Sujet Précédent Sujet Suivant

Security tool Windows 7 persistant

Fermé
Barthel67 Messages postés 24 Date d'inscription mardi 18 mai 2010 Statut Membre Dernière intervention 13 janvier 2011 - 8 août 2010 à 00:34
 Utilisateur anonyme - 1 oct. 2010 à 22:27
Bonjour,

Mon ordinateur personnel est actuellement infecté par le virus security tool...

J'ai bien parcouru les sujets existants sur le problème mais hélas rien n'est arrangé malgré les manipulations réalisées.

Tout d'abord l'activation de Security tool (ST) amène à un blue screen of death...

Ce que j'ai fait:

Redémarrage en mode sans échec: ST est de nouveau là et m'empêche l'accès a tout (même paint pour immortaliser les bonne fautes d'ortographes.. et donc par la même avast!, le gestionnaires de taches...)

Redémarrage en mode sans échec avec prise en charge réseau : ST ne montre pas le bout de son nez, super ! J'ai donc pu installer Malwarebytes... J'ai suivi la procédure de supression etc.. ST est censé me laisser tranquil...

Redémarrage en mode normal: ST refait surface = Blue screen

Redémarrage en mode sans échec avec prise en charge réseau, rescann (complet) avec malwarebytes, supressions des fichiers (encore...) infecté.

Redémarrage en mode sans échec (simple) : ST ne pointe pas le bout de son nez, plannifictation d'un scann au démarrage (avast!) avec autorisation supression ou déplacement.... victoire ?

Non...

Redémarrage en mode normal : ST toujours présent = Blue screen...

Redémarrage en mode sans échec (simple): Essai de supression manuelle des fichiers ST dans C:/windows/winsxs et c:/windows/winsxs/Manifest. Les fichiers contenu dans ce dernier nécessitent une autorisation de trustedintaller (ayant quelques sujets de forums la dessus j'ai préféré ne rien toucher...)...

Et là, je ne sais plus quoi faire, du coup je m'en remet à vous !


NOTA: Mon pc, avant l'apparition de ST souffrait (la journée de l'infection) de redémarrage intempestif ( démarrage, entrée mdp, arrivée bureau, lancement steam, skype => fermeture steam/skype arret du système de rémarrage etc en boucle. INFO: aucun démarrage n'a abouti a une situation stable) phénomène peu être dû à une mise à jour (les fameux 10 minutes avant reboot que l'on peut reporter à 1h ou 4h, eh ben il m'a surpris en pleine utilisation du pc). N'ayant pas assez de place (disque dur) pour faire la mise (cas TRES probable) peut etre que la mise à jour joue un rôle dans l'apparition de ST...


BONUS: Si vous arrivez à vous en sortir et à m'aider avec tous ça: CHAPEAU !

Bon courage et merci d'avance pour votre aide... ou même d'avoir lu !

P.S: Mon boulot d'été ne me permet que de répondre tardivement à vos éventuels posts.
A voir également:

26 réponses

  • 1
  • 2
Réponse 1 / 26
Utilisateur anonyme
8 août 2010 à 00:58
salut :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

▶ laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶ Fais de même avec more.txt qui se trouve sur ton bureau
1
Réponse 2 / 26
Barthel67 Messages postés 24 Date d'inscription mardi 18 mai 2010 Statut Membre Dernière intervention 13 janvier 2011 4
9 août 2010 à 00:06
Bonjour/bonsoir,

Je n'ai pas pu désactiver le firewall (il est enabled dans le rapport).

L'éxecution en tant qu'administrateur à débouché sur une erreur type "fichier manque ou introuvable", du coup le lancement sans les droits admin à fonctionné.

En tout cas le scan c'est bien passé et le fichier et sur cijoint à l'adresse suivante:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijxAMeMcp.txt

J'ai un peu lu le rapport, et j'ai quelque questions sur le contenu de ce rapport, que je réserve pour plus tard, une fois le problème résolu !

Je tiens à préciser que ma version de windows 7 est bien officielle, enregistrée etc..

