A voir également:
- Avwsc.exe infecté
- Alerte windows ordinateur infecté - Accueil - Arnaque
- Google infecté huawei ✓ - Forum Virus
- L'ordinateur de samantha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
- L'ordinateur d'arthur a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? ✓ - Forum Antivirus
- Infection par : ONLYPC Flow.co.in ✓ - Forum Virus
22 réponses
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
19 juil. 2010 à 20:59
19 juil. 2010 à 20:59
Bonsoir,
Tu es infecté par un rogue ( faux logiciel de sécurité ).
Fais ceci :
-+-+-+-+-> Rkill <-+-+-+-+-
[x] Télécharge rkill sur ton bureau.
[x] Rkill peut être reconnu comme indésirable par certains antivirus, ignore l'alerte et désactive momentanément l'antivirus.
[x] Lance le, une fenêtre noire s'ouvrira t'indiquant que l'installation s'est bien déroulée.
[x] Note : Si le premier lien ne fonctionne pas, essaie ces trois autres : n°1 , n°2 et n°3
[x] /!\ Il ne faut pas redémarrer le PC après avoir lancé rkill, sinon il faudra recommencer la procédure /!\
[x] Poste le contenu du rapport qui s'ouvrira -> rkill.log
-+-+-+-+-> ZHPDiag <-+-+-+-+-
[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )
[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
[x] Rend toi sur cjoint puis clique sur " Parcourir ".
[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
Tu es infecté par un rogue ( faux logiciel de sécurité ).
Fais ceci :
-+-+-+-+-> Rkill <-+-+-+-+-
[x] Télécharge rkill sur ton bureau.
[x] Rkill peut être reconnu comme indésirable par certains antivirus, ignore l'alerte et désactive momentanément l'antivirus.
[x] Lance le, une fenêtre noire s'ouvrira t'indiquant que l'installation s'est bien déroulée.
[x] Note : Si le premier lien ne fonctionne pas, essaie ces trois autres : n°1 , n°2 et n°3
[x] /!\ Il ne faut pas redémarrer le PC après avoir lancé rkill, sinon il faudra recommencer la procédure /!\
[x] Poste le contenu du rapport qui s'ouvrira -> rkill.log
-+-+-+-+-> ZHPDiag <-+-+-+-+-
[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )
[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
[x] Rend toi sur cjoint puis clique sur " Parcourir ".
[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
Bonsoir Xplode.
Ce fut laborieux de créer la rapport ZHPDiag. J'ai été obligé de relancer 3 fois mon ordi pour que le scan aille jusqu'au bout de son boulot. Donc voila le lien pour le rapport ZHPDiag
https://www.cjoint.com/?htvUPX1pvC
Et voici le rapport rkill
_________________________________________________
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Home on 19/07/2010 at 21:32:27.
Processes terminated by Rkill or while it was running:
C:\Users\Home\AppData\Local\cpnjvolmt\fmfpxnetssd.exe
C:\Users\Home\Desktop\rkill.scr
Rkill completed on 19/07/2010 at 21:32:31.
____________________________________________________
Merci d'avance pour ton aide.
Ce fut laborieux de créer la rapport ZHPDiag. J'ai été obligé de relancer 3 fois mon ordi pour que le scan aille jusqu'au bout de son boulot. Donc voila le lien pour le rapport ZHPDiag
https://www.cjoint.com/?htvUPX1pvC
Et voici le rapport rkill
_________________________________________________
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Home on 19/07/2010 at 21:32:27.
Processes terminated by Rkill or while it was running:
C:\Users\Home\AppData\Local\cpnjvolmt\fmfpxnetssd.exe
C:\Users\Home\Desktop\rkill.scr
Rkill completed on 19/07/2010 at 21:32:31.
____________________________________________________
Merci d'avance pour ton aide.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
19 juil. 2010 à 21:57
19 juil. 2010 à 21:57
-+-+-+-+-> ZHPFix <-+-+-+-+-
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".
[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643
O4 - HKCU\..\Run: [AdobeBridge] (.not file.)
O4 - HKCU\..\Run: [kncnyxul] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Home\AppData\Local\cpnjvolmt\fmfpxnetssd.exe
[HKCU\Software\AVSuitE]
O51 - MPSK:{6a0569d5-9110-11df-9412-e2258efe4373}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- D:\INSTALL.EXE AUTORUN=1 (.not file.)
