x] Copie/Colle le rapport affiché à l'écran dans ta prochaine réponse.

mimoire · Answer

rapport non formaté.....la meme chose que précédemment:
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.18 	2009.06.14 	-
AhnLab-V3 	5.0.0.2 	2009.06.14 	-
AntiVir 	7.9.0.187 	2009.06.14 	-
Antiy-AVL 	2.0.3.1 	2009.06.12 	-
Authentium 	5.1.2.4 	2009.06.14 	-
Avast 	4.8.1335.0 	2009.06.14 	-
AVG 	8.5.0.339 	2009.06.14 	-
BitDefender 	7.2 	2009.06.14 	-
CAT-QuickHeal 	10.00 	2009.06.13 	-
ClamAV 	0.94.1 	2009.06.14 	-
Comodo 	1320 	2009.06.14 	-
DrWeb 	5.0.0.12182 	2009.06.14 	-
eSafe 	7.0.17.0 	2009.06.11 	-
eTrust-Vet 	31.6.6556 	2009.06.12 	-
F-Prot 	4.4.4.56 	2009.06.14 	-
F-Secure 	8.0.14470.0 	2009.06.13 	-
Fortinet 	3.117.0.0 	2009.06.14 	-
GData 	19 	2009.06.14 	-
Ikarus 	T3.1.1.59.0 	2009.06.14 	-
K7AntiVirus 	7.10.762 	2009.06.12 	-
Kaspersky 	7.0.0.125 	2009.06.14 	-
McAfee 	5646 	2009.06.14 	-
McAfee+Artemis 	5646 	2009.06.14 	-
McAfee-GW-Edition 	6.7.6 	2009.06.14 	-
Microsoft 	1.4701 	2009.06.14 	-
NOD32 	4153 	2009.06.14 	-
Norman 		2009.06.12 	-
nProtect 	2009.1.8.0 	2009.06.14 	-
Panda 	10.0.0.14 	2009.06.14 	-
PCTools 	4.4.2.0 	2009.06.12 	-
Prevx 	3.0 	2009.06.14 	-
Rising 	21.33.62.00 	2009.06.14 	-
Sophos 	4.42.0 	2009.06.14 	-
Sunbelt 	3.2.1858.2 	2009.06.14 	-
Symantec 	1.4.4.12 	2009.06.14 	-
TheHacker 	6.3.4.3.345 	2009.06.13 	-
TrendMicro 	8.950.0.1092 	2009.06.12 	-
VBA32 	3.12.10.7 	2009.06.14 	-
ViRobot 	2009.6.13.1785 	2009.06.13 	-
VirusBuster 	4.6.5.0 	2009.06.14 	-
Information additionnelle
File size: 81920 bytes
MD5   : 339e12575a4220dd5f72268870a7a1c0
SHA1  : 6b2da0de6bfcf31ab104ea7cdc1b53bac0e615df
SHA256: 25ee489748ee3d0209b772a03e0214244e2903051f41131f2e517c6049998c18
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9661
timedatestamp.....: 0x48A00006 (Mon Aug 11 11:01:58 2008)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9FE6 0xA000 5.93 115f463add43d0bcb8395169b6e09287
.data 0xB000 0x768 0x400 6.54 af707d86c3af563b212b028a114bc749
.rsrc 0xC000 0x97F8 0x9800 4.74 1d060cc8017733e774d6f05f1e07195d

( 7 imports )

> advapi32.dll: RegCloseKey, RegQueryValueExA, RegSetValueExA, RegDeleteValueA, RegOpenKeyExA
> comctl32.dll: InitCommonControlsEx
> gdi32.dll: CreateFontIndirectA, DeleteObject, CreateFontA
> kernel32.dll: CreateEventA, CloseHandle, WaitForSingleObject, SetEvent, OpenMutexA, Sleep, CreateMutexA, ResetEvent, WaitForMultipleObjects, CreateThread, EnterCriticalSection, GetCommandLineA, InitializeCriticalSection, LeaveCriticalSection, GetModuleHandleA, ReleaseMutex, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoA, InterlockedCompareExchange, InterlockedExchange, DeleteCriticalSection, GetLastError
> msvcrt.dll: __getmainargs, _cexit, _exit, _XcptFilter, _ismbblead, exit, _acmdln, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _unlock, __dllonexit, _lock, _onexit, _terminate@@YAXXZ, _controlfp, strstr, strncpy, sprintf, __2@YAPAXI@Z, memset, _snprintf, _purecall, __3@YAXPAX@Z, _initterm
> user32.dll: GetClassInfoExA, MoveWindow, ShowWindow, MapWindowPoints, GetSystemMetrics, SetCursor, PostMessageA, GetParent, EnableWindow, RedrawWindow, SetTimer, KillTimer, SetWindowTextA, SetForegroundWindow, GetDlgCtrlID, SetFocus, UnionRect, RegisterDeviceNotificationA, LoadImageA, PostQuitMessage, UnregisterDeviceNotification, DestroyIcon, MessageBoxA, DispatchMessageA, IsDialogMessageA, TranslateMessage, GetLastActivePopup, GetMessageA, FindWindowA, EnumChildWindows, RegisterClassExA, GetWindowRect, GetClientRect, GetDesktopWindow, PtInRect, SetWindowPos, GetWindowLongA, SetWindowLongA, SendMessageA, CreateWindowExA, SystemParametersInfoA, DefWindowProcA, IsWindow, DestroyWindow, LoadStringA, LoadCursorA, GetSysColorBrush
> zmghpap.dll: _initiate_reset@iAudioDevice@@QAEHXZ, _set_device_parameter@iAudioDevice@@QAEHPBDHPAXH@Z, _create_audio_device@@YAPAViAudioDevice@@XZ, _get_streaming_status@iAudioDevice@@QAEHPAUstreaming_status_t@@@Z, _create_audio_device_impl@@YAPAViAudioDevice@@PBD@Z, _custom_name@iAudioDevice@@QAEPBDXZ, _info@iAudioDevice@@QBEABUdevice_info@@XZ, _get_device_info_ex@iAudioDevice@@QAEHPAUdevice_info_ex@@@Z, _get_info@iUSBAudioDevice@@QAEHPAUdevice_info_usb@@@Z, _get_info@i1394AudioDevice@@QAEHPAUdevice_info_1394@@@Z, _enum_driver_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _delete_driver_parameter@iAudioDevice@@QAEHPBD@Z, _get_driver_parameter@iAudioDevice@@QAEHPBDPAK@Z, _set_driver_parameter@iAudioDevice@@QAEHPBDK@Z, _enum_compatible_devices@@YAHPBDPADPAUdevice_enum_t@@PAHH@Z, _enum_device_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _delete_device_parameter@iAudioDevice@@QAEHPBD@Z, _get_device_parameter@iAudioDevice@@QAEHPBDPAK@Z, _set_device_parameter@iAudioDevice@@QAEHPBDK@Z, _destroy_audio_device@@YAXPAViAudioDevice@@@Z

( 0 exports )
TrID  : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 1536:R9BUUuvBTwnDhLBROPklvBcdqRl2ujq/eWz29S9OLaqrX:RTcPQl2ujq/eWa9SsLaqr
PEiD  : -
RDS   : NSRL Reference Data Set
-

gen-hackman · Answer

suis ceci maintenant 

https://forums.commentcamarche.net/forum/affich-18249294-virus-type-rootkit?page=5#104
?G3?-?@¢??@?(TM)©®?

