Troj000, Spam001, Spam 003 et quelques autres
Sulak911
-
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
Bonjour à tous,
Voilà j'ai attrappé sur Internet (en une seule fois) plusieurs parasites que je n'arrive pas à désinstaller malgré une restauration système.
Il s'agit de Troj000, Spam 001 et Spam 003 + Security Essentials 2010, Defense center et Defense center support.
A chaque fois que je tente de les désinstaller, une fenêtre s'ouvre et me dit "programme déjà utilisé par un autre utilisateur".
Des fenetres publicitaires intempestives s'ouvrent par ailleurs sans arrêt, que je sois sur Internet ou non.
Quelqu'un peut-il m'aider ?
Avec mes remerciements
Voilà j'ai attrappé sur Internet (en une seule fois) plusieurs parasites que je n'arrive pas à désinstaller malgré une restauration système.
Il s'agit de Troj000, Spam 001 et Spam 003 + Security Essentials 2010, Defense center et Defense center support.
A chaque fois que je tente de les désinstaller, une fenêtre s'ouvre et me dit "programme déjà utilisé par un autre utilisateur".
Des fenetres publicitaires intempestives s'ouvrent par ailleurs sans arrêt, que je sois sur Internet ou non.
Quelqu'un peut-il m'aider ?
Avec mes remerciements
A voir également:
- Troj000, Spam001, Spam 003 et quelques autres
- Spam messenger - Guide
- Spam whatsapp - Accueil - Messagerie instantanée
- Account-security-noreply@ accountprotection.microsoft.com spam ✓ - Forum Hotmail / Outlook.com
- Messagerie le bon coin bloquée par spam ✓ - Forum Consommation & Internet
- Mcafee spam - Accueil - Piratage
20 réponses
Bonjour,
Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :
* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :
* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
J'attends un peu et je vais réessayer, mais il me donne à chaque fois un lien avec quelque chose qui n'a aucun rapport.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Le rapport de ZHPDiag est bien enregistré sur ton Bureau ?
Fais un clic-droit dessus --> envoyer vers --> dossier compressé
Envoie le dossier compressé sur cijoint.fr au lieu d'envoyer directement le rapport, et poste le lien proposé par le site ici
Fais un clic-droit dessus --> envoyer vers --> dossier compressé
Envoie le dossier compressé sur cijoint.fr au lieu d'envoyer directement le rapport, et poste le lien proposé par le site ici
Ce script va cibler certains éléments à supprimer :
* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle ce script et place le dans ZHPFix
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
Ensuite, utilise cet autre outil de désinfection :
Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.
* Télécharge ComboFix (de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
* Ne touche à rien pendant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle ce script et place le dans ZHPFix
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
Ensuite, utilise cet autre outil de désinfection :
Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.
* Télécharge ComboFix (de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
* Ne touche à rien pendant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Voilà le premier
Rapport de ZHPFix v1.12.3129 par Nicolas Coolman, Update du 27/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-31-07-2010-17-42-07.txt
Run by Brigitte at 31/07/2010 17:42:07
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Processus mémoire ==========
C:\WINDOWS\Clowoa.exe [195072] => Supprimé et mis en quarantaine
C:\DOCUME~1\Brigitte\LOCALS~1\Temp\Cs4.exe [190976] => Supprimé et mis en quarantaine
========== Clé(s) du Registre ==========