[HKLM\Software\Trad-FR]
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
-+-+-+-+-> Virustotal <-+-+-+-+-
[x] Rends toi sur ce site puis cliques sur " Choisissez un fichier ".
[x] Sélectionne ce fichier : C:\Users\Home\AppData\Local\apcofic.dll puis cliques sur " Ouvrir ". Patiente pendant l'envoi.
[x] Si il est indiqué que le fichier a déjà été analysé, clique sur " Réanalyser ".
[x] Copie/Colle le rapport affiché à l'écran dans ta prochaine réponse.
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".
[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643
O4 - HKCU\..\Run: [AdobeBridge] (.not file.)
O4 - HKCU\..\Run: [kncnyxul] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Home\AppData\Local\cpnjvolmt\fmfpxnetssd.exe
[HKCU\Software\AVSuitE]
O51 - MPSK:{6a0569d5-9110-11df-9412-e2258efe4373}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- D:\INSTALL.EXE AUTORUN=1 (.not file.)
[HKLM\Software\Trad-FR]
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
-+-+-+-+-> Virustotal <-+-+-+-+-
[x] Rends toi sur ce site puis cliques sur " Choisissez un fichier ".
[x] Sélectionne ce fichier : C:\Users\Home\AppData\Local\apcofic.dll puis cliques sur " Ouvrir ". Patiente pendant l'envoi.
[x] Si il est indiqué que le fichier a déjà été analysé, clique sur " Réanalyser ".
[x] Copie/Colle le rapport affiché à l'écran dans ta prochaine réponse.
Tout d'abord, voila le rapport de ZHPDiagReport
__________________________________________
Rapport de ZHPFix v1.12.3124 par Nicolas Coolman, Update du 18/07/2010
Fichier d'export Registre :
Run by Home at 19/07/2010 22:19:06
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé du Registre ==========
HKCU\Software\AVSuitE => Clé supprimée avec succès
O51 - MPSK:{6a0569d5-9110-11df-9412-e2258efe4373}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- D:\INSTALL.EXE AUTORUN=1 (.not file.) => Clé supprimée avec succès
HKLM\Software\Trad-FR => Clé supprimée avec succès
========== Valeur du Registre ==========
O4 - HKCU\..\Run: [AdobeBridge] (.not file.) => Valeur supprimée avec succès
O4 - HKCU\..\Run: [kncnyxul] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Home\AppData\Local\cpnjvolmt\fmfpxnetssd.exe => Valeur supprimée avec succès
========== Elément de données du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643 => Donnée supprimée avec succès
========== Fichier ==========
c:\users\home\appdata\local\cpnjvolmt\fmfpxnetssd.exe => Supprimé et mis en quarantaine
d:\install.exe => Fichier absent
========== Récapitulatif ==========
3 : Clé du Registre
2 : Valeur du Registre
1 : Elément de données du Registre
2 : Fichier
End of the scan
_________________________________________________________________
Et voici le rapport de Total Virus
_________________________________
Antivirus Version Dernière mise à jour Résultat
a-squared 5.0.0.34 2010.07.19 Trojan.Win32.Hiloti!IK
AhnLab-V3 2010.07.19.01 2010.07.19 -
AntiVir 8.2.4.12 2010.07.19 -
Antiy-AVL 2.0.3.7 2010.07.15 -
Authentium 5.2.0.5 2010.07.19 W32/Hiloti.I.gen!Eldorado
Avast 4.8.1351.0 2010.07.19 -
Avast5 5.0.332.0 2010.07.19 -
AVG 9.0.0.836 2010.07.19 -