mimoire · Answer

j'ai bien compris ce que vous me dites:
virustotal.....selectionner fichier "Zmghpaudep.exe......analyse.....afficher rapport.....formaté.....copier/coller

gen-hackman · Answer

oui oui mais au bout du lien je t'ai mis trois autres fichiers à analyser

mimoire · Answer

voila le premier:zmghpap.dll Fichier 590EA5F400D5170572B600D6C0BF0800A8B2B1E0.dll reçu le 2009.06.14 20:18:22 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.06.14 - AhnLab-V3 5.0.0.2 2009.06.14 - AntiVir 7.9.0.187 2009.06.14 - Antiy-AVL 2.0.3.1 2009.06.12 - Authentium 5.1.2.4 2009.06.14 - Avast 4.8.1335.0 2009.06.14 - AVG 8.5.0.339 2009.06.14 - BitDefender 7.2 2009.06.14 - CAT-QuickHeal 10.00 2009.06.13 - ClamAV 0.94.1 2009.06.14 - Comodo 1320 2009.06.14 - DrWeb 5.0.0.12182 2009.06.14 - eSafe 7.0.17.0 2009.06.11 - eTrust-Vet 31.6.6556 2009.06.12 - F-Prot 4.4.4.56 2009.06.14 - F-Secure 8.0.14470.0 2009.06.13 - Fortinet 3.117.0.0 2009.06.14 - GData 19 2009.06.14 - Ikarus T3.1.1.59.0 2009.06.14 - K7AntiVirus 7.10.762 2009.06.12 - McAfee 5646 2009.06.14 - McAfee+Artemis 5646 2009.06.14 - McAfee-GW-Edition 6.7.6 2009.06.14 - Microsoft 1.4701 2009.06.14 - NOD32 4153 2009.06.14 - Norman 2009.06.12 - nProtect 2009.1.8.0 2009.06.14 - Panda 10.0.0.14 2009.06.14 - PCTools 4.4.2.0 2009.06.12 - Prevx 3.0 2009.06.14 - Rising 21.33.62.00 2009.06.14 - Sophos 4.42.0 2009.06.14 - Sunbelt 3.2.1858.2 2009.06.14 - Symantec 1.4.4.12 2009.06.14 - TheHacker 6.3.4.3.345 2009.06.13 - TrendMicro 8.950.0.1092 2009.06.12 - VBA32 3.12.10.7 2009.06.14 - ViRobot 2009.6.13.1785 2009.06.13 - VirusBuster 4.6.5.0 2009.06.14 - Information additionnelle File size: 29184 bytes MD5 : 27086f4409f1fbf5946b7dc43b41f6b5 SHA1 : 7891540087df21dac5ff741b96c30a32d6f13528 SHA256: da3a97d4d89b6f9931d488e948e9018f9465951029b1035c6ecf61f488c0bc4f PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4B0C
timedatestamp.....: 0x48A00002 (Mon Aug 11 11:01:54 2008)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5A15 0x5C00 6.19 06cf56400b26b5cd77fe78c463f7d573
.data 0x7000 0x6EC 0x400 6.37 cb18fbf8e97b82c0076b1437aa0bed3d
.rsrc 0x8000 0x460 0x600 2.62 f2f0358ec39b9d5be581857b7873ea04
.reloc 0x9000 0x654 0x800 3.37 f10a29e6f548183ce164bacf9b2974cb

( 4 imports )

> kernel32.dll: InterlockedCompareExchange, SetEvent, WaitForSingleObject, CreateMutexA, ReleaseMutex, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, RtlUnwind, Sleep, InterlockedExchange, CreateProcessA, CreateFileA, CreateEventA, CreateThread, LocalAlloc, DeviceIoControl, GetLastError, LocalFree, WaitForMultipleObjects, ResetEvent, CloseHandle
> msvcrt.dll: _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, malloc, free, __2@YAPAXI@Z, __3@YAXPAX@Z, memcpy, _stricmp, _snprintf, memset, strncpy, strchr, qsort, strncmp
> setupapi.dll: SetupDiGetDeviceInterfaceDetailA, SetupDiEnumDeviceInterfaces, SetupDiEnumDeviceInfo, SetupDiDestroyDeviceInfoList, SetupDiGetClassDevsA
> user32.dll: MessageBoxA

( 1 exports )

> __0i1394AudioDevice@@QAE@XZ, __0iAudioDevice@@QAE@XZ, __0iUSBAudioDevice@@QAE@XZ, __1i1394AudioDevice@@UAE@XZ, __1iAudioDevice@@UAE@XZ, __1iUSBAudioDevice@@UAE@XZ, ___7i1394AudioDevice@@6B@, ___7iAudioDevice@@6B@, ___7iUSBAudioDevice@@6B@, _async_compare_swap@i1394AudioDevice@@QAEHUCE1394_ADDRESS@@KK@Z, _async_read@i1394AudioDevice@@QAEHUCE1394_ADDRESS@@HPAX@Z, _async_write@i1394AudioDevice@@QAEHUCE1394_ADDRESS@@HPAX@Z, _ceapi_set_trace_level@@YAXHPBD@Z, _close@i1394AudioDevice@@UAEHXZ, _close@iAudioDevice@@UAEHXZ, _close@iUSBAudioDevice@@UAEHXZ, _create_1394_audio_device@@YAPAVi1394AudioDevice@@XZ, _create_audio_device@@YAPAViAudioDevice@@XZ, _create_audio_device_impl@@YAPAViAudioDevice@@PBD@Z, _create_usb_audio_device@@YAPAViUSBAudioDevice@@XZ, _ctrl@iAudioDevice@@QAEHHPAXHAAH@Z, _custom_name@iAudioDevice@@QAEPBDXZ, _delete_device_parameter@iAudioDevice@@QAEHPBD@Z, _delete_driver_parameter@iAudioDevice@@QAEHPBD@Z, _describe_channel@iAudioDevice@@UAEHHPAUchannel_info_t@@@Z, _describe_clocksource@iAudioDevice@@UAEHHPAD@Z, _destroy_audio_device@@YAXPAViAudioDevice@@@Z, _enum_compatible_devices@@YAHPBDPADPAUdevice_enum_t@@PAHH@Z, _enum_device_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _enum_driver_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _get_clocksource@iAudioDevice@@UAEHPAUclock_status_t@@@Z, _get_clocksource_support@iAudioDevice@@UAEHXZ, _get_device_info_ex@iAudioDevice@@QAEHPAUdevice_info_ex@@@Z, _get_device_parameter@iAudioDevice@@QAEHPBDAAHPAX1@Z, _get_device_parameter@iAudioDevice@@QAEHPBDPADAAH@Z, _get_device_parameter@iAudioDevice@@QAEHPBDPAK@Z, _get_driver_info@iAudioDevice@@QAEHPAUdriver_info@@@Z, _get_driver_parameter@iAudioDevice@@QAEHPBDAAHPAX1@Z, _get_driver_parameter@iAudioDevice@@QAEHPBDPADAAH@Z, _get_driver_parameter@iAudioDevice@@QAEHPBDPAK@Z, _get_info@i1394AudioDevice@@QAEHPAUdevice_info_1394@@@Z, _get_info@iUSBAudioDevice@@QAEHPAUdevice_info_usb@@@Z, _get_latencies@iAudioDevice@@UAEHPAUlatency_info_t@@@Z, _get_path@iAudioDevice@@QAEPADXZ, _get_samplerate@iAudioDevice@@UAEHXZ, _get_samplerate_support@iAudioDevice@@UAEHXZ, _get_status@iAudioDevice@@QAEHPAXPAHPAUdevice_status_t@@@Z, _get_streaming_status@iAudioDevice@@QAEHPAUstreaming_status_t@@@Z, _info@iAudioDevice@@QBEABUdevice_info@@XZ, _initiate_reset@iAudioDevice@@QAEHXZ, _join@iAudioDevice@@QAEHPAPAX@Z, _model@i1394AudioDevice@@UAEHXZ, _model@iAudioDevice@@UAEHXZ, _model@iUSBAudioDevice@@UAEHXZ, _open@i1394AudioDevice@@UAEHPBD0PAVDeviceNotificationHandler@@@Z, _open@iAudioDevice@@UAEHPBD0PAVDeviceNotificationHandler@@@Z, _open@iUSBAudioDevice@@UAEHPBD0PAVDeviceNotificationHandler@@@Z, _read_csr@i1394AudioDevice@@QAEHHPAKH@Z, _recv_hid@iUSBAudioDevice@@QAEHPAHPAE@Z, _recv_sysex@iUSBAudioDevice@@QAEHPAHPAE@Z, _register_notification@iAudioDevice@@UAEHPAXH@Z, _release@iAudioDevice@@QAEHPAX@Z, _send_avc_command@i1394AudioDevice@@QAEHHEEPAXHAAE0AAH@Z, _send_hid@iUSBAudioDevice@@QAEHHPAE@Z, _send_sysex@iUSBAudioDevice@@QAEHHPAE@Z, _set_clocksource@iAudioDevice@@UAEHH@Z, _set_device_parameter@iAudioDevice@@QAEHPBDHPAXH@Z, _set_device_parameter@iAudioDevice@@QAEHPBDK@Z, _set_device_parameter@iAudioDevice@@QAEHPBDPAD@Z, _set_driver_parameter@iAudioDevice@@QAEHPBDHPAXH@Z, _set_driver_parameter@iAudioDevice@@QAEHPBDK@Z, _set_driver_parameter@iAudioDevice@@QAEHPBDPAD@Z, _set_input_monitoring@iAudioDevice@@UAEHHHHHH@Z, _set_samplerate@iAudioDevice@@UAEHH@Z, _unregister_notification@iAudioDevice@@UAEHXZ, _vendor@i1394AudioDevice@@UAEHXZ, _vendor@iAudioDevice@@UAEHXZ, _vendor@iUSBAudioDevice@@UAEHXZ, _vendor_specific_request@iAudioDevice@@UAEHPAXPAH@Z, _write_csr@i1394AudioDevice@@QAEHHPAKH@Z, CEControlPanel, CEVSAPI_create, CEVSAPI_destroy, CEVSAPI_get_info, CEVSAPI_recv_sysex, CEVSAPI_send_sysex TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 384:Ab7MivQXxl00YwH0YMeyZFlvJSk/jg6h4ka1U/CYQBeUxtIflrv:Ab7MiYXx/H8x74MhsznED PEiD : - RDS : NSRL Reference Data Set
- Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.06.14 - AhnLab-V3 5.0.0.2 2009.06.14 - AntiVir 7.9.0.187 2009.06.14 - Antiy-AVL 2.0.3.1 2009.06.12 - Authentium 5.1.2.4 2009.06.14 - Avast 4.8.1335.0 2009.06.14 - AVG 8.5.0.339 2009.06.14 - BitDefender 7.2 2009.06.14 - CAT-QuickHeal 10.00 2009.06.13 - ClamAV 0.94.1 2009.06.14 - Comodo 1320 2009.06.14 - DrWeb 5.0.0.12182 2009.06.14 - eSafe 7.0.17.0 2009.06.11 - eTrust-Vet 31.6.6556 2009.06.12 - F-Prot 4.4.4.56 2009.06.14 - F-Secure 8.0.14470.0 2009.06.13 - Fortinet 3.117.0.0 2009.06.14 - GData 19 2009.06.14 - Ikarus T3.1.1.59.0 2009.06.14 - K7AntiVirus 7.10.762 2009.06.12 - McAfee 5646 2009.06.14 - McAfee+Artemis 5646 2009.06.14 - McAfee-GW-Edition 6.7.6 2009.06.14 - Microsoft 1.4701 2009.06.14 - NOD32 4153 2009.06.14 - Norman 2009.06.12 - nProtect 2009.1.8.0 2009.06.14 - Panda 10.0.0.14 2009.06.14 - PCTools 4.4.2.0 2009.06.12 - Prevx 3.0 2009.06.14 - Rising 21.33.62.00 2009.06.14 - Sophos 4.42.0 2009.06.14 - Sunbelt 3.2.1858.2 2009.06.14 - Symantec 1.4.4.12 2009.06.14 - TheHacker 6.3.4.3.345 2009.06.13 - TrendMicro 8.950.0.1092 2009.06.12 - VBA32 3.12.10.7 2009.06.14 - ViRobot 2009.6.13.1785 2009.06.13 - VirusBuster 4.6.5.0 2009.06.14 - Information additionnelle File size: 29184 bytes MD5 : 27086f4409f1fbf5946b7dc43b41f6b5 SHA1 : 7891540087df21dac5ff741b96c30a32d6f13528 SHA256: da3a97d4d89b6f9931d488e948e9018f9465951029b1035c6ecf61f488c0bc4f PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4B0C
timedatestamp.....: 0x48A00002 (Mon Aug 11 11:01:54 2008)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5A15 0x5C00 6.19 06cf56400b26b5cd77fe78c463f7d573
.data 0x7000 0x6EC 0x400 6.37 cb18fbf8e97b82c0076b1437aa0bed3d
.rsrc 0x8000 0x460 0x600 2.62 f2f0358ec39b9d5be581857b7873ea04
.reloc 0x9000 0x654 0x800 3.37 f10a29e6f548183ce164bacf9b2974cb