Voilà, merci et à demain :)

PS: gg pour le programme ! Avoir son propre programme pour aider les gens en cas de problème ça doit être une pure satisfaction non ?
0
Réponse 3 / 26
Utilisateur anonyme
9 août 2010 à 00:10
il en manque un ...........
0
Réponse 4 / 26
Barthel67 Messages postés 24 Date d'inscription mardi 18 mai 2010 Statut Membre Dernière intervention 13 janvier 2011 4
9 août 2010 à 01:06
:O -> uber boulet là...

Voici le lien du deuxieme:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijw6NHB4k.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
Utilisateur anonyme
9 août 2010 à 19:44
hello

▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\Windows\system32\cnoqkd.dll
C:\Windows\System32\akcu.dll
C:\Windows\System32\ibfs32.dll
C:\Windows\System32\kcmd.dll
C:\Windows\System32\kqkx.dll


* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

ensuite :

▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

▶ choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse
0
Réponse 6 / 26
Barthel67 Messages postés 24 Date d'inscription mardi 18 mai 2010 Statut Membre Dernière intervention 13 janvier 2011 4
11 août 2010 à 12:20
Bonjour,

J'ai essayé de faire comme tu me l'a indiqué, mais je n'ai pas accès a internet, même en mode sans échec avec prise en charge réseau et connecté en filaire.

IE et FF refusent du m'afficher la page, pourtant dans le centre réseau et partage, il st bien indiqué que ma conection internet est active et discponible à l'utilisation...
0
Réponse 7 / 26
Utilisateur anonyme
11 août 2010 à 12:58
fais l option clean , et copie les fichiers à controler sur clé usb dans un autre pc pour suivre la procedure
0
Réponse 8 / 26
Barthel67 Messages postés 24 Date d'inscription mardi 18 mai 2010 Statut Membre Dernière intervention 13 janvier 2011 4
12 août 2010 à 23:39
Up, je n'oublie pas, je n'ai pas le temps en ce moment. Merci de ta patience.
0
Réponse 9 / 26
Utilisateur anonyme
13 août 2010 à 00:29
pas de soucis bonsoir :)
0
Réponse 10 / 26
Barthel67 Messages postés 24 Date d'inscription mardi 18 mai 2010 Statut Membre Dernière intervention 13 janvier 2011 4
30 août 2010 à 17:43
Bonjour, après un petit temps d'absence je reviens avec des infos:

cnoqkd.dll :