O42 - Logiciel: VMN Toolbar - (.Pas de propriétaire.) [HKLM] => Clé supprimée avec succès
O41 - Driver: fdbf (fdbf) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\system32\fdbf.sys => Clé supprimée avec succès
HKCU\Software\PopCap => Clé supprimée avec succès
HKLM\Software\GamesBarSetup => Clé supprimée avec succès
HKLM\Software\Trymedia Systems => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 0bcd777b (0bcd777b) .(.Pas de propriétaire - Pas de description.) - LEGACY_0BCD777B => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - No object (f476c0de) .(.Pas de propriétaire - Pas de description.) - LEGACY_F476C0DE => Clé supprimée avec succès
O64 - Services: CurCS - C:\WINDOWS\system32\fdbf.sys - fdbf (fdbf) .(.Pas de propriétaire - Pas de description.) - LEGACY_FDBF => Clé supprimée avec succès
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\SGTOBQ.sys - sgtobq (sgtobq) .(.Pas de propriétaire - Pas de description.) - LEGACY_SGTOBQ => Clé supprimée avec succès
O83 - Search Svchost Services: SSHNAS (SSHNAS) . (.Electronic Arts - Command And Conquer Generals World Builder.) -- C:\WINDOWS\system32\sshnas21.dll [242176] => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [JDK5SWFMZY] . (.Electronic Arts - Command And Conquer Generals World Builder.) -- C:\DOCUME~1\Brigitte\LOCALS~1\Temp\Cs4.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [{843ECFCC-68B9-65FB-0927-F543CE4484D3}] . (.SOFTWIN S - BitDefend.) -- C:\Documents and Settings\Brigitte\Application Data\Ehotas\waqyd.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-1797374826-749362833-1651452104-1005\..\Run: [JDK5SWFMZY] . (.Electronic Arts - Command And Conquer Generals World Builder.) -- C:\DOCUME~1\Brigitte\LOCALS~1\Temp\Cs4.exe => Valeur absente
O4 - HKUS\S-1-5-21-1797374826-749362833-1651452104-1005\..\Run: [{843ECFCC-68B9-65FB-0927-F543CE4484D3}] . (.SOFTWIN S - BitDefend.) -- C:\Documents and Settings\Brigitte\Application Data\Ehotas\waqyd.exe => Valeur supprimée avec succès
========== Dossier(s) ==========
C:\Program Files\Defense Center => Supprimé et mis en quarantaine
C:\Program Files\GamesBar => Supprimé et mis en quarantaine
========== Fichier(s) ==========
c:\documents and settings\brigitte\application data\ehotas\waqyd.exe => Supprimé et mis en quarantaine
c:\windows\tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job => Supprimé et mis en quarantaine
c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job => Supprimé et mis en quarantaine
c:\windows\system32\sshnas21.dll => Supprimé et mis en quarantaine
========== Logiciel(s) ==========
O42 - Logiciel: VMN Toolbar - (.Pas de propriétaire.) [HKLM] => Logiciel supprimé avec succès
========== Récapitulatif ==========
2 : Processus mémoire
10 : Clé(s) du Registre
4 : Valeur(s) du Registre
2 : Dossier(s)
4 : Fichier(s)
1 : Logiciel(s)
End of the scan
Rapport de ZHPFix v1.12.3129 par Nicolas Coolman, Update du 27/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-31-07-2010-17-42-07.txt
Run by Brigitte at 31/07/2010 17:42:07
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Processus mémoire ==========
C:\WINDOWS\Clowoa.exe [195072] => Supprimé et mis en quarantaine
C:\DOCUME~1\Brigitte\LOCALS~1\Temp\Cs4.exe [190976] => Supprimé et mis en quarantaine
========== Clé(s) du Registre ==========
O42 - Logiciel: VMN Toolbar - (.Pas de propriétaire.) [HKLM] => Clé supprimée avec succès
O41 - Driver: fdbf (fdbf) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\system32\fdbf.sys => Clé supprimée avec succès
HKCU\Software\PopCap => Clé supprimée avec succès
HKLM\Software\GamesBarSetup => Clé supprimée avec succès