( 4 imports )

> kernel32.dll: InterlockedCompareExchange, SetEvent, WaitForSingleObject, CreateMutexA, ReleaseMutex, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, RtlUnwind, Sleep, InterlockedExchange, CreateProcessA, CreateFileA, CreateEventA, CreateThread, LocalAlloc, DeviceIoControl, GetLastError, LocalFree, WaitForMultipleObjects, ResetEvent, CloseHandle
> msvcrt.dll: _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, malloc, free, __2@YAPAXI@Z, __3@YAXPAX@Z, memcpy, _stricmp, _snprintf, memset, strncpy, strchr, qsort, strncmp
> setupapi.dll: SetupDiGetDeviceInterfaceDetailA, SetupDiEnumDeviceInterfaces, SetupDiEnumDeviceInfo, SetupDiDestroyDeviceInfoList, SetupDiGetClassDevsA
> user32.dll: MessageBoxA

( 1 exports )

> __0i1394AudioDevice@@QAE@XZ, __0iAudioDevice@@QAE@XZ, __0iUSBAudioDevice@@QAE@XZ, __1i1394AudioDevice@@UAE@XZ, __1iAudioDevice@@UAE@XZ, __1iUSBAudioDevice@@UAE@XZ, ___7i1394AudioDevice@@6B@, ___7iAudioDevice@@6B@, ___7iUSBAudioDevice@@6B@, _async_compare_swap@i1394AudioDevice@@QAEHUCE1394_ADDRESS@@KK@Z, _async_read@i1394AudioDevice@@QAEHUCE1394_ADDRESS@@HPAX@Z, _async_write@i1394AudioDevice@@QAEHUCE1394_ADDRESS@@HPAX@Z, _ceapi_set_trace_level@@YAXHPBD@Z, _close@i1394AudioDevice@@UAEHXZ, _close@iAudioDevice@@UAEHXZ, _close@iUSBAudioDevice@@UAEHXZ, _create_1394_audio_device@@YAPAVi1394AudioDevice@@XZ, _create_audio_device@@YAPAViAudioDevice@@XZ, _create_audio_device_impl@@YAPAViAudioDevice@@PBD@Z, _create_usb_audio_device@@YAPAViUSBAudioDevice@@XZ, _ctrl@iAudioDevice@@QAEHHPAXHAAH@Z, _custom_name@iAudioDevice@@QAEPBDXZ, _delete_device_parameter@iAudioDevice@@QAEHPBD@Z, _delete_driver_parameter@iAudioDevice@@QAEHPBD@Z, _describe_channel@iAudioDevice@@UAEHHPAUchannel_info_t@@@Z, _describe_clocksource@iAudioDevice@@UAEHHPAD@Z, _destroy_audio_device@@YAXPAViAudioDevice@@@Z, _enum_compatible_devices@@YAHPBDPADPAUdevice_enum_t@@PAHH@Z, _enum_device_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _enum_driver_param_descriptors@iAudioDevice@@QAEHHPAUce_param_descriptor@@@Z, _get_clocksource@iAudioDevice@@UAEHPAUclock_status_t@@@Z, _get_clocksource_support@iAudioDevice@@UAEHXZ, _get_device_info_ex@iAudioDevice@@QAEHPAUdevice_info_ex@@@Z, _get_device_parameter@iAudioDevice@@QAEHPBDAAHPAX1@Z, _get_device_parameter@iAudioDevice@@QAEHPBDPADAAH@Z, _get_device_parameter@iAudioDevice@@QAEHPBDPAK@Z, _get_driver_info@iAudioDevice@@QAEHPAUdriver_info@@@Z, _get_driver_parameter@iAudioDevice@@QAEHPBDAAHPAX1@Z, _get_driver_parameter@iAudioDevice@@QAEHPBDPADAAH@Z, _get_driver_parameter@iAudioDevice@@QAEHPBDPAK@Z, _get_info@i1394AudioDevice@@QAEHPAUdevice_info_1394@@@Z, _get_info@iUSBAudioDevice@@QAEHPAUdevice_info_usb@@@Z, _get_latencies@iAudioDevice@@UAEHPAUlatency_info_t@@@Z, _get_path@iAudioDevice@@QAEPADXZ, _get_samplerate@iAudioDevice@@UAEHXZ, _get_samplerate_support@iAudioDevice@@UAEHXZ, _get_status@iAudioDevice@@QAEHPAXPAHPAUdevice_status_t@@@Z, _get_streaming_status@iAudioDevice@@QAEHPAUstreaming_status_t@@@Z, _info@iAudioDevice@@QBEABUdevice_info@@XZ, _initiate_reset@iAudioDevice@@QAEHXZ, _join@iAudioDevice@@QAEHPAPAX@Z, _model@i1394AudioDevice@@UAEHXZ, _model@iAudioDevice@@UAEHXZ, _model@iUSBAudioDevice@@UAEHXZ, _open@i1394AudioDevice@@UAEHPBD0PAVDeviceNotificationHandler@@@Z, _open@iAudioDevice@@UAEHPBD0PAVDeviceNotificationHandler@@@Z, _open@iUSBAudioDevice@@UAEHPBD0PAVDeviceNotificationHandler@@@Z, _read_csr@i1394AudioDevice@@QAEHHPAKH@Z, _recv_hid@iUSBAudioDevice@@QAEHPAHPAE@Z, _recv_sysex@iUSBAudioDevice@@QAEHPAHPAE@Z, _register_notification@iAudioDevice@@UAEHPAXH@Z, _release@iAudioDevice@@QAEHPAX@Z, _send_avc_command@i1394AudioDevice@@QAEHHEEPAXHAAE0AAH@Z, _send_hid@iUSBAudioDevice@@QAEHHPAE@Z, _send_sysex@iUSBAudioDevice@@QAEHHPAE@Z, _set_clocksource@iAudioDevice@@UAEHH@Z, _set_device_parameter@iAudioDevice@@QAEHPBDHPAXH@Z, _set_device_parameter@iAudioDevice@@QAEHPBDK@Z, _set_device_parameter@iAudioDevice@@QAEHPBDPAD@Z, _set_driver_parameter@iAudioDevice@@QAEHPBDHPAXH@Z, _set_driver_parameter@iAudioDevice@@QAEHPBDK@Z, _set_driver_parameter@iAudioDevice@@QAEHPBDPAD@Z, _set_input_monitoring@iAudioDevice@@UAEHHHHHH@Z, _set_samplerate@iAudioDevice@@UAEHH@Z, _unregister_notification@iAudioDevice@@UAEHXZ, _vendor@i1394AudioDevice@@UAEHXZ, _vendor@iAudioDevice@@UAEHXZ, _vendor@iUSBAudioDevice@@UAEHXZ, _vendor_specific_request@iAudioDevice@@UAEHPAXPAH@Z, _write_csr@i1394AudioDevice@@QAEHHPAKH@Z, CEControlPanel, CEVSAPI_create, CEVSAPI_destroy, CEVSAPI_get_info, CEVSAPI_recv_sysex, CEVSAPI_send_sysex TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 384:Ab7MivQXxl00YwH0YMeyZFlvJSk/jg6h4ka1U/CYQBeUxtIflrv:Ab7MiYXx/H8x74MhsznED PEiD : - RDS : NSRL Reference Data Set
-