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
cnoqkd.dll
Submission date:
2010-08-30 11:05:25 (UTC)
Current status:
queued queued analysing finished
Result:
22/ 43 (51.2%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.29.00 2010.08.28 Trojan/Win32.Stubits
AntiVir 8.2.4.46 2010.08.30 -
Antiy-AVL 2.0.3.7 2010.08.30 -
Authentium 5.2.0.5 2010.08.29 -
Avast 4.8.1351.0 2010.08.29 -
Avast5 5.0.594.0 2010.08.29 -
AVG 9.0.0.851 2010.08.30 Agent2.BFFJ
BitDefender 7.2 2010.08.30 Trojan.Generic.4592289
CAT-QuickHeal 11.00 2010.08.30 -
ClamAV 0.96.2.0-git 2010.08.30 -
Comodo 5909 2010.08.30 ApplicUnsaf.Win32.Brih.a
DrWeb 5.0.2.03300 2010.08.30 Trojan.Click1.25301
Emsisoft 5.0.0.37 2010.08.30 Trojan.Agent2!IK
eSafe 7.0.17.0 2010.08.29 -
eTrust-Vet 36.1.7826 2010.08.30 -
F-Prot 4.6.1.107 2010.08.29 -
F-Secure 9.0.15370.0 2010.08.30 Trojan.Generic.4592289
Fortinet 4.1.143.0 2010.08.29 W32/Agent.OFJ!tr
GData 21 2010.08.30 Trojan.Generic.4592289
Ikarus T3.1.1.88.0 2010.08.30 Trojan.Agent2
Jiangmin 13.0.900 2010.08.30 -
K7AntiVirus 9.63.2386 2010.08.28 Riskware
Kaspersky 7.0.0.125 2010.08.30 -
McAfee 5.400.0.1158 2010.08.30 Artemis!B3EFB184D576
McAfee-GW-Edition 2010.1B 2010.08.30 Artemis!B3EFB184D576
Microsoft 1.6103 2010.08.30 -
NOD32 5408 2010.08.30 Win32/Agent.RNB
Norman 6.05.11 2010.08.30 W32/Smalltroj.ZIWR
nProtect 2010-08-30.01 2010.08.30 Trojan.Generic.4592289
Panda 10.0.2.7 2010.08.30 -
PCTools 7.0.3.5 2010.08.30 -
Prevx 3.0 2010.08.30 High Risk Cloaked Malware
Rising 22.63.00.03 2010.08.30 -
Sophos 4.56.0 2010.08.30 Troj/Agent-OFJ
Sunbelt 6812 2010.08.30 Trojan.Win32.Browser-Winsock.Hijacker
SUPERAntiSpyware 4.40.0.1006 2010.08.30 -
Symantec 20101.1.1.7 2010.08.30 -
TheHacker 6.5.2.1.359 2010.08.30 -
TrendMicro 9.120.0.1004 2010.08.30 TROJ_STUBITS.A
TrendMicro-HouseCall 9.120.0.1004 2010.08.30 TROJ_STUBITS.A
VBA32 3.12.14.0 2010.08.30 -
ViRobot 2010.8.9.3978 2010.08.30 -
VirusBuster 5.0.27.0 2010.08.29 Trojan.Agent.YLKG
Additional information
Show all
MD5 : b3efb184d5762dabce4c0ac7b6e188bf
SHA1 : e6dc04c8c5a4965e093b9a96c219b998bb86e9b1
SHA256: 7d40af468b30ae2426063d3590ba215e8d10d3a12095fb5af9ba3dd884c5787a
ssdeep: 192:/wjHWy8YkntA5huI/2NLEFYjf+8AFup3e:4L7/kGXuI/aL5pu
File size : 8192 bytes
First seen: 2010-07-23 15:18:23
Last seen : 2010-08-30 11:05:25
TrID:
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x1410
timedatestamp....: 0x4C46F543 (Wed Jul 21 13:25:23 2010)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x12B2, 0x1400, 6.07, cb94cf75c209beb01a273ed5c7516c86
.rdata, 0x3000, 0x2FD, 0x400, 3.88, 0b75dd81c6aa12ea35fb354c4887ef81
.data, 0x4000, 0x78, 0x200, 0.31, f0f4f53dfd61aa2546d9fbcee5627038
.reloc, 0x5000, 0x130, 0x200, 2.93, a77c08f6b71b7d67beede025f13d8027

[[ 2 import(s) ]]
WS2_32.dll: WSCEnumProtocols, getnameinfo, -, -, WSCGetProviderPath
KERNEL32.dll: LoadLibraryW, ExpandEnvironmentStringsA, LoadLibraryA, LeaveCriticalSection, EnterCriticalSection, FindAtomA, DeleteCriticalSection, FreeLibrary, InitializeCriticalSection, WideCharToMultiByte, HeapAlloc, ExpandEnvironmentStringsW, HeapFree, GetProcAddress, GetLastError, HeapCreate

[[ 2 export(s) ]]
GetLspGuid, WSPStartup
Prevx Info:
http://info.prevx.com/aboutprogramtext.asp?PX5=735DB25700952011205C0036C52BF8009271D5EB

VT Community

0

akcu.dll :