BitDefender 7.2 2010.07.19 Gen:Variant.Hiloti.2
CAT-QuickHeal 11.00 2010.07.19 -
ClamAV 0.96.0.3-git 2010.07.19 -
Comodo 5481 2010.07.19 -
DrWeb 5.0.2.03300 2010.07.19 -
eSafe 7.0.17.0 2010.07.19 -
eTrust-Vet 36.1.7720 2010.07.19 -
F-Prot 4.6.1.107 2010.07.19 W32/Hiloti.I.gen!Eldorado
F-Secure 9.0.15370.0 2010.07.19 Gen:Variant.Hiloti.2
Fortinet 4.1.143.0 2010.07.19 -
GData 21 2010.07.19 Gen:Variant.Hiloti.2
Ikarus T3.1.1.84.0 2010.07.19 Trojan.Win32.Hiloti
Jiangmin 13.0.900 2010.07.19 -
Kaspersky 7.0.0.125 2010.07.19 -
McAfee 5.400.0.1158 2010.07.19 -
McAfee-GW-Edition 2010.1 2010.07.19 -
Microsoft 1.6004 2010.07.19 Trojan:Win32/Hiloti.gen!D
NOD32 5293 2010.07.19 a variant of Win32/Cimag.CW
Norman 6.05.11 2010.07.19 -
nProtect 2010-07-19.01 2010.07.19 Gen:Variant.Hiloti.2
Panda 10.0.2.7 2010.07.19 -
PCTools 7.0.3.5 2010.07.19 -
Prevx 3.0 2010.07.19 -
Rising 22.57.00.02 2010.07.19 -
Sophos 4.55.0 2010.07.19 Mal/Hiloti-D
Sunbelt 6603 2010.07.19 Trojan.Win32.Hiloti.gen.f (v)
SUPERAntiSpyware 4.40.0.1006 2010.07.19 -
Symantec 20101.1.1.7 2010.07.19 -
TheHacker 6.5.2.1.320 2010.07.19 -
TrendMicro 9.120.0.1004 2010.07.19 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.19 -
VBA32 3.12.12.6 2010.07.19 Bscope.Malware-Cryptor.Tip
ViRobot 2010.6.21.3896 2010.07.19 -
VirusBuster 5.0.27.0 2010.07.19 -
Information additionnelle
File size: 66560 bytes
MD5...: f9f3a8c6bf22186798d3fbbe4ef4961b
SHA1..: 71034f5b6df4de86dc84c2d62b16f49850ed80f3
SHA256: 6dc6456dc369fc60df7f0b7aadd1528d45d7746b8284ead4ae595080c68a491a
ssdeep: 1536:8BmGW5A9vtY0ksuJj9rI+gvn5AZ7aH9OCLCZGLd:8BP/WnI+gmBU9lLXLd
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x8cbc
timedatestamp.....: 0x4a86ebff (Sat Aug 15 17:10:23 2009)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd000 0xce00 6.93 0977ac2ef5ff06f6e34847d44a2cbac6
.data 0xe000 0x3000 0x2800 6.15 997dd40fa8bd8db9a6a618d556f7bae7
.rsrc 0x11000 0x1000 0x400 3.00 4ea01904fc07c2bdc52b5f3c558f2e6d
.reloc 0x12000 0x1000 0x600 6.66 c583b5bd2325da02ebd89948bc6e94d0
( 7 imports )
> KERNEL32.dll: CloseHandle, CreateFileA, ExitProcess, GetACP, GetCommandLineA, GetEnvironmentStringsA, GetExitCodeThread, GetModuleHandleA, GetOEMCP, GetStartupInfoA, GetTickCount, HeapAlloc, HeapCreate, HeapReAlloc, HeapSize, LocalAlloc, MulDiv, MultiByteToWideChar, RtlUnwind, SetErrorMode, SetLastError, SetPriorityClass, SetUnhandledExceptionFilter, TerminateProcess, TerminateThread, VirtualAlloc, VirtualFree, lstrcmpiA, lstrcpynA, lstrlenA
> user32.dll: EndDialog, CreateDialogParamA, DestroyWindow, SetClipboardData, GetScrollInfo, DrawMenuBar, CallWindowProcA
> winmm.dll: joySetThreshold, joyGetThreshold, joyReleaseCapture
> ole32.dll: CoTaskMemFree, CoCreateInstance, CoCreateGuid, CoBuildVersion
> advapi32.dll: CreateRestrictedToken, CryptSetProviderExA, CryptVerifySignatureW, ElfBackupEventLogFileW, LsaCreateTrustedDomainEx, ConvertSidToStringSidA, RegDeleteValueA, RegGetKeySecurity, SetNamedSecurityInfoExW, StartServiceCtrlDispatcherA, AddAccessDeniedAce, ObjectDeleteAuditAlarmA
> SHLWAPI.dll: StrStrW, StrToIntA
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
sigcheck:
publisher....: CyberLink Corp.