HKLM\Software\Trymedia Systems => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 0bcd777b (0bcd777b) .(.Pas de propriétaire - Pas de description.) - LEGACY_0BCD777B => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - No object (f476c0de) .(.Pas de propriétaire - Pas de description.) - LEGACY_F476C0DE => Clé supprimée avec succès
O64 - Services: CurCS - C:\WINDOWS\system32\fdbf.sys - fdbf (fdbf) .(.Pas de propriétaire - Pas de description.) - LEGACY_FDBF => Clé supprimée avec succès
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\SGTOBQ.sys - sgtobq (sgtobq) .(.Pas de propriétaire - Pas de description.) - LEGACY_SGTOBQ => Clé supprimée avec succès
O83 - Search Svchost Services: SSHNAS (SSHNAS) . (.Electronic Arts - Command And Conquer Generals World Builder.) -- C:\WINDOWS\system32\sshnas21.dll [242176] => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [JDK5SWFMZY] . (.Electronic Arts - Command And Conquer Generals World Builder.) -- C:\DOCUME~1\Brigitte\LOCALS~1\Temp\Cs4.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [{843ECFCC-68B9-65FB-0927-F543CE4484D3}] . (.SOFTWIN S - BitDefend.) -- C:\Documents and Settings\Brigitte\Application Data\Ehotas\waqyd.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-1797374826-749362833-1651452104-1005\..\Run: [JDK5SWFMZY] . (.Electronic Arts - Command And Conquer Generals World Builder.) -- C:\DOCUME~1\Brigitte\LOCALS~1\Temp\Cs4.exe => Valeur absente
O4 - HKUS\S-1-5-21-1797374826-749362833-1651452104-1005\..\Run: [{843ECFCC-68B9-65FB-0927-F543CE4484D3}] . (.SOFTWIN S - BitDefend.) -- C:\Documents and Settings\Brigitte\Application Data\Ehotas\waqyd.exe => Valeur supprimée avec succès
========== Dossier(s) ==========
C:\Program Files\Defense Center => Supprimé et mis en quarantaine
C:\Program Files\GamesBar => Supprimé et mis en quarantaine
========== Fichier(s) ==========
c:\documents and settings\brigitte\application data\ehotas\waqyd.exe => Supprimé et mis en quarantaine
c:\windows\tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job => Supprimé et mis en quarantaine
c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job => Supprimé et mis en quarantaine
c:\windows\system32\sshnas21.dll => Supprimé et mis en quarantaine
========== Logiciel(s) ==========
O42 - Logiciel: VMN Toolbar - (.Pas de propriétaire.) [HKLM] => Logiciel supprimé avec succès
========== Récapitulatif ==========
2 : Processus mémoire
10 : Clé(s) du Registre
4 : Valeur(s) du Registre
2 : Dossier(s)
4 : Fichier(s)
1 : Logiciel(s)
End of the scan
Impossible de coller l'integralité du rapport, alors de nouveau passé par Cijoint :
http://www.cijoint.fr/cjlink.php?file=cj201007/cijNA5MnES.txt
http://www.cijoint.fr/cjlink.php?file=cj201007/cijNA5MnES.txt
Il faudrait que tu fasses analyser un fichier en particulier :
* Rends toi sur le site https://www.virustotal.com/gui/
* Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : c:\program files\microsoft\desktoplayer.exe
* Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
* Fais un copier/coller du rapport sur le forum.
Si tu ne trouves pas le fichier, fais ceci :
* Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
* Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
* Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
je mets ceci de côté pour la suite :
C:\WINDOWS\system32\fdbf.sys
C:\Documents and Settings\Brigitte\Application Data\qvjsge.dat
fdbf
* Rends toi sur le site https://www.virustotal.com/gui/
* Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : c:\program files\microsoft\desktoplayer.exe
* Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
* Fais un copier/coller du rapport sur le forum.