AhnLab-V3 2010.08.29.00 2010.08.28 Trojan/Win32.Stubits
AntiVir 8.2.4.46 2010.08.30 -
Antiy-AVL 2.0.3.7 2010.08.30 -
Authentium 5.2.0.5 2010.08.29 -
Avast 4.8.1351.0 2010.08.29 -
Avast5 5.0.594.0 2010.08.29 -
AVG 9.0.0.851 2010.08.30 Agent2.BFFJ
BitDefender 7.2 2010.08.30 Trojan.Generic.4592289
CAT-QuickHeal 11.00 2010.08.30 -
ClamAV 0.96.2.0-git 2010.08.30 -
Comodo 5909 2010.08.30 ApplicUnsaf.Win32.Brih.a
DrWeb 5.0.2.03300 2010.08.30 Trojan.Click1.25301
Emsisoft 5.0.0.37 2010.08.30 Trojan.Agent2!IK
eSafe 7.0.17.0 2010.08.29 -
eTrust-Vet 36.1.7826 2010.08.30 -
F-Prot 4.6.1.107 2010.08.29 -
F-Secure 9.0.15370.0 2010.08.30 Trojan.Generic.4592289
Fortinet 4.1.143.0 2010.08.29 W32/Agent.OFJ!tr
GData 21 2010.08.30 Trojan.Generic.4592289
Ikarus T3.1.1.88.0 2010.08.30 Trojan.Agent2
Jiangmin 13.0.900 2010.08.30 -
K7AntiVirus 9.63.2386 2010.08.28 Riskware
Kaspersky 7.0.0.125 2010.08.30 -
McAfee 5.400.0.1158 2010.08.30 Artemis!B3EFB184D576
McAfee-GW-Edition 2010.1B 2010.08.30 Artemis!B3EFB184D576
Microsoft 1.6103 2010.08.30 -
NOD32 5408 2010.08.30 Win32/Agent.RNB
Norman 6.05.11 2010.08.30 W32/Smalltroj.ZIWR
nProtect 2010-08-30.01 2010.08.30 Trojan.Generic.4592289
Panda 10.0.2.7 2010.08.30 -
PCTools 7.0.3.5 2010.08.30 -
Prevx 3.0 2010.08.30 High Risk Cloaked Malware
Rising 22.63.00.03 2010.08.30 -
Sophos 4.56.0 2010.08.30 Troj/Agent-OFJ
Sunbelt 6812 2010.08.30 Trojan.Win32.Browser-Winsock.Hijacker
SUPERAntiSpyware 4.40.0.1006 2010.08.30 -
Symantec 20101.1.1.7 2010.08.30 -
TheHacker 6.5.2.1.359 2010.08.30 -
TrendMicro 9.120.0.1004 2010.08.30 TROJ_STUBITS.A
TrendMicro-HouseCall 9.120.0.1004 2010.08.30 TROJ_STUBITS.A
VBA32 3.12.14.0 2010.08.30 -
ViRobot 2010.8.9.3978 2010.08.30 -
VirusBuster 5.0.27.0 2010.08.30 Trojan.Agent.YLKG

MD5: b3efb184d5762dabce4c0ac7b6e188bf
SHA1: e6dc04c8c5a4965e093b9a96c219b998bb86e9b1
SHA256: 7d40af468b30ae2426063d3590ba215e8d10d3a12095fb5af9ba3dd884c5787a
File size: 8192 bytes
Scan date: 2010-08-30 11:09:23 (UTC)



ibfs32.dll :