copyright....: (c) 2006 CyberLink Corp. All rights reserved.
product......: CyberLink GoldenEye
description..: CyberLink Tzan Library
original name: libTzan.dll
internal name: CLTzan
file version.: 3.5.2704
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Symantec Reputation Network: Suspicious.Insight https://www.broadcom.com/support/security-center
__________________________________________
Rapport de ZHPFix v1.12.3124 par Nicolas Coolman, Update du 18/07/2010
Fichier d'export Registre :
Run by Home at 19/07/2010 22:19:06
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé du Registre ==========
HKCU\Software\AVSuitE => Clé supprimée avec succès
O51 - MPSK:{6a0569d5-9110-11df-9412-e2258efe4373}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- D:\INSTALL.EXE AUTORUN=1 (.not file.) => Clé supprimée avec succès
HKLM\Software\Trad-FR => Clé supprimée avec succès
========== Valeur du Registre ==========
O4 - HKCU\..\Run: [AdobeBridge] (.not file.) => Valeur supprimée avec succès
O4 - HKCU\..\Run: [kncnyxul] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Home\AppData\Local\cpnjvolmt\fmfpxnetssd.exe => Valeur supprimée avec succès
========== Elément de données du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643 => Donnée supprimée avec succès
========== Fichier ==========
c:\users\home\appdata\local\cpnjvolmt\fmfpxnetssd.exe => Supprimé et mis en quarantaine
d:\install.exe => Fichier absent
========== Récapitulatif ==========
3 : Clé du Registre
2 : Valeur du Registre
1 : Elément de données du Registre
2 : Fichier
End of the scan
_________________________________________________________________
Et voici le rapport de Total Virus
_________________________________
Antivirus Version Dernière mise à jour Résultat
a-squared 5.0.0.34 2010.07.19 Trojan.Win32.Hiloti!IK
AhnLab-V3 2010.07.19.01 2010.07.19 -
AntiVir 8.2.4.12 2010.07.19 -
Antiy-AVL 2.0.3.7 2010.07.15 -
Authentium 5.2.0.5 2010.07.19 W32/Hiloti.I.gen!Eldorado
Avast 4.8.1351.0 2010.07.19 -
Avast5 5.0.332.0 2010.07.19 -
AVG 9.0.0.836 2010.07.19 -
BitDefender 7.2 2010.07.19 Gen:Variant.Hiloti.2
CAT-QuickHeal 11.00 2010.07.19 -
ClamAV 0.96.0.3-git 2010.07.19 -
Comodo 5481 2010.07.19 -
DrWeb 5.0.2.03300 2010.07.19 -
eSafe 7.0.17.0 2010.07.19 -
eTrust-Vet 36.1.7720 2010.07.19 -
F-Prot 4.6.1.107 2010.07.19 W32/Hiloti.I.gen!Eldorado
F-Secure 9.0.15370.0 2010.07.19 Gen:Variant.Hiloti.2
Fortinet 4.1.143.0 2010.07.19 -
GData 21 2010.07.19 Gen:Variant.Hiloti.2
Ikarus T3.1.1.84.0 2010.07.19 Trojan.Win32.Hiloti
Jiangmin 13.0.900 2010.07.19 -
Kaspersky 7.0.0.125 2010.07.19 -
McAfee 5.400.0.1158 2010.07.19 -
McAfee-GW-Edition 2010.1 2010.07.19 -
Microsoft 1.6004 2010.07.19 Trojan:Win32/Hiloti.gen!D
NOD32 5293 2010.07.19 a variant of Win32/Cimag.CW
Norman 6.05.11 2010.07.19 -
nProtect 2010-07-19.01 2010.07.19 Gen:Variant.Hiloti.2
Panda 10.0.2.7 2010.07.19 -
PCTools 7.0.3.5 2010.07.19 -
Prevx 3.0 2010.07.19 -
Rising 22.57.00.02 2010.07.19 -
Sophos 4.55.0 2010.07.19 Mal/Hiloti-D
Sunbelt 6603 2010.07.19 Trojan.Win32.Hiloti.gen.f (v)
SUPERAntiSpyware 4.40.0.1006 2010.07.19 -
Symantec 20101.1.1.7 2010.07.19 -
TheHacker 6.5.2.1.320 2010.07.19 -
TrendMicro 9.120.0.1004 2010.07.19 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.19 -
VBA32 3.12.12.6 2010.07.19 Bscope.Malware-Cryptor.Tip
ViRobot 2010.6.21.3896 2010.07.19 -
VirusBuster 5.0.27.0 2010.07.19 -
Information additionnelle