mimoire · Answer

le deuxieme zmghpaso.dll Fichier DPTYWRWLEV-727.pms.dll.SVD reçu le 2009.02.16 19:01:53 (UTC) Antivirus Version Dernière mise à jour Résultat AhnLab-V3 2009.2.16.2 2009.02.16 - AntiVir 7.9.0.79 2009.02.16 - Authentium 5.1.0.4 2009.02.16 - Avast 4.8.1335.0 2009.02.16 - AVG 8.0.0.237 2009.02.16 - BitDefender 7.2 2009.02.16 - CAT-QuickHeal 10.00 2009.02.16 - ClamAV 0.94.1 2009.02.16 - Comodo 974 2009.02.16 - DrWeb 4.44.0.09170 2009.02.16 - eSafe 7.0.17.0 2009.02.15 - eTrust-Vet 31.6.6360 2009.02.16 - F-Prot 4.4.4.56 2009.02.16 - F-Secure 8.0.14470.0 2009.02.16 - Fortinet 3.117.0.0 2009.02.16 - GData 19 2009.02.16 - Ikarus T3.1.1.45.0 2009.02.16 - K7AntiVirus 7.10.582 2009.01.09 - Kaspersky 7.0.0.125 2009.02.16 - McAfee 5528 2009.02.16 - McAfee+Artemis 5528 2009.02.16 - Microsoft 1.4306 2009.02.16 - NOD32 3857 2009.02.16 - Norman 2009.02.13 - Panda 9.4.3.20 2009.02.16 - PCTools 4.4.2.0 2009.02.16 - Prevx1 V2 2009.02.16 - Rising 21.17.02.00 2009.02.16 - SecureWeb-Gateway 6.7.6 2009.02.16 - Sophos 4.38.0 2009.02.16 - Sunbelt 3.2.1851.2 2009.02.12 - Symantec 10 2009.02.16 - TheHacker 6.3.2.2.258 2009.02.16 - TrendMicro 8.700.0.1004 2009.02.16 - VBA32 3.12.8.12 2009.02.16 - ViRobot 2009.2.16.1609 2009.02.16 - VirusBuster 4.5.11.0 2009.02.16 - Information additionnelle File size: 47616 bytes MD5 : 2d4c9e6968768e46f9b92280f7f6f762 SHA1 : 973564ec439ec1bc592315cccc8291ed9f154da5 SHA256: ea6d6285a7feca511639dd4fd5cd271c8510186836d5a521c11f001290af4d4d PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x98B5
timedatestamp.....: 0x48A00008 (Mon Aug 11 11:02:00 2008)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9E48 0xA000 5.44 a63df6618823d343501d11909bc244e5
.data 0xB000 0x954 0x400 6.54 a66bbffa0b6b18e6b55181cb78990fd7
.rsrc 0xC000 0x7E8 0x800 3.35 0bb26bced1b53e55214655cb807d4f23
.reloc 0xD000 0x936 0xA00 4.70 88efcc911b1227e3e6fc24013b1db3f1

( 0 imports )

( 0 exports )
TrID : File type identification
DirectShow filter (77.7%)
Win32 Executable MS Visual C++ (generic) (14.5%)
Win32 Executable Generic (3.2%)
Win32 Dynamic Link Library (generic) (2.9%)
Generic Win/DOS Executable (0.7%) ssdeep: 768:x76t7Ep+wB0XZoLn27io0Cgx1rqeV5uxT4BFHCJ8hgnt:BCEp+w++LnMioWx1GK5s4HCJcw PEiD : - RDS : NSRL Reference Data Set
- Antivirus Version Dernière mise à jour Résultat AhnLab-V3 2009.2.16.2 2009.02.16 - AntiVir 7.9.0.79 2009.02.16 - Authentium 5.1.0.4 2009.02.16 - Avast 4.8.1335.0 2009.02.16 - AVG 8.0.0.237 2009.02.16 - BitDefender 7.2 2009.02.16 - CAT-QuickHeal 10.00 2009.02.16 - ClamAV 0.94.1 2009.02.16 - Comodo 974 2009.02.16 - DrWeb 4.44.0.09170 2009.02.16 - eSafe 7.0.17.0 2009.02.15 - eTrust-Vet 31.6.6360 2009.02.16 - F-Prot 4.4.4.56 2009.02.16 - F-Secure 8.0.14470.0 2009.02.16 - Fortinet 3.117.0.0 2009.02.16 - GData 19 2009.02.16 - Ikarus T3.1.1.45.0 2009.02.16 - K7AntiVirus 7.10.582 2009.01.09 - Kaspersky 7.0.0.125 2009.02.16 - McAfee 5528 2009.02.16 - McAfee+Artemis 5528 2009.02.16 - Microsoft 1.4306 2009.02.16 - NOD32 3857 2009.02.16 - Norman 2009.02.13 - Panda 9.4.3.20 2009.02.16 - PCTools 4.4.2.0 2009.02.16 - Prevx1 V2 2009.02.16 - Rising 21.17.02.00 2009.02.16 - SecureWeb-Gateway 6.7.6 2009.02.16 - Sophos 4.38.0 2009.02.16 - Sunbelt 3.2.1851.2 2009.02.12 - Symantec 10 2009.02.16 - TheHacker 6.3.2.2.258 2009.02.16 - TrendMicro 8.700.0.1004 2009.02.16 - VBA32 3.12.8.12 2009.02.16 - ViRobot 2009.2.16.1609 2009.02.16 - VirusBuster 4.5.11.0 2009.02.16 - Information additionnelle File size: 47616 bytes MD5 : 2d4c9e6968768e46f9b92280f7f6f762 SHA1 : 973564ec439ec1bc592315cccc8291ed9f154da5 SHA256: ea6d6285a7feca511639dd4fd5cd271c8510186836d5a521c11f001290af4d4d PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x98B5
timedatestamp.....: 0x48A00008 (Mon Aug 11 11:02:00 2008)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9E48 0xA000 5.44 a63df6618823d343501d11909bc244e5
.data 0xB000 0x954 0x400 6.54 a66bbffa0b6b18e6b55181cb78990fd7
.rsrc 0xC000 0x7E8 0x800 3.35 0bb26bced1b53e55214655cb807d4f23
.reloc 0xD000 0x936 0xA00 4.70 88efcc911b1227e3e6fc24013b1db3f1

( 0 imports )