Si tu ne trouves pas le fichier, fais ceci :
* Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
* Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
* Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
je mets ceci de côté pour la suite :
C:\WINDOWS\system32\fdbf.sys
C:\Documents and Settings\Brigitte\Application Data\qvjsge.dat
fdbf
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2010.08.01.00 2010.07.31 -
AntiVir 8.2.4.32 2010.07.30 W32/Infector.Gen2
Antiy-AVL 2.0.3.7 2010.07.30 -
Authentium 5.2.0.5 2010.07.31 -
Avast 4.8.1351.0 2010.07.31 Win32:Quolko
Avast5 5.0.332.0 2010.07.31 Win32:Quolko
AVG 9.0.0.851 2010.07.31 Win32/Zbot.A
BitDefender 7.2 2010.08.01 -
CAT-QuickHeal 11.00 2010.07.31 W32.Ramnit.A
ClamAV 0.96.0.3-git 2010.08.01 -
Comodo 5604 2010.08.01 Heur.Packed.Unknown
DrWeb 5.0.2.03300 2010.08.01 Win32.Rmnet
Emsisoft 5.0.0.34 2010.07.30 PWS.Win32!IK
eSafe 7.0.17.0 2010.07.29 -
eTrust-Vet 36.1.7753 2010.07.31 Win32/Ramnit.A
F-Prot 4.6.1.107 2010.07.31 W32/SuspPack.AD.gen!Eldorado
F-Secure 9.0.15370.0 2010.07.31 Suspicious:W32/Malware!Gemini
Fortinet 4.1.143.0 2010.07.31 -
GData 21 2010.08.01 Win32:Quolko
Ikarus T3.1.1.84.0 2010.08.01 PWS.Win32
Jiangmin 13.0.900 2010.08.01 -
Kaspersky 7.0.0.125 2010.08.01 Packed.Win32.Krap.hm
McAfee 5.400.0.1158 2010.08.01 W32/Ramnit.a
McAfee-GW-Edition 2010.1 2010.07.30 W32/Ramnit.a
Microsoft 1.6004 2010.08.01 Virus:Win32/Ramnit.A
NOD32 5329 2010.08.01 Win32/Ramnit.A
Norman 6.05.11 2010.07.31 W32/Ramnit.A
nProtect 2010-08-01.01 2010.08.01 -
Panda 10.0.2.7 2010.07.31 W32/Cosmu.A
PCTools 7.0.3.5 2010.08.01 -
Prevx 3.0 2010.08.01 -
Rising 22.58.05.04 2010.07.31 Win32.Ramnit.a
Sophos 4.56.0 2010.08.01 W32/Patched-I
Sunbelt 6669 2010.08.01 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.08.01 -
Symantec 20101.1.1.7 2010.08.01 -
TheHacker 6.5.2.1.328 2010.07.30 -
TrendMicro 9.120.0.1004 2010.08.01 PE_RAMNIT.A
TrendMicro-HouseCall 9.120.0.1004 2010.08.01 PE_RAMNIT.A
VBA32 3.12.12.7 2010.07.30 -
ViRobot 2010.7.31.3965 2010.07.31 -
VirusBuster 5.0.27.0 2010.07.31 Win32.Ramnit.Gen
Information additionnelle
File size: 116224 bytes
MD5...: 9f3d94c8d383fa4628fe8291372e7915
SHA1..: c75f5d756da5122cb2471e204fff881366510f9c
SHA256: 195791e9d68a2affc1d6dcb79a4330a6c6b2ab65e3b2c75a8acff939d37b8038
ssdeep: 3072:8wcFOOsZg4Hw/h67xHw1ToWIXNfGsN60Ovw2:8COhHhEwFoWkOvw2
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x2e000
timedatestamp.....: 0x477c6ee3 (Thu Jan 03 05:13:07 2008)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x1e000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x1f000 0xe000 0xd400 7.95 d5534549d0a8308e677a762a42257650
.rsrc 0x2d000 0x1000 0x800 4.05 f878e777a5df4a365096aceeaf7a42a9
.rmnet 0x2e000 0xf000 0xe600 7.97 05e4134c9f9300f9d911ee46f9b7bebe
( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.DLL: RegCloseKey
> USER32.DLL: GetMenu
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (35.1%)
Win32 Dynamic Link Library (generic) (31.2%)
Win16/32 Executable Delphi generic (8.5%)
Clipper DOS Executable (8.3%)
Generic Win/DOS Executable (8.2%)