File size: 66560 bytes
MD5...: f9f3a8c6bf22186798d3fbbe4ef4961b
SHA1..: 71034f5b6df4de86dc84c2d62b16f49850ed80f3
SHA256: 6dc6456dc369fc60df7f0b7aadd1528d45d7746b8284ead4ae595080c68a491a
ssdeep: 1536:8BmGW5A9vtY0ksuJj9rI+gvn5AZ7aH9OCLCZGLd:8BP/WnI+gmBU9lLXLd
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x8cbc
timedatestamp.....: 0x4a86ebff (Sat Aug 15 17:10:23 2009)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd000 0xce00 6.93 0977ac2ef5ff06f6e34847d44a2cbac6
.data 0xe000 0x3000 0x2800 6.15 997dd40fa8bd8db9a6a618d556f7bae7
.rsrc 0x11000 0x1000 0x400 3.00 4ea01904fc07c2bdc52b5f3c558f2e6d
.reloc 0x12000 0x1000 0x600 6.66 c583b5bd2325da02ebd89948bc6e94d0
( 7 imports )
> KERNEL32.dll: CloseHandle, CreateFileA, ExitProcess, GetACP, GetCommandLineA, GetEnvironmentStringsA, GetExitCodeThread, GetModuleHandleA, GetOEMCP, GetStartupInfoA, GetTickCount, HeapAlloc, HeapCreate, HeapReAlloc, HeapSize, LocalAlloc, MulDiv, MultiByteToWideChar, RtlUnwind, SetErrorMode, SetLastError, SetPriorityClass, SetUnhandledExceptionFilter, TerminateProcess, TerminateThread, VirtualAlloc, VirtualFree, lstrcmpiA, lstrcpynA, lstrlenA
> user32.dll: EndDialog, CreateDialogParamA, DestroyWindow, SetClipboardData, GetScrollInfo, DrawMenuBar, CallWindowProcA
> winmm.dll: joySetThreshold, joyGetThreshold, joyReleaseCapture
> ole32.dll: CoTaskMemFree, CoCreateInstance, CoCreateGuid, CoBuildVersion
> advapi32.dll: CreateRestrictedToken, CryptSetProviderExA, CryptVerifySignatureW, ElfBackupEventLogFileW, LsaCreateTrustedDomainEx, ConvertSidToStringSidA, RegDeleteValueA, RegGetKeySecurity, SetNamedSecurityInfoExW, StartServiceCtrlDispatcherA, AddAccessDeniedAce, ObjectDeleteAuditAlarmA
> SHLWAPI.dll: StrStrW, StrToIntA
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
sigcheck:
publisher....: CyberLink Corp.
copyright....: (c) 2006 CyberLink Corp. All rights reserved.
product......: CyberLink GoldenEye
description..: CyberLink Tzan Library
original name: libTzan.dll
internal name: CLTzan
file version.: 3.5.2704
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Symantec Reputation Network: Suspicious.Insight https://www.broadcom.com/support/security-center
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
19 juil. 2010 à 23:05
19 juil. 2010 à 23:05
Ok, c'est un fichier infectieux, on va le virer :
-+-+-+-+-> ZHPFix <-+-+-+-+-
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".
[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]
O4 - HKCU\..\Run: [Dkejus] . (.CyberLink Corp. - CyberLink Tzan Library.) -- C:\Users\Home\AppData\Local\apcofic.dll
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
=========================================================
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
-+-+-+-+-> ZHPFix <-+-+-+-+-
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".
[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]
O4 - HKCU\..\Run: [Dkejus] . (.CyberLink Corp. - CyberLink Tzan Library.) -- C:\Users\Home\AppData\Local\apcofic.dll
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
=========================================================
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
Le premier scan avec Malwarebytes' Anti Malwares s'est interrompu avant la fin. Je viens de le relancer et je risque de le laisser tourner durant la nuit. Je posterai donc certainement le résultat demain matin ou demain soir uniquement.