( 0 exports )
TrID : File type identification
DirectShow filter (77.7%)
Win32 Executable MS Visual C++ (generic) (14.5%)
Win32 Executable Generic (3.2%)
Win32 Dynamic Link Library (generic) (2.9%)
Generic Win/DOS Executable (0.7%) ssdeep: 768:x76t7Ep+wB0XZoLn27io0Cgx1rqeV5uxT4BFHCJ8hgnt:BCEp+w++LnMioWx1GK5s4HCJcw PEiD : - RDS : NSRL Reference Data Set
-

mimoire · Answer

le dernier...j'ai eu la file d'attente zmghcoinst.dll Fichier zmghpcoinst.dll reçu le 2010.06.25 16:45:15 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 5.0.0.30 2010.06.25 - AhnLab-V3 2010.06.25.04 2010.06.25 - AntiVir 8.2.4.2 2010.06.25 - Antiy-AVL 2.0.3.7 2010.06.25 - Authentium 5.2.0.5 2010.06.25 - Avast 4.8.1351.0 2010.06.25 - Avast5 5.0.332.0 2010.06.25 - AVG 9.0.0.836 2010.06.25 - BitDefender 7.2 2010.06.25 - CAT-QuickHeal 10.00 2010.06.25 - ClamAV 0.96.0.3-git 2010.06.25 - Comodo 5216 2010.06.25 - DrWeb 5.0.2.03300 2010.06.25 - eSafe 7.0.17.0 2010.06.24 - eTrust-Vet 36.1.7666 2010.06.25 - F-Prot 4.6.1.107 2010.06.24 - F-Secure 9.0.15370.0 2010.06.25 - Fortinet 4.1.133.0 2010.06.25 - GData 21 2010.06.25 - Ikarus T3.1.1.84.0 2010.06.25 - Jiangmin 13.0.900 2010.06.15 - Kaspersky 7.0.0.125 2010.06.25 - McAfee 5.400.0.1158 2010.06.25 - McAfee-GW-Edition 2010.1 2010.06.25 - Microsoft 1.5902 2010.06.25 - NOD32 5229 2010.06.25 - Norman 6.05.10 2010.06.25 - nProtect 2010-06-25.01 2010.06.25 - Panda 10.0.2.7 2010.06.25 - PCTools 7.0.3.5 2010.06.25 - Prevx 3.0 2010.06.25 - Rising 22.53.04.05 2010.06.25 - Sophos 4.54.0 2010.06.25 - Sunbelt 6505 2010.06.25 - Symantec 20101.1.0.89 2010.06.25 - TheHacker 6.5.2.0.303 2010.06.25 - TrendMicro 9.120.0.1004 2010.06.25 - TrendMicro-HouseCall 9.120.0.1004 2010.06.25 - VBA32 3.12.12.5 2010.06.25 - ViRobot 2010.6.21.3896 2010.06.25 - VirusBuster 5.0.27.0 2010.06.25 - Information additionnelle File size: 14848 bytes MD5...: aacee777e2c0ed6435935fc40a85a771 SHA1..: 0fdf8cd3367df9b6345b9388303cc83d5eb20e0e SHA256: 05d3f0a6cf6a33cd43d2746fc59037823dc6bac4ca2dc141e24f890501537b1b ssdeep: 384:YHUI7UTlgxhz/grRfbde5a1Daxrf5+PO:YHZoms8Q5aTWO
PEiD..: - PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x25da
timedatestamp.....: 0x48a0001d (Mon Aug 11 09:02:21 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x228c 0x2400 6.07 947055537ca512eb49f4691d8198deb7
.data 0x4000 0x2b0c 0x400 6.37 bd2aabed6760c0f83ba1b00e8b815905
.rsrc 0x7000 0x430 0x600 2.53 874bb664c6d057c699d77a945e603e82
.reloc 0x8000 0x77c 0x800 2.54 1fb9f6fd0bcc118f0b7601f600f46a2c

( 5 imports )
> msvcrt.dll: _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, _splitpath, malloc, free, _strupr, sprintf, fopen, feof, strstr, fgets, strchr, fclose, memset
> KERNEL32.dll: SetUnhandledExceptionFilter, GetVersionExA, GetCurrentDirectoryA, GetLastError, Sleep, SetCurrentDirectoryA, GetModuleFileNameA, InterlockedExchange, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, RtlUnwind, InterlockedCompareExchange
> SETUPAPI.dll: CM_Get_Device_IDA, CM_Get_Device_ID_Size, SetupDiSetDeviceInstallParamsA, SetupDiGetDeviceInstallParamsA
> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegCloseKey
> SHELL32.dll: ShellExecuteA

( 2 exports )
CoInstProc, DllMain
RDS...: NSRL Reference Data Set
- trid..: Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%) pdfid.: - sigcheck:
publisher....: ZOOM
copyright....: Copyright (c) ZOOM Corp., 2008
product......: ZOOM G Series High Performance Audio Driver
description..: Co-Installer
original name: zmghpcoinst.dll
internal name: ZOOM G Series High Performance Audio Driver
file version.: 5.10.00.3501
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Antivirus Version Dernière mise à jour Résultat a-squared 5.0.0.30 2010.06.25 - AhnLab-V3 2010.06.25.04 2010.06.25 - AntiVir 8.2.4.2 2010.06.25 - Antiy-AVL 2.0.3.7 2010.06.25 - Authentium 5.2.0.5 2010.06.25 - Avast 4.8.1351.0 2010.06.25 - Avast5 5.0.332.0 2010.06.25 - AVG 9.0.0.836 2010.06.25 - BitDefender 7.2 2010.06.25 - CAT-QuickHeal 10.00 2010.06.25 - ClamAV 0.96.0.3-git 2010.06.25 - Comodo 5216 2010.06.25 - DrWeb 5.0.2.03300 2010.06.25 - eSafe 7.0.17.0 2010.06.24 - eTrust-Vet 36.1.7666 2010.06.25 - F-Prot 4.6.1.107 2010.06.24 - F-Secure 9.0.15370.0 2010.06.25 - Fortinet 4.1.133.0 2010.06.25 - GData 21 2010.06.25 - Ikarus T3.1.1.84.0 2010.06.25 - Jiangmin 13.0.900 2010.06.15 - Kaspersky 7.0.0.125 2010.06.25 - McAfee 5.400.0.1158 2010.06.25 - McAfee-GW-Edition 2010.1 2010.06.25 - Microsoft 1.5902 2010.06.25 - NOD32 5229 2010.06.25 - Norman 6.05.10 2010.06.25 - nProtect 2010-06-25.01 2010.06.25 - Panda 10.0.2.7 2010.06.25 - PCTools 7.0.3.5 2010.06.25 - Prevx 3.0 2010.06.25 - Rising 22.53.04.05 2010.06.25 - Sophos 4.54.0 2010.06.25 - Sunbelt 6505 2010.06.25 - Symantec 20101.1.0.89 2010.06.25 - TheHacker 6.5.2.0.303 2010.06.25 - TrendMicro 9.120.0.1004 2010.06.25 - TrendMicro-HouseCall 9.120.0.1004 2010.06.25 - VBA32 3.12.12.5 2010.06.25 - ViRobot 2010.6.21.3896 2010.06.25 - VirusBuster 5.0.27.0 2010.06.25 - Information additionnelle File size: 14848 bytes MD5...: aacee777e2c0ed6435935fc40a85a771 SHA1..: 0fdf8cd3367df9b6345b9388303cc83d5eb20e0e SHA256: 05d3f0a6cf6a33cd43d2746fc59037823dc6bac4ca2dc141e24f890501537b1b ssdeep: 384:YHUI7UTlgxhz/grRfbde5a1Daxrf5+PO:YHZoms8Q5aTWO
PEiD..: - PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x25da
timedatestamp.....: 0x48a0001d (Mon Aug 11 09:02:21 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x228c 0x2400 6.07 947055537ca512eb49f4691d8198deb7
.data 0x4000 0x2b0c 0x400 6.37 bd2aabed6760c0f83ba1b00e8b815905
.rsrc 0x7000 0x430 0x600 2.53 874bb664c6d057c699d77a945e603e82
.reloc 0x8000 0x77c 0x800 2.54 1fb9f6fd0bcc118f0b7601f600f46a2c

( 5 imports )
> msvcrt.dll: _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, _splitpath, malloc, free, _strupr, sprintf, fopen, feof, strstr, fgets, strchr, fclose, memset
> KERNEL32.dll: SetUnhandledExceptionFilter, GetVersionExA, GetCurrentDirectoryA, GetLastError, Sleep, SetCurrentDirectoryA, GetModuleFileNameA, InterlockedExchange, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, RtlUnwind, InterlockedCompareExchange
> SETUPAPI.dll: CM_Get_Device_IDA, CM_Get_Device_ID_Size, SetupDiSetDeviceInstallParamsA, SetupDiGetDeviceInstallParamsA
> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegCloseKey
> SHELL32.dll: ShellExecuteA