Antivirus Version Last update Result
AhnLab-V3 2010.08.29.00 2010.08.28 -
AntiVir 8.2.4.46 2010.08.30 -
Antiy-AVL 2.0.3.7 2010.08.30 -
Authentium 5.2.0.5 2010.08.29 W32/Heuristic-210!Eldorado
Avast 4.8.1351.0 2010.08.29 -
Avast5 5.0.594.0 2010.08.29 -
AVG 9.0.0.851 2010.08.30 -
BitDefender 7.2 2010.08.30 -
CAT-QuickHeal 11.00 2010.08.30 -
ClamAV 0.96.2.0-git 2010.08.30 PUA.Packed.PECompact-1
DrWeb 5.0.2.03300 2010.08.30 -
Emsisoft 5.0.0.37 2010.08.30 -
eSafe 7.0.17.0 2010.08.29 Suspicious File
eTrust-Vet 36.1.7826 2010.08.30 -
F-Prot 4.6.1.107 2010.08.29 W32/Heuristic-210!Eldorado
F-Secure 9.0.15370.0 2010.08.30 -
Fortinet 4.1.143.0 2010.08.29 -
GData 21 2010.08.30 -
Ikarus T3.1.1.88.0 2010.08.30 -
Jiangmin 13.0.900 2010.08.30 -
K7AntiVirus 9.63.2386 2010.08.28 -
Kaspersky 7.0.0.125 2010.08.30 -
McAfee 5.400.0.1158 2010.08.30 -
McAfee-GW-Edition 2010.1B 2010.08.30 -
Microsoft 1.6103 2010.08.30 -
NOD32 5408 2010.08.30 -
Norman 6.05.11 2010.08.30 -
nProtect 2010-08-30.01 2010.08.30 -
Panda 10.0.2.7 2010.08.30 -
PCTools 7.0.3.5 2010.08.30 -
Prevx 3.0 2010.08.30 -
Rising 22.63.00.03 2010.08.30 -
Sophos 4.56.0 2010.08.30 -
Sunbelt 6812 2010.08.30 -
SUPERAntiSpyware 4.40.0.1006 2010.08.30 -
Symantec 20101.1.1.7 2010.08.30 -
TheHacker 6.5.2.1.359 2010.08.30 -
TrendMicro 9.120.0.1004 2010.08.30 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.30 -
VBA32 3.12.14.0 2010.08.30 -
ViRobot 2010.8.9.3978 2010.08.30 -
VirusBuster 5.0.27.0 2010.08.30 -


MD5: c88e9e0496fb6d72ef3fad79f2076537
SHA1: 77f460be98d5bac3057899c85320d1a05d857bcb
SHA256: 24547846e8c005885475aa7885a5af964586920942b9b56510559c6c37bc0c58
File size: 15360 bytes
Scan date: 2010-08-30 11:11:09 (UTC)


kmcd.dll :


Antivirus Version Last update Result
AhnLab-V3 2010.08.29.00 2010.08.28 Trojan/Win32.Stubits
AntiVir 8.2.4.46 2010.08.30 -
Antiy-AVL 2.0.3.7 2010.08.30 -
Authentium 5.2.0.5 2010.08.29 -
Avast 4.8.1351.0 2010.08.29 -
Avast5 5.0.594.0 2010.08.29 -
AVG 9.0.0.851 2010.08.30 Agent2.BFFJ
BitDefender 7.2 2010.08.30 Trojan.Generic.4592289
CAT-QuickHeal 11.00 2010.08.30 -
ClamAV 0.96.2.0-git 2010.08.30 -
Comodo 5909 2010.08.30 ApplicUnsaf.Win32.Brih.a
DrWeb 5.0.2.03300 2010.08.30 Trojan.Click1.25301
Emsisoft 5.0.0.37 2010.08.30 Trojan.Agent2!IK
eSafe 7.0.17.0 2010.08.29 -
eTrust-Vet 36.1.7826 2010.08.30 -
F-Prot 4.6.1.107 2010.08.29 -
F-Secure 9.0.15370.0 2010.08.30 Trojan.Generic.4592289
Fortinet 4.1.143.0 2010.08.29 W32/Agent.OFJ!tr
GData 21 2010.08.30 Trojan.Generic.4592289
Ikarus T3.1.1.88.0 2010.08.30 Trojan.Agent2
Jiangmin 13.0.900 2010.08.30 -
K7AntiVirus 9.63.2386 2010.08.28 Riskware
Kaspersky 7.0.0.125 2010.08.30 -
McAfee 5.400.0.1158 2010.08.30 Artemis!B3EFB184D576
McAfee-GW-Edition 2010.1B 2010.08.30 Artemis!B3EFB184D576
Microsoft 1.6103 2010.08.30 -
NOD32 5408 2010.08.30 Win32/Agent.RNB
Norman 6.05.11 2010.08.30 W32/Smalltroj.ZIWR
nProtect 2010-08-30.01 2010.08.30 Trojan.Generic.4592289
PCTools 7.0.3.5 2010.08.30 -
Prevx 3.0 2010.08.30 High Risk Cloaked Malware
Rising 22.63.00.03 2010.08.30 -
Sophos 4.56.0 2010.08.30 Troj/Agent-OFJ
Sunbelt 6812 2010.08.30 Trojan.Win32.Browser-Winsock.Hijacker
SUPERAntiSpyware 4.40.0.1006 2010.08.30 -
Symantec 20101.1.1.7 2010.08.30 -
TheHacker 6.5.2.1.359 2010.08.30 -
TrendMicro 9.120.0.1004 2010.08.30 TROJ_STUBITS.A
TrendMicro-HouseCall 9.120.0.1004 2010.08.30 TROJ_STUBITS.A
VBA32 3.12.14.0 2010.08.30 -
ViRobot 2010.8.9.3978 2010.08.30 -
VirusBuster 5.0.27.0 2010.08.30 Trojan.Agent.YLKG