Bonne soirée et merci pour la clarté des explications de la démarche à suivre pour résoudre mon problème.
A bientôt.
Bonne soirée et merci pour la clarté des explications de la démarche à suivre pour résoudre mon problème.
A bientôt.
Bonjour,
Je confirme ce que je disais hier, à savoir que l'analyse par Malawarebytes s'interrompt avant la fin (Le logiciel "a cessé de fonctionner" dit le message renvoyé). Je ne peux donc pas générer de rapport de l'analyse.
Je l'ai relancé après avoir fait une mises à jour de la base virale mais le résultat reste le même.
Est ce que vous avez une solution de contournement?
Bonne journée
Je confirme ce que je disais hier, à savoir que l'analyse par Malawarebytes s'interrompt avant la fin (Le logiciel "a cessé de fonctionner" dit le message renvoyé). Je ne peux donc pas générer de rapport de l'analyse.
Je l'ai relancé après avoir fait une mises à jour de la base virale mais le résultat reste le même.
Est ce que vous avez une solution de contournement?
Bonne journée
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
20 juil. 2010 à 11:47
20 juil. 2010 à 11:47
Bonjour,
Est-ce que tu as fait la partie " ZHPFix " avant ? Si non, fais le et poste moi le rapport. C'est peut être ça qui bloque malwarebytes'.
Est-ce que tu as fait la partie " ZHPFix " avant ? Si non, fais le et poste moi le rapport. C'est peut être ça qui bloque malwarebytes'.
Ca y est, enfin arrivé chez moi! Voila le rapport de ZHPFix
Rapport de ZHPFix v1.12.3124 par Nicolas Coolman, Update du 18/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-07-2010-18-37-05.txt
Run by Home at 20/07/2010 18:37:05
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur du Registre ==========
O4 - HKCU\..\Run: [Dkejus] . (.CyberLink Corp. - CyberLink Tzan Library.) -- C:\Users\Home\AppData\Local\apcofic.dll => Valeur supprimée avec succès
========== Fichier ==========
c:\users\home\appdata\local\apcofic.dll => Supprimé et mis en quarantaine
========== Récapitulatif ==========
1 : Valeur du Registre
1 : Fichier
End of the scan
Rapport de ZHPFix v1.12.3124 par Nicolas Coolman, Update du 18/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-07-2010-18-37-05.txt
Run by Home at 20/07/2010 18:37:05
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur du Registre ==========
O4 - HKCU\..\Run: [Dkejus] . (.CyberLink Corp. - CyberLink Tzan Library.) -- C:\Users\Home\AppData\Local\apcofic.dll => Valeur supprimée avec succès
========== Fichier ==========
c:\users\home\appdata\local\apcofic.dll => Supprimé et mis en quarantaine
========== Récapitulatif ==========
1 : Valeur du Registre
1 : Fichier
End of the scan
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
20 juil. 2010 à 18:49
20 juil. 2010 à 18:49
Ok, maintenant réessaie malwarebytes'.
Je l'ai lancé juste après avoir posté le rapport ZHPFix et il tourne tranquillement depuis environ 25mn.
Même problème: au bout de 51mn, le programme a cessé de fonctionner correctement.
Est ce que ça peut être un problème d'installation de Malwarebytes?
Est ce que ça peut être un problème d'installation de Malwarebytes?
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
20 juil. 2010 à 20:36
20 juil. 2010 à 20:36
Possible.
Refais moi un rapport ZHPDiag sinon, ensuite on avisera.
Refais moi un rapport ZHPDiag sinon, ensuite on avisera.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
20 juil. 2010 à 20:56
20 juil. 2010 à 20:56
Il reste des traces de l'infection, on va d'abord les supprimer:
-+-+-+-+-> ZHPFix <-+-+-+-+-
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".
[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]
O4 - HKCU\..\Run: [Dkejus] C:\Users\Home\AppData\Local\apcofic.dll (.not file.)
[HKCU\Software\AVSolution]
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
========================================================
Ensuite désinstalle puis réinstalle et mets à jour malwarebytes' , normalement ça devrait passer cette fois ci !
-+-+-+-+-> ZHPFix <-+-+-+-+-
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".
