Virus : Rogue "Docteur Malware " Perdu Fermé

Question

Bonjour, 


Voila hier j'ai été infecté par un rogue du nom de " docteur malware  " je ne pouvé plus rien faire sur l'ordinateur j'ai donc redémarré en mode sans échec et installer malwarebyt qui a détecté des virus et qui les a eradicté . En redémarrent le pc il n'y avait plus les fenetre  de pub de " docteur malware " mais en lancant firefox il été marquer que j'ai derriere un proxy alors que je n'iétai jamais aller j'ai donc desactiver le proxy et je pouver aller sur internet librement mais je lager enfin dans la barre des notification il y a encore des trace de docteur malware et windows defender m'alerte d'un probleme comme qoi il y a  un virus mais la fenetre ma l'air d ' etre fausse je lance donc un sanc avec antivir qui me trouve que 2 menace , spybot ne ma  rien trouver et la panda active scan en ligne m'analyse le pc et ma déjà trouver 4 menace a 16 % . Je voudrer donc savoir si aux cas ou panda n'arriverez pas a eradicter  les virus  comment faire pour supprimer "docteur malware " si vous vouler des photos faite le moi savoir Ps : j'ai entendu parler d' un certain : "Combofix " . Merci d'avance et excuser pour les faute si il y'en a encore . 
Configuration: Windows Vista / Firefox 3.6.8

Utilisateur anonyme · Answer

Tien connais pas cette bête, je veux bien un Screenshots.

moment de grace · Answer

bonjour

postes le rapport de suppression MBAM

puis

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

lucaspsp46 · Answer

Voila le rapport  Malwarebytes' Anti-Malware 1.46 
www.malwarebytes.org  

Version de la base de données: 4052 

Windows 6.1.7600 (Safe Mode) 
Internet Explorer 8.0.7600.16385 

10/08/2010 02:31:21 
mbam-log-2010-08-10 (02-31-21).txt 

Type d'examen: Examen complet (C:\|) 
Elément(s) analysé(s): 199936 
Temps écoulé: 16 minute(s), 10 seconde(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 2 
Valeur(s) du Registre infectée(s): 0 
Elément(s) de données du Registre infecté(s): 0 
Dossier(s) infecté(s): 0 
Fichier(s) infecté(s): 4 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully. 

Valeur(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Elément(s) de données du Registre infecté(s): 
(Aucun élément nuisible détecté) 

Dossier(s) infecté(s): 
(Aucun élément nuisible détecté) 

Fichier(s) infecté(s): 
C:\Users\Lucas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully. 
C:\Users\Lucas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully. 
C:\Users\Lucas\Desktop\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully. 
C:\Users\Lucas\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

moment de grace · Answer

mbam sera à refaire car pas à jour

pour l'heure, j'attends le ZHP

@+

lucaspsp46 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijpF5Oh9l.txt 

rapport zhpdiag

je suis en train de faire la mise a jour de malwarebyt 

voila le rapport de panda : http://www.cijoint.fr/cjlink.php?file=cj201008/cijbYZRIs2.png

moment de grace · Answer

1)

le rapport zhp ne semble pas complet

peux tu en refaire un et poster le lien

......................

2)

Copie le tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>     
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522     
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll     
O3 - Toolbar: Foxit Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll     
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}     
[HKCU\Software\AppDataLow\AskToolbarInfo]     
[HKCU\Software\AppDataLow\Software\AskToolbar]     
[HKCU\Software\AppDataLow\Toolbar]     
[HKCU\Software\Ask.com]     
[HKCU\Software\AskToolbar]     
O43 - CFD:Common File Directory ----D- C:\Program Files\Ask.com     
O44 - LFC:[MD5.DD0B723BC835B2C27EFFBD7E6491A216] - 07/08/2010 - 15:15:47 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\startup.exe 


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

.............................

3)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe 

Miroir: 

https://www.androidworld.fr/ 

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

..................................