MD5: b3efb184d5762dabce4c0ac7b6e188bf
SHA1: e6dc04c8c5a4965e093b9a96c219b998bb86e9b1
SHA256: 7d40af468b30ae2426063d3590ba215e8d10d3a12095fb5af9ba3dd884c5787a
File size: 8192 bytes
Scan date: 2010-08-30 11:16:12 (UTC)


kqkx.dll :

Antivirus Version Last update Result
AhnLab-V3 2010.08.29.00 2010.08.28 Trojan/Win32.Stubits
AntiVir 8.2.4.46 2010.08.30 -
Antiy-AVL 2.0.3.7 2010.08.30 -
Authentium 5.2.0.5 2010.08.29 -
Avast 4.8.1351.0 2010.08.29 -
Avast5 5.0.594.0 2010.08.29 -
AVG 9.0.0.851 2010.08.30 Agent2.BFFJ
BitDefender 7.2 2010.08.30 Trojan.Generic.4592289
CAT-QuickHeal 11.00 2010.08.30 -
ClamAV 0.96.2.0-git 2010.08.30 -
Comodo 5909 2010.08.30 ApplicUnsaf.Win32.Brih.a
DrWeb 5.0.2.03300 2010.08.30 Trojan.Click1.25301
Emsisoft 5.0.0.37 2010.08.30 Trojan.Agent2!IK
eSafe 7.0.17.0 2010.08.29 -
eTrust-Vet 36.1.7826 2010.08.30 -
F-Prot 4.6.1.107 2010.08.29 -
F-Secure 9.0.15370.0 2010.08.30 Trojan.Generic.4592289
Fortinet 4.1.143.0 2010.08.29 W32/Agent.OFJ!tr
GData 21 2010.08.30 Trojan.Generic.4592289
Ikarus T3.1.1.88.0 2010.08.30 Trojan.Agent2
Jiangmin 13.0.900 2010.08.30 -
K7AntiVirus 9.63.2386 2010.08.28 Riskware
Kaspersky 7.0.0.125 2010.08.30 -
McAfee 5.400.0.1158 2010.08.30 Artemis!B3EFB184D576
McAfee-GW-Edition 2010.1B 2010.08.30 Artemis!B3EFB184D576
Microsoft 1.6103 2010.08.30 -
NOD32 5408 2010.08.30 Win32/Agent.RNB
Norman 6.05.11 2010.08.30 W32/Smalltroj.ZIWR
nProtect 2010-08-30.01 2010.08.30 Trojan.Generic.4592289
Panda 10.0.2.7 2010.08.30 -
PCTools 7.0.3.5 2010.08.30 -
Prevx 3.0 2010.08.30 High Risk Cloaked Malware
Rising 22.63.00.03 2010.08.30 -
Sophos 4.56.0 2010.08.30 Troj/Agent-OFJ
Sunbelt 6812 2010.08.30 Trojan.Win32.Browser-Winsock.Hijacker
SUPERAntiSpyware 4.40.0.1006 2010.08.30 -
Symantec 20101.1.1.7 2010.08.30 -
TheHacker 6.5.2.1.359 2010.08.30 -
TrendMicro 9.120.0.1004 2010.08.30 TROJ_STUBITS.A
TrendMicro-HouseCall 9.120.0.1004 2010.08.30 TROJ_STUBITS.A
VBA32 3.12.14.0 2010.08.30 -
ViRobot 2010.8.9.3978 2010.08.30 -
VirusBuster 5.0.27.0 2010.08.30 Trojan.Agent.YLKG