[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]
O4 - HKCU\..\Run: [Dkejus] C:\Users\Home\AppData\Local\apcofic.dll (.not file.)
[HKCU\Software\AVSolution]
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
========================================================
Ensuite désinstalle puis réinstalle et mets à jour malwarebytes' , normalement ça devrait passer cette fois ci !
Voici le rapport ZHPFix
Rapport de ZHPFix v1.12.3124 par Nicolas Coolman, Update du 18/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-07-2010-21-05-17.txt
Run by Home at 20/07/2010 21:05:17
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé du Registre ==========
HKCU\Software\AVSolution => Clé supprimée avec succès
========== Valeur du Registre ==========
O4 - HKCU\..\Run: [Dkejus] C:\Users\Home\AppData\Local\apcofic.dll (.not file.) => Valeur supprimée avec succès
========== Récapitulatif ==========
1 : Clé du Registre
1 : Valeur du Registre
End of the scan
____________________________________
Je réinstalle Malwarebytes
Rapport de ZHPFix v1.12.3124 par Nicolas Coolman, Update du 18/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-07-2010-21-05-17.txt
Run by Home at 20/07/2010 21:05:17
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé du Registre ==========
HKCU\Software\AVSolution => Clé supprimée avec succès
========== Valeur du Registre ==========
O4 - HKCU\..\Run: [Dkejus] C:\Users\Home\AppData\Local\apcofic.dll (.not file.) => Valeur supprimée avec succès
========== Récapitulatif ==========
1 : Clé du Registre
1 : Valeur du Registre
End of the scan
____________________________________
Je réinstalle Malwarebytes
Toujours même problème après réinstallation de Malwarebytes et analyse.
L'analyse m'indique 2 éléments infectés, mais je ne peux pas voir lesquels.
L'analyse m'indique 2 éléments infectés, mais je ne peux pas voir lesquels.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
20 juil. 2010 à 22:14
20 juil. 2010 à 22:14
Essaie un examen rapide pour voir
J'ai arrêté l'analyse après la détection des 2 éléments infectés.
Voila le rapport.
Je viens de lancer une analyse rapide.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4332
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
20/07/2010 22:17:27
mbam-log-2010-07-20 (22-17-27).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 20090
Temps écoulé: 1 minute(s), 40 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Home\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\27Y7BSZ4\setup[1].exe (Trojan.FakeAV) -> No action taken.
C:\Users\Home\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WV2W5W5C\setup[1].exe (Rootkit.Dropper) -> No action taken.
Voila le rapport.
Je viens de lancer une analyse rapide.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4332
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
20/07/2010 22:17:27
mbam-log-2010-07-20 (22-17-27).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 20090
Temps écoulé: 1 minute(s), 40 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Home\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\27Y7BSZ4\setup[1].exe (Trojan.FakeAV) -> No action taken.
C:\Users\Home\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WV2W5W5C\setup[1].exe (Rootkit.Dropper) -> No action taken.
Résultat de l'analyse rapide: 4 éléments infectés.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4332
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
20/07/2010 22:24:23
mbam-log-2010-07-20 (22-24-23).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 129529
Temps écoulé: 5 minute(s), 22 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dkejus (Trojan.Agent.U) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Home\AppData\Local\Temp\zPUCPjZJjk.exe (Trojan.FakeAV) -> No action taken.
C:\Users\Home\AppData\Local\Temp\HbdFcKCCul.exe (Rootkit.Dropper) -> No action taken.
C:\Users\Home\AppData\Local\Temp\0.37820209303789365.exe (Trojan.Dropper) -> No action taken.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4332
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
20/07/2010 22:24:23
mbam-log-2010-07-20 (22-24-23).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 129529
Temps écoulé: 5 minute(s), 22 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dkejus (Trojan.Agent.U) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Home\AppData\Local\Temp\zPUCPjZJjk.exe (Trojan.FakeAV) -> No action taken.
C:\Users\Home\AppData\Local\Temp\HbdFcKCCul.exe (Rootkit.Dropper) -> No action taken.
C:\Users\Home\AppData\Local\Temp\0.37820209303789365.exe (Trojan.Dropper) -> No action taken.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
20 juil. 2010 à 23:36
20 juil. 2010 à 23:36
Clique sur " tout supprimer ".