( 2 exports )
CoInstProc, DllMain
RDS...: NSRL Reference Data Set
- trid..: Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%) pdfid.: - sigcheck:
publisher....: ZOOM
copyright....: Copyright (c) ZOOM Corp., 2008
product......: ZOOM G Series High Performance Audio Driver
description..: Co-Installer
original name: zmghpcoinst.dll
internal name: ZOOM G Series High Performance Audio Driver
file version.: 5.10.00.3501
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

gen-hackman · Answer

tu as un logiciel musique de sequenceur d'installé ?

mimoire · Answer

oui, je travaille avec une zoom G7 comme interface anal/numérique entrée USB sur le pc, avec des pilote ASIO de chez zoom

Xplode · Answer

En parallèle, on va faire un peu de ménage dans les tools utilisés : -+-+-+-+-> Toolscleaner <-+-+-+-+- [x] Télécharge ToolsCleaner ( d'A.Rothstein & Dj Quiou ) sur ton bureau. [x] Lance le puis clique sur [Recherche] [x] Patiente pendant le scan puis clique sur [Suppression] [x] Clique maintenant sur [Quitter] ( pas sur la croix rouge ) pour afficher le rapport. [x] Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\TCleaner.txt Note : Il se peut que le logiciel affiche la mention "Ne répond pas" car il consomme beaucoup de ressources. Il faut patienter quelques minutes. [x] Un tutoriel est disponible ici. Puis ceci : -+-+-+-+-> RSIT <-+-+-+-+- [x] Télécharge RSIT ( de random/random ) sur ton bureau. [x] Lance le ( Utilisateurs de vista/seven -> Clic droit puis [Exécuter en tant qu'administrateur] ) [x] Clique sur [Continue] à l'écran disclaimer. Hijackthis va être téléchargé et tu devras accepter la license. [x] Une fois l'analyse terminée, deux rapports s'ouvriront ( log.txt et info.txt ). [x] Rends toi sur cjoint. Note : Les deux fichiers sont sauvegardés dans le dossier C:\rsit. [x] Clique sur [Choisissez un fichier] et séléctionne le fichier log.txt. [x] Clique ensuite sur [Ouvrir] puis sur [Créer le lien cjoint]. [x] Renouvelle l'opération mais cette fois ci avec le fichier info.txt. [x] Poste les deux liens cjoint créés dans ta prochaine réponse. Note : un tutoriel est disponible ici.

mimoire · Answer

les logiciel qui travaillent avec sont:
VSTHOST
Chainer
Professor

mimoire · Answer

dommage T cleaner a été exécuté/
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\jean terrien\Bureau\avenger.zip: trouvé !
C:\Documents and Settings\jean terrien\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\jean terrien\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\jean terrien\Bureau\avenger: trouvé !
C:\Documents and Settings\jean terrien\Bureau\avenger\avenger.exe: trouvé !
C:\Program Files\List_Kill'em\catchme.exe: trouvé !
C:\Program Files\List_Kill'em\mbr.log: trouvé !
C:\Program Files\List_Kill'em\mbr.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\UsbFix\UsbFix.exe: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\jean terrien\Bureau\avenger.zip: supprimé !
C:\Documents and Settings\jean terrien\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\jean terrien\Bureau\avenger\avenger.exe: supprimé !
C:\Program Files\List_Kill'em\catchme.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\jean terrien\Bureau\Rsit.exe: supprimé !
C:\Program Files\List_Kill'em\mbr.log: supprimé !
C:\Program Files\List_Kill'em\mbr.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\UsbFix\UsbFix.exe: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\jean terrien\Bureau\avenger: supprimé !

gen-hackman · Answer

tant pis.....un composant a été supprimé.....

mimoire · Answer

premier fichier risk
http://www.cijoint.fr/cjlink.php?file=cj201006/cijlQJYc6w.txt

mimoire · Answer

2° fichier
http://www.cijoint.fr/cjlink.php?file=cj201006/cijBrr0DPs.txt

mimoire · Answer

j'ai peut etre une info qui peux vous aider:
quand je telecharge un fichier il se place dans un répertoire "tetechargement. lorsque je fais un glisser sur le bureau il y a un lancement de l'instalation de "easy cd créator" que j'annule plusieurs fois . le fichier place sur le bureau ne s'execute que si je redemare l'ordi

gen-hackman · Answer

fais quand meme ceci , tu auras un message d'erreur à la fin , ignore-le et envoie le rapport 

https://forums.commentcamarche.net/forum/affich-18249294-virus-type-rootkit?full#117
?G3?-?@¢??@?(TM)©®?

mimoire · Answer

tu veux dire List_Kill'em ? ou je le prend? il a du etre supprimé!

mimoire · Answer

je l'ai...c'est parti...

mimoire · Answer

le rapport kill'em
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.1.3 ¤¤¤¤¤¤¤¤¤¤ 
 
User : jean terrien (Administrateurs) 
Update on 21/06/2010 by g3n-h@ckm@n ::::: 14.30
Start at: 20:05:12 | 25/06/2010

AMD Athlon(tm) XP 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 149,04 Go (136,69 Go free) | NTFS
D:\ -> Disque amovible | 969,69 Mo (105,45 Mo free) | FAT
E:\ -> Disque amovible | 62,31 Mo (3,45 Mo free) | FAT
F:\ -> Disque amovible | 3,83 Go (2,97 Go free) [CLE USB] | FAT32
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\WINDOWS\System32\smss.exe----400 Ko
C:\WINDOWS\system32\csrss.exe----3472 Ko
C:\WINDOWS\system32\winlogon.exe----3688 Ko
C:\WINDOWS\system32\services.exe----3476 Ko
C:\WINDOWS\system32\lsass.exe----6100 Ko
C:\WINDOWS\system32\svchost.exe----4760 Ko
C:\WINDOWS\system32\svchost.exe----4080 Ko
C:\WINDOWS\System32\svchost.exe----20268 Ko
C:\WINDOWS\System32\svchost.exe----2832 Ko
C:\WINDOWS\system32\svchost.exe----2896 Ko
C:\WINDOWS\system32\spoolsv.exe----4764 Ko
C:\WINDOWS\system32\logonui.exe----1612 Ko
C:\WINDOWS\Explorer.EXE----10716 Ko
C:\WINDOWS\System32\svchost.exe----3312 Ko
C:\Program Files\Application Updater\ApplicationUpdater.exe----2440 Ko
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe----1736 Ko
C:\Program Files\Java\jre6\bin\jqs.exe----9320 Ko
C:\Program Files\CDBurnerXP\NMSAccessU.exe----1796 Ko
C:\WINDOWS\System32\svchost.exe----4048 Ko
C:\WINDOWS\system32\MsPMSPSv.exe----1508 Ko
C:\WINDOWS\system32\wuauclt.exe----6672 Ko
C:\WINDOWS\system32\cmd.exe----1816 Ko
C:\WINDOWS\System32\alg.exe----3480 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe----6676 Ko
C:\WINDOWS\system32\wscntfy.exe----1952 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE----3048 Ko
C:\Program Files\List_Kill'em\pv.exe----2688 Ko
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp 
Quarantined & Deleted !! : C:\WINDOWS\SETA.tmp 
Quarantined & Deleted !! : C:\WINDOWS\inf
t5java.inf 
 
Quarantined & Deleted !! : C:\Documents and Settings\jean terrien\Application Data\Search Settings 
Quarantined & Deleted !! : C:\Documents and Settings\jean terrien\LOCAL Settings\Temp\~gu-ver.dat 
 
=======
Hosts :
=======

127.0.0.1       localhost   

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}  
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives  
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives  
Deleted : "HKCU\software\microsoft\internet explorer\searchscopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}"  
Deleted : "HKCU\Software\Search Settings"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
Deleted : "HKLM\Software\Search Settings"  
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.com/?gws_rd=ssl
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Search Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
AntiVirusDisableNotify	REG_DWORD      	0 (0x0) 
FirewallDisableNotify	REG_DWORD      	0 (0x0) 
UpdatesDisableNotify	REG_DWORD      	0 (0x0) 
AntiVirusOverride	REG_DWORD      	1 (0x1) 
FirewallOverride	REG_DWORD      	1 (0x1) 
FirstRunDisabled	REG_DWORD      	1 (0x1) 
 
========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
================ 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS 
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

Vu => ............

mimoire · Answer

vous devez en avoir "ras le bol" peut etre on peux continuer demain? si vous trouvez mon idée bonne!

gen-hackman · Answer

pas question de ras le bol c'est tout simplement que la reflexion demande du temps et c'est une maniere de te dire que ton message a été vu :)

mimoire · Answer

ta réponse ne m'a pas semblé tres explicite mais je viens de comprendre......à demain

gen-hackman · Answer

ok je viens de relire ces derniers posts et la modification souhaitée a été apportée :)

rééssaie Findykill option suppression maintenant

mimoire · Answer

meme chose que les autres fois. arret de findykill avant la fin et donc pas de rapport.
bonne soirée tout de meme.

gen-hackman · Answer

alors là.....

mimoire · Answer

Bonjour, que faut-il que je fasse maintenant?

gen-hackman · Answer

bonjour 

tu n'as pas tout de meme Fyk.txt dans C:\ ? 