Symantec Reputation Network: Suspicious.Insight https://www.broadcom.com/support/security-center
packers (F-Prot): embedded, UPX
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
AhnLab-V3 2010.08.01.00 2010.07.31 -
AntiVir 8.2.4.32 2010.07.30 W32/Infector.Gen2
Antiy-AVL 2.0.3.7 2010.07.30 -
Authentium 5.2.0.5 2010.07.31 -
Avast 4.8.1351.0 2010.07.31 Win32:Quolko
Avast5 5.0.332.0 2010.07.31 Win32:Quolko
AVG 9.0.0.851 2010.07.31 Win32/Zbot.A
BitDefender 7.2 2010.08.01 -
CAT-QuickHeal 11.00 2010.07.31 W32.Ramnit.A
ClamAV 0.96.0.3-git 2010.08.01 -
Comodo 5604 2010.08.01 Heur.Packed.Unknown
DrWeb 5.0.2.03300 2010.08.01 Win32.Rmnet
Emsisoft 5.0.0.34 2010.07.30 PWS.Win32!IK
eSafe 7.0.17.0 2010.07.29 -
eTrust-Vet 36.1.7753 2010.07.31 Win32/Ramnit.A
F-Prot 4.6.1.107 2010.07.31 W32/SuspPack.AD.gen!Eldorado
F-Secure 9.0.15370.0 2010.07.31 Suspicious:W32/Malware!Gemini
Fortinet 4.1.143.0 2010.07.31 -
GData 21 2010.08.01 Win32:Quolko
Ikarus T3.1.1.84.0 2010.08.01 PWS.Win32
Jiangmin 13.0.900 2010.08.01 -
Kaspersky 7.0.0.125 2010.08.01 Packed.Win32.Krap.hm
McAfee 5.400.0.1158 2010.08.01 W32/Ramnit.a
McAfee-GW-Edition 2010.1 2010.07.30 W32/Ramnit.a
Microsoft 1.6004 2010.08.01 Virus:Win32/Ramnit.A
NOD32 5329 2010.08.01 Win32/Ramnit.A
Norman 6.05.11 2010.07.31 W32/Ramnit.A
nProtect 2010-08-01.01 2010.08.01 -
Panda 10.0.2.7 2010.07.31 W32/Cosmu.A
PCTools 7.0.3.5 2010.08.01 -
Prevx 3.0 2010.08.01 -
Rising 22.58.05.04 2010.07.31 Win32.Ramnit.a
Sophos 4.56.0 2010.08.01 W32/Patched-I
Sunbelt 6669 2010.08.01 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.08.01 -
Symantec 20101.1.1.7 2010.08.01 -
TheHacker 6.5.2.1.328 2010.07.30 -
TrendMicro 9.120.0.1004 2010.08.01 PE_RAMNIT.A
TrendMicro-HouseCall 9.120.0.1004 2010.08.01 PE_RAMNIT.A
VBA32 3.12.12.7 2010.07.30 -
ViRobot 2010.7.31.3965 2010.07.31 -
VirusBuster 5.0.27.0 2010.07.31 Win32.Ramnit.Gen
Information additionnelle
File size: 116224 bytes
MD5...: 9f3d94c8d383fa4628fe8291372e7915
SHA1..: c75f5d756da5122cb2471e204fff881366510f9c
SHA256: 195791e9d68a2affc1d6dcb79a4330a6c6b2ab65e3b2c75a8acff939d37b8038
ssdeep: 3072:8wcFOOsZg4Hw/h67xHw1ToWIXNfGsN60Ovw2:8COhHhEwFoWkOvw2
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x2e000
timedatestamp.....: 0x477c6ee3 (Thu Jan 03 05:13:07 2008)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x1e000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x1f000 0xe000 0xd400 7.95 d5534549d0a8308e677a762a42257650
.rsrc 0x2d000 0x1000 0x800 4.05 f878e777a5df4a365096aceeaf7a42a9
.rmnet 0x2e000 0xf000 0xe600 7.97 05e4134c9f9300f9d911ee46f9b7bebe
( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.DLL: RegCloseKey
> USER32.DLL: GetMenu
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (35.1%)
Win32 Dynamic Link Library (generic) (31.2%)
Win16/32 Executable Delphi generic (8.5%)
Clipper DOS Executable (8.3%)
Generic Win/DOS Executable (8.2%)
Symantec Reputation Network: Suspicious.Insight https://www.broadcom.com/support/security-center
packers (F-Prot): embedded, UPX
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour sulak911, il n'est pas transposable sur un autre ordinateur !