MD5: b3efb184d5762dabce4c0ac7b6e188bf
SHA1: e6dc04c8c5a4965e093b9a96c219b998bb86e9b1
SHA256: 7d40af468b30ae2426063d3590ba215e8d10d3a12095fb5af9ba3dd884c5787a
File size: 8192 bytes
Scan date: 2010-08-30 11:18:47 (UTC)



Et le rapport kill'em :

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.2.5 ¤¤¤¤¤¤¤¤¤¤

User : Barth (Administrateurs)
Update on 07/08/2010 by g3n-h@ckm@n ::::: 19.00
Start at: 13:22:41 | 30/08/2010

Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz
Microsoft Windows 7 Professionnel (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 19,53 Go (2,36 Go free) [Mother Land] | NTFS
D:\ -> Disque CD-ROM | 654,53 Mo (0 Mo free) [Expansion] | CDFS
E:\ -> Disque fixe local | 149,05 Go (6,03 Go free) [OMGWTFBBQ] | NTFS
F:\ -> Disque fixe local | 129,42 Go (15,87 Go free) [Mr Deltoïde] | NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM
J:\ -> Disque amovible


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\Windows\System32\smss.exe ----0 Ko
C:\Windows\system32\csrss.exe ----0 Ko
C:\Windows\system32\wininit.exe ----0 Ko
C:\Windows\system32\csrss.exe ----0 Ko
C:\Windows\system32\services.exe ----0 Ko
C:\Windows\system32\lsass.exe ----0 Ko
C:\Windows\system32\lsm.exe ----0 Ko
C:\Windows\system32\svchost.exe ----0 Ko
C:\Windows\system32\winlogon.exe ----0 Ko
C:\Windows\system32\nvvsvc.exe ----0 Ko
C:\Windows\system32\svchost.exe ----0 Ko
C:\Windows\System32\svchost.exe ----0 Ko
C:\Windows\System32\svchost.exe ----0 Ko
C:\Windows\system32\svchost.exe ----0 Ko
C:\Windows\system32\svchost.exe ----0 Ko
C:\Windows\system32\nvvsvc.exe ----0 Ko
C:\Windows\system32\svchost.exe ----0 Ko
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe ----0 Ko
E:\Program Files\Alwil Software\Avast4\ashServ.exe ----0 Ko
C:\Windows\system32\Dwm.exe ----0 Ko
C:\Windows\Explorer.EXE ----0 Ko
C:\Windows\System32\spoolsv.exe ----0 Ko
C:\Windows\system32\taskhost.exe ----0 Ko
C:\Windows\system32\runonce.exe ----0 Ko
C:\Windows\system32\svchost.exe ----0 Ko
C:\Windows\system32\aestsrv.exe ----0 Ko
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe ----0 Ko
C:\Windows\system32\cmd.exe ----0 Ko
E:\Program Files\Alwil Software\Avast4\setup\avast.setup ----0 Ko
C:\Program Files\Bonjour\mDNSResponder.exe ----0 Ko
C:\Windows\system32\conhost.exe ----0 Ko
C:\Windows\system32\svchost.exe ----0 Ko
C:\Windows\system32\PnkBstrA.exe ----0 Ko
C:\Windows\system32\PnkBstrB.exe ----0 Ko
C:\Windows\system32\STacSV.exe ----0 Ko
E:\Program Files\Alwil Software\Avast4\ashWebSv.exe ----0 Ko
E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe ----0 Ko
C:\Windows\system32\wbem\wmiprvse.exe ----0 Ko
C:\Windows\system32\WUDFHost.exe ----0 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----0 Ko
C:\Program Files\List_Kill'em\pv.exe ----0 Ko

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\ProgramData\nvModes.001
Quarantined & Deleted !! : C:\ProgramData\nvModes.dat
Quarantined & Deleted !! : C:\Program Files\INSTALL.LOG