?G3?-?@¢??@?(TM)©®?

mimoire · Answer

si, dans la racine c: j'ai le fichier texte FyK.txt. je le colle ici:


############################## | FindyKill V5.045 |

# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 10:05:20 | 26/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Disabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (136,56 Go free) # NTFS

################## | Eléments infectieux |

Supprimé ! C:\WINDOWS\prefetch\WINUPGRO.EXE-2D513C93.pf 

################## | MD5 ... |


################## | CRC32 ... |

mimoire · Answer

Findykill a été lancé plusieurs fois. Je ne sais pas d'ou à été généré ce rapport. je peux l'effacé de mon PC et relancer findykill ?

gen-hackman · Answer

attends...ton logiciel zoom , tu l'as eu ou ?

mimoire · Answer

Zoom corporation:
http://www.zoom.co.jp/english/download/software/g71ut.php#c

mimoire · Answer

je suppose que tu parle des drivers pour ma zoom G7 !

gen-hackman · Answer

ok non j'ai cru que tu l'avais telechargé en p2p

je ne comprends tout de meme pas pourquoi les noms des fichiers ne correspondent pas sur virustotal et ca me laisse perplexe...

mimoire · Answer

au lien indiqué plus haut j'ai téléchargé les drivers pour windows xp 32 bits, windows 7 32 et 64 bits

gen-hackman · Answer

???? et tu as tout installé ???

mimoire · Answer

j'ai tout téléchargé à partir du pc infecté et j'ai transferer les fichiers pour wintows 7 dur mon autre pc avec une clef USB.
les drivers ont été installé sur chacun des pc

mimoire · Answer

sur le site que je t'ai indiqué, j'ai telecharge les 3 premiers drivers
http://www.zoom.co.jp/english/download/software/g71ut.php#c

mimoire · Answer

maintenant, le mode sans echec fonctionne

mimoire · Answer

quand tu m'a dis que les noms de fichier ne correspondent pas, j'ai eu l'idée de regarder sur mon PC saint d'accord c'est pas windows xp mais windows 7. tout de meme, dans le répertoire c:\windows\system32 je n'ai pas de fichier exécutable (.exe) de la société zoom en particulier le fichier zmghpaudep.exe qui vous semblais douteux

gen-hackman · Answer

bien fais une mise à jour de malwarebytes et un examen complet en Mode sans echec dans ce cas

mimoire · Answer

mise à jour malware...scan en mode sans échec. j'ai pas enregistré le fichier de rapport !!! mais je suis sur que éléments détecté 0 Désolé! le copier coller ne fonctionne pas en mode sans echec

mimoire · Answer

Je pense que pour vous la satisfaction ce doit etre d'arriver à éradiquer ce virus mais j'ai une solution radicale. Je n'ai plus de lecteur cd en état de marche (ils ne sont plus reconnus) mais si vous me dites comment je fais pour les rendre opérationnels , je pourais reformater mon disque dur....apres tout je n'ai pas tant de choses importantes dessus. Vous en pensez quoi?

gen-hackman · Answer

salut pas tout à fait 

la satisfaction est que tu repartes avec un pc qui fonctionne......

ils n'apparaissent plus dans le poste de travail ?

mimoire · Answer

non,j'ai essayé dans le gestionnaire de périph. de rechercher mais windows me dis qu'il ne trouve pas de meilleur pilote que ceux installés!!!

mimoire · Answer

j'ai aussi essayé de les débrancher (enlever la nappe et l'alim) sur les lecteurs, redémarer l'ordi,arret de l'ordi, tout rebrancher et c'est pareil

gen-hackman · Answer

j'avais repondu mais j'ai dû zapper trop vite la page....

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

mimoire · Answer

otl.txt:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijgAFokIj.txt
extra.txt:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijwFraxmR.txt

gen-hackman · Answer

pffff ! tu t'es encore infecté

C:\Program Files\Application Updater\ApplicationUpdater.exe

mimoire · Answer

que peut-on faire?

gen-hackman · Answer

salut :


&#9654 Télécharge ici : Ad-remover ( de C_XX ) sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9654 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

mimoire · Answer

c'est parti....mais, comme les autres logiciels que vous m'avez demandé de télécharger,apres téléch. il ne s'exécute pas. je suis obligé de redémarer l'ordi pour qu'il s'exécute!

mimoire · Answer

voila:
======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:14:38 le 28/06/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
jean terrien@JEAN-TERRIEN ( ) 
 
============== ACTION(S) ==============

Service: "Application Updater" Stoppé et supprimé 

0,Dossier supprimé: C:\Program Files\Application Updater
3,Fichier supprimé: C:\WINDOWS\Installer\7f08ab.msi  

(!) -- Fichiers temporaires supprimés.


0,Clé supprimée: HKLM\Software\Application Updater


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.4 (fr)] **

-- C:\Documents and Settings\jean terrien\Application Data\Mozilla\FireFox\Profiles\k9f5ugj6.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\jean terrien\Bureau
browser.search.defaultenginename, Yahoo
browser.search.selectedEngine, Yahoo
browser.startup.homepage, www.orange.fr
browser.startup.homepage_override.mstone, rv:1.9.2.4
keyword.URL, hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p=

========================================

** Internet Explorer Version [6.0.2900.5512] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 28/06/2010 (625 Octet(s)) 

Fin à: 10:16:18, 28/06/2010 
 
============== E.O.F ==============

gen-hackman · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : http://www.cijoint.fr/ ▶ Clique sur Parcourir et cherche le fichier ci-dessus. ▶ Clique sur Ouvrir. ▶ Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ▶ Copie ce lien dans ta réponse. ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

mimoire · Answer

l'analyse rapide n'a rien donnée. Je viens de commencer l'analyse complète

gen-hackman · Answer

bien ca peut etre long suivant le contenu de ton pc :)

mimoire · Answer

oui je vois que c'est long. La sans baigner dans un optimisme prématuré, cela me semble sur la bonne voie. Que me conseillerais tu comme protection lorsque tout sera ok?
Avira comme anti virus résident mais comme anti spyware? j'avais a-squared
merci du conseil

gen-hackman · Answer

tout sera expliqué dans le grand final :)

Avira est bien

a-squared , je ne l'ai jamais installé je ne sais pas ce qu'il vaut

mimoire · Answer

je ne suis qu'au début de l'analyse....c'est l'hécatombe......déja 200 fichiers infectés trojan 64364. vu le nombre, j'ai cliqué "oui pour tous"

mimoire · Answer

peut etre voila pourquoi findykill se refermait tout seul.Il est dans la liste des fichiers infectés

gen-hackman · Answer

non ca c'est un detection qu'on apelle faux positif car Findykill , usbfix , navilog , ad-remover , etc.......contiennent des composants qui peuvent aussi bien servir à la desinfection qu'à l'infection suivant les commandes qu'on leur associe...

je me doutais que DrWeb allait trouver quelque chose :)

mimoire · Answer

vous etes des chefs! vu le temps que cela va prendre je vais aller manger! bon appétit à vous. he.......je suis guéri d'aller chercher des "générateurs de clef" pour des logiciels qui valent moins de 100€!....meme les autres

gen-hackman · Answer

heu tu as bien fait "oui pour tous" pour desinfecter et non supprimer ?

mimoire · Answer

je pense que oui j'ai fait cela pour désinfecté......je ne me souviens plus mais je suppose que oui car pendant l'analyse dans la fenètre d'en bas  sous action j'ai irréparable ou quarantaine etc... donc je n'ai pas demander "supprimer"

gen-hackman · Answer

Ok impec tu dois en etre vers la moitié là....