* Télécharge ce dossier sulak911.zip
* Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
* Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
* Télécharge ce dossier sulak911.zip
* Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
* Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
Je n'ai pas réussi à le faire. Quand j'ai essayé, c'est comme si mon PC devenait fou : impossible de clicquer sur quoi que ce soit sans ouvrir une fenêtre security tool.
Ensuite le pC se coupe et redémarre sans arrêt. Même en essayant en mode sans échec, impossible de faire quoi que ce soit. Ca fait deux heures que j'essaie et là miracle il semble avoir accepté une restauration système et Security Tool ne s'ouvre plus toutes les 2 secondes.
Je vais tenter la procédure à nouveau.
Ensuite le pC se coupe et redémarre sans arrêt. Même en essayant en mode sans échec, impossible de faire quoi que ce soit. Ca fait deux heures que j'essaie et là miracle il semble avoir accepté une restauration système et Security Tool ne s'ouvre plus toutes les 2 secondes.
Je vais tenter la procédure à nouveau.
Mon PC est out
J'ai réussi à suivre la procédure et j'ai juste eu le temps de sauvegarder le rapport combofix.
Depuis, mon Pc n'arrête pas de s'éteindre et de se rallumer Ça doit faire 102 fois depuis 16h30.
Impossible d'en tirer quoi que ce soit. Il ne fait que s'éteindre et se rallumer.
J'écris de mon smartphone, parceque mon pc, je crois qu'il est bon pour une visite au SAV.
J'ai réussi à suivre la procédure et j'ai juste eu le temps de sauvegarder le rapport combofix.
Depuis, mon Pc n'arrête pas de s'éteindre et de se rallumer Ça doit faire 102 fois depuis 16h30.
Impossible d'en tirer quoi que ce soit. Il ne fait que s'éteindre et se rallumer.
J'écris de mon smartphone, parceque mon pc, je crois qu'il est bon pour une visite au SAV.
"je crois qu'il est bon pour une visite au SAV"
==> Pourquoi, il est encore sous garantie ?
Je pense savoir d'où vient le problème... Il faudrait que tu utilises un autre ordinateur et que tu télécharges OTLPE depuis un de ces deux liens :
http://oldtimer.geekstogo.com/OTLPENet.exe
http://ottools.noahdfear.net/OTLPENet.exe
- Insère un CD dans le graveur et double-clique sur le fichier pour lancer la gravure.
- Quand le CD sera gravé, insère le dans l'ordinateur dont on s'occupe et démarre dessus en suivant ce tutoriel.
- Une fois démarré sur le LiveCD, lance OTL.
- Copie/colle dans Customs/scan le script suivant :
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
:commands
[emptytemp]
- Ensuite clique sur "Run fix" et fais redémarrer l'ordinateur.
L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
==> Pourquoi, il est encore sous garantie ?
Je pense savoir d'où vient le problème... Il faudrait que tu utilises un autre ordinateur et que tu télécharges OTLPE depuis un de ces deux liens :
http://oldtimer.geekstogo.com/OTLPENet.exe
http://ottools.noahdfear.net/OTLPENet.exe
- Insère un CD dans le graveur et double-clique sur le fichier pour lancer la gravure.
- Quand le CD sera gravé, insère le dans l'ordinateur dont on s'occupe et démarre dessus en suivant ce tutoriel.
- Une fois démarré sur le LiveCD, lance OTL.
- Copie/colle dans Customs/scan le script suivant :
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
:commands
[emptytemp]
- Ensuite clique sur "Run fix" et fais redémarrer l'ordinateur.
L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