Quarantined & Deleted !! : C:\Windows\Temp\cbs5A8E.tmp
Quarantined & Deleted !! : C:\Windows\winstart.bat
Quarantined & Deleted !! : C:\Users\Barth\AppData\Local\GDIPFONTCACHEV1.DAT

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

Deleted : HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : cbssreg
Deleted : HKLM\SYSTEM\CurrentControlSet\Services\bcm4sbxp
Deleted : HKLM\SYSTEM\ControlSet002\Services\bcm4sbxp

=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval = 0 (0x0)
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 1 (0x1)
FirewallOverride = 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================

FEATURE_BROWSER_EMULATION | svchost :
====================================

Deleted : HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION : svchost.exe

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8567D1F8]<<
kernel: MBR read successfully
user & kernel MBR OK




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



Merci :)
0
Réponse 11 / 26
Utilisateur anonyme
30 août 2010 à 18:28
essaie de supprimer manuellement tout ce que je t ai fait analyser sur virus total ce sont des fichiers verolés
0
Réponse 12 / 26
Barthel67 Messages postés 24 Date d'inscription mardi 18 mai 2010 Statut Membre Dernière intervention 13 janvier 2011 4
30 août 2010 à 19:57
cnoqkd.dll ne peut etre supprimé, il est utilisé par service.exe, la suppression du reste s'est déroulée sans soucis.

Que dois-je faire ensuite ?
0
Réponse 13 / 26
Utilisateur anonyme
30 août 2010 à 20:21
essaie de la supprimer en mode sans echec
0
Réponse 14 / 26
Barthel67 Messages postés 24 Date d'inscription mardi 18 mai 2010 Statut Membre Dernière intervention 13 janvier 2011 4
18 sept. 2010 à 16:11
bonjour,

j'ai fait tout ce que vous m'avez demandé, l'ordinateur fonctionne sans problème, à un détail près: mon fichier host a disparu, et la possibilité de consulter n'importe quel site web aussi... est-ce du à la réparation ? ou est-ce un autre problème ?
0
Réponse 15 / 26
Utilisateur anonyme
18 sept. 2010 à 17:52
salut

comment sais-tu que ton fichier host a disparu ?
0
Réponse 16 / 26
Barthel67 Messages postés 24 Date d'inscription mardi 18 mai 2010 Statut Membre Dernière intervention 13 janvier 2011 4
19 sept. 2010 à 16:14
J'ai du configurer mon pc pour un réseau VPN pour l'école ou je suis. Et c'est en voulant consulter le site de l'école que l'erreur s'est produite: La page web ne s'affichait pas. Après plusieurs vérifications, notre administrateur réseau a regardé mon pc et m'a dit que le fichier host n'est plus dans wondows/system32/drivers... maintenant, je n'arrive plus a consulter de site du tout...
0
Réponse 17 / 26
yuyu
19 sept. 2010 à 17:36
tu dois avoir un lien pour que sa revienne efface tes cookie change ton antivirus il n est pas au top prends comodo version 5 regarde ton pare feu si il est pas desactiver parfois les virus desactive le pare feu efface les point de restauration les plus recemt fait un nettoyage avec ccleaner sa devrai aller
0
Réponse 18 / 26
Utilisateur anonyme
20 sept. 2010 à 09:23
non il est en fichier caché mais bien present sinon la lecture en aurait ete impossible :

=======
Hosts :
=======

127.0.0.1 localhost
0
Réponse 19 / 26
Barthel67 Messages postés 24 Date d'inscription mardi 18 mai 2010 Statut Membre Dernière intervention 13 janvier 2011 4
20 sept. 2010 à 18:19
Hé bien non il n'y est pas/plus...
Même en affichant les fichiers caché il n'apparaît pas. De plus l'info dossier indique comme quoi il
N'y a que 4 fichiers dans /etc.. Je pense que ça sent plutôt mauvais là..
0
Réponse 20 / 26
Utilisateur anonyme
20 sept. 2010 à 22:17
on peut le recréer :)

je vais te faire un petit prog :)
0