mimoire · Answer

3/4 environ

gen-hackman · Answer

d'ici 2 h c'est fini normalement alors :)

mimoire · Answer

tu me dis:"Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . J'ai pas!!! j'ai tout sélectionner en bas à gauche c'est tout:désinfecter,renommer, quarantaine et supprimer sont grisés (non accessibles). C'est tellement long le scan que plutot que de faire une connerie je préfère te demander:je fais"tout selectionner puis désinfecter?

gen-hackman · Answer

exactement :)

(pense au rapport please :))

mimoire · Answer

j'ai un pb mais je pense m'en sortir, je suis en mode sans echec.J'ai enregistré le rapport sur le bureau.J'ai mis (réduit) dans la barre d'en bas Drweeb pour voir si le rapport étais bien sur le bureau mais le PC a planté. Je ne vois pas le rapport sur le bureau. Je vais éteidre l'ordi et le ralumer en mode normal pour envoyer le rapport ....(s'il est là!!!)

mimoire · Answer

j'ai le rapport mais:
1 je ne peux pas le déposer sur le site cijoint en .rar, et en point zip l'ordi me dit:voulez vous autoriser cette pagr à coller les info stokées dans le presse papier. je répond oui et rien ne se passe, j'ai toujours la meme fenètre...voulez vous autoriser......etc. je peux le coller direct dans un message sur votre forum?

mimoire · Answer

je te copy le lien donné par cijoint:

http://www.cijoint.fr/cjlink.php?file=cj201006/cij5HbUo47.zip

je ne suis pas sur de Uo47 ou U047

mimoire · Answer

ça remarche maintenant

http://www.cijoint.fr/cjlink.php?file=cj201006/cij5HbUo47.zip

gen-hackman · Answer

alors tu n'as pas un rapport DrWeb.csv sur  ton bureau ?

mimoire · Answer

si bien sur,je l'ai compressé en fichier .zip et déposé sur le site cijoint.je fourni l'adresse dans le message #180. la revoila:
http://www.cijoint.fr/cjlink.php?file=cj201006/cij5HbUo47.zip

gen-hackman · Answer

commment va le pc ? :)

mimoire · Answer

Salut Gen
Le PC va pas plus mal sauf que le navigateur firefox plante mais c'est sans doute normal. Tu as regardé le rapport Drweeb? Là j'utilise le navigateur "orange"

gen-hackman · Answer

tu peux expliquer firefoc plante ?

mimoire · Answer

le navigateur s'ouvre bien mais apres je n'ai acces à rien. J'ai le sablier en permanence et si je veux fermer firefox on me dis : firefox ne répond pas

gen-hackman · Answer

et internet explorer ?

mimoire · Answer

aparament il fonctionne.mais je n'ai toujours pas de lecteurs cd et dvd. Que doit-on faire des fichiers mis en quarantaine par Drweeb?

gen-hackman · Answer

pour tes lecteurs pose la question au forum hardware je vois que ca ...:

https://forums.commentcamarche.net/forum/materiel-informatique-2

pour ce qu'a trouvé DrWeb , c'est rendu inoffensif

mimoire · Answer

au niveaux infection, tout est correct?

gen-hackman · Answer

ca a l'air...

pour firefox , il faudrait voir de desintaller puis reinstaller la derniere version

si ca delire encore....ben....on avisera

mimoire · Answer

OK je désinstalle firefox puis je réinstalle. Est-ce utile de passer un coup de "glary utilities"? pour remettre tout carré

gen-hackman · Answer

je trouve ce logiciel inutile....

ccleaner fait du bon travail :)

mimoire · Answer

OK. Je te remercie pour ton aide sans laquelle je ne m'en serais pas tiré. Vous avez été super toi et Xplode avec beaucoup de patience envers nous. Je te charge de remercier pour moi Xplode car lui aussi s'est bien investi pour me sortir de problèmes qu'apres tout j'avais bien cherchés. Je suis ravi Merci encore

gen-hackman · Answer

il passera lire le sujet

mimoire · Answer

salut.

Xplode · Answer

Hello, -+-+-+-+-> Mise à jour du PC <-+-+-+-+- [x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant. 1ère étape : Java [o] Télécharge JavaRa puis décompresse le sur ton bureau. [o] Ouvre le dossier JavaRa puis exécute JavaRa.exe. [o] Clique sur "Search For Updates". [o] Sélectionne "Update Using jucheck.exe" puis clique sur "Search". [o] Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation. [o] Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions". [o] Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ". [o] Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message. 2ème étape : Internet Explorer [x] Même si tu n'utilises pas Internet Explorer pour naviguer, il est important de le mettre à jour ! [o] Télécharge Internet Explorer 8 puis installe le. 3ème étape : Mise à jour des logiciels [o] Il est également important de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker. [o] Télécharge le [o] Un tutoriel pour son utilisation est disponible ici. -+-+-+-+-> Toolscleaner <-+-+-+-+- [x] Télécharge ToolsCleaner ( d'A.Rothstein & Dj Quiou ) sur ton bureau. [x] Lance le puis clique sur [Recherche] [x] Patiente pendant le scan puis clique sur [Suppression] [x] Clique maintenant sur [Quitter] ( pas sur la croix rouge ) pour afficher le rapport. [x] Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\TCleaner.txt Note : Il se peut que le logiciel affiche la mention "Ne répond pas" car il consomme beaucoup de ressources. Il faut patienter quelques minutes. [x] Un tutoriel est disponible ici. -+-+-+-+-> Optimisation <-+-+-+-+- 1ère étape : Suppression des fichiers inutiles [o] Télécharge CCleaner [o] Installe le, puis lance le. [o] Va dans l'onglet "Options" puis " Avancé "" Effacer uniquement les fichiers[...] ". [o] Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer]. [o] Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées. [o] Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) [o] Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer] [o] Tu peux renouveller ces opérations tous les jours. 2ème étape : Défragmentation [x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs. [o] Télécharge Defraggler. [o] Un tutoriel pour son utilisation est disponible ici. 3ème étape : Vérification des disques [x] Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ ) [x] Clique sur [Propriété] puis sur l'onglet [Outils] [x] Clique sur [Vérifier maintenant] puis coche les deux cases présentes. [x] Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage ) -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 -+-+-+-+-> Liens utiles <-+-+-+-+- - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour?

mimoire · Answer

salut Xplode, tu as vu mon dernier message de remerciement? vous etes super.

La mise à jour ne fonctionne pas en utilisant jucheck

Xplode · Answer

Utilise la deuxième méthode

mimoire · Answer

rapport java:
JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Tue Jun 29 14:30:43 2010

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

------------------------------------

Finished reporting.

mimoire · Answer

tccleaner:
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\jean terrien\Bureau\Rsit.exe: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Program Files\List_Kill'em\catchme.exe: trouvé !
C:\Program Files\List_Kill'em\mbr.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Program Files	rend micro\HijackThis: trouvé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files	rend micro\HijackThis\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Program Files\List_Kill'em\catchme.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\jean terrien\Bureau\Rsit.exe: supprimé !
C:\Program Files\List_Kill'em\mbr.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Program Files	rend micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files	rend micro\HijackThis: supprimé !

mimoire · Answer

salut Xplode,
j'ai tout fais ce que tu as dis sauf internet explorer car j'ai eu un message erreur disant pas assez de mémoire ce qui m'étonne: j'ai 780M de ram. Jeje l'installerais plus tard. J'ai aussi retrouver mes lecteurs de CD en supprimant 2 valeurs dans la base de régistre. Maintenant tout est OK. Encore un grand merci.

mimoire · Answer

@+.......pourquoi pas .....mais dans un autre contexte bien volontier !!!

gen-hackman · Answer

salut à vous

c'est possible de savoir quelles valeurs tu as supprimées si tu t'en rapelles ?

Merci ca pourra aider d'autres personnes :)

mimoire · Answer

salut Gen,
voila la procédure que j'ai suivie:
1) sauvegarder sur le bureau la base de régistre au cas ou il y aurait un problème!
2) faire Démarrer....executer
3) taper regedit
4) rechercher la clé:
    
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E965-E325-11CE-BFC1-08002BE10318} 


Attention : Ils existent plusieurs clefs de registre identiques. Vérifiez que "Données" correspond à CD-ROM.

    * 4. Supprimez les valeurs UpperFilters & LowerFilters :
    * 5. Quittez l'éditeur du registre et redémarrez votre PC

si tout est bon, effacer la sauvegarde effectuée en 1)

salut.

mimoire · Answer

dis bien à "tes clients" qu'il faut etre prudent: on ne fait pas n'importe quoi dans la base de régistre

gen-hackman · Answer

certes !! :)

thx

Virus type rootkit

190 réponses

Discussions similaires