4)

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

ou

http://www.archive-host.com

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em"


une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport C:\List'em.txt

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Même opération pour le rapport more.txt qui se trouve sur ton bureau


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

lucaspsp46 · Answer

Voila j'ai relancé un  examen complet avec malwarebyt en etant a jour mais pour zhpdiag on dirait qu'il se bloque a 79 %

lucaspsp46 · Answer

1) ZHP se bloque a 79 % voir screen : http://www.cijoint.fr/cjlink.php?file=cj201008/cijTCs5g0w.png

2) Rapport malwarabyt : Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4412

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

10/08/2010 12:45:53
mbam-log-2010-08-10 (12-45-53).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Elément(s) analysé(s): 213819
Temps écoulé: 26 minute(s), 12 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Lucas\AppData\Roaming\4D7E9A2CF4539B33BC65AAC1A5D9BAEF\secureapp70700.exe (Trojan.Agent.Gen) -> No action taken.

lucaspsp46 · Answer

1) Rapport ZHPfix : http://www.cijoint.fr/cjlink.php?file=cj201008/cijCucQ3Hs.txt

moment de grace · Answer

Mbam..no action taken

l'as tu supprimé ensuite ?

ZHP fix vu

tu peux enchainer avec ad remover puis killem

@+

lucaspsp46 · Answer

rapport ad-remover : scan : http://www.cijoint.fr/cjlink.php?file=cj201008/cijDUtQ9N0.txt   

                                 clean : http://www.cijoint.fr/cjlink.php?file=cj201008/cij3ZGdTqz.txt oui j'ai suprimer le fichier que mbam trouver dangereux 

rapport killem : http://www.cijoint.fr/cjlink.php?file=cj201008/cijfTZt1x6.txt

more.txt : http://www.cijoint.fr/cjlink.php?file=cj201008/cijuHjJCfk.txt

moment de grace · Answer

ok

1)

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

....................................

2)

retentes ZHPdiag et voyons s'il va au bout

lucaspsp46 · Answer

j'ai lancé List_Kill'em en choisissant l'option clean mais quand le pc redémarre j'ai l'impression que sa se bloque a 100 % est normal que se soit long ou dois je quitter manuellement

lucaspsp46 · Answer

1) Voila kill'em.txt : http://www.cijoint.fr/cjlink.php?file=cj201008/cijoJVgnCo.txt

2)ZHPdiag se bloquent toujour

moment de grace · Answer

trop d'outils coincent chez toi

Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs  sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets provisoirement internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

lucaspsp46 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijReNgGoW.txt voila le rapport combofix j'ai l'impression que l'ordi vas mieu ;)  si c'est le as un grand merci a toi .

moment de grace · Answer

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

c:\windows\system32\XAPOFX1_5.dll
c:\windows\system32\HookS hield.dll
c:\users\Lucas\AppData\Roaming\Mozilla\Firefox\Profiles\p6uw14ii.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
c:\users\Lucas\AppData\Roaming\Mozilla\Firefox\Profiles\p6uw14ii.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins
pqscan.dll


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

lucaspsp46 · Answer

xapofx5.1 : File name:
XAPOFX1_5.dll
Submission date:
2010-08-11 13:53:46 (UTC)
Current status:
queued queued (#15) analysing finished
Result:
0/ 40 (0.0%)
	
VT Community
Antivirus  	Version  	Last Update  	Result
AhnLab-V3 	2010.08.11.02 	2010.08.11 	-
AntiVir 	8.2.4.34 	2010.08.11 	-
Antiy-AVL 	2.0.3.7 	2010.08.11 	-
Authentium 	5.2.0.5 	2010.08.11 	-
Avast 	4.8.1351.0 	2010.08.11 	-
Avast5 	5.0.332.0 	2010.08.11 	-
AVG 	9.0.0.851 	2010.08.11 	-
BitDefender 	7.2 	2010.08.11 	-
CAT-QuickHeal 	11.00 	2010.08.11 	-
ClamAV 	0.96.0.3-git 	2010.08.11 	-
Comodo 	5713 	2010.08.11 	-
DrWeb 	5.0.2.03300 	2010.08.11 	-
Emsisoft 	5.0.0.37 	2010.08.11 	-
eSafe 	7.0.17.0 	2010.08.11 	-
eTrust-Vet 	36.1.7781 	2010.08.11 	-
F-Prot 	4.6.1.107 	2010.08.10 	-
F-Secure 	9.0.15370.0 	2010.08.11 	-
Fortinet 	4.1.143.0 	2010.08.11 	-
GData 	21 	2010.08.11 	-
Ikarus 	T3.1.1.88.0 	2010.08.11 	-
Jiangmin 	13.0.900 	2010.08.10 	-
McAfee 	5.400.0.1158 	2010.08.11 	-
McAfee-GW-Edition 	2010.1 	2010.08.11 	-
Microsoft 	1.6004 	2010.08.11 	-
NOD32 	5358 	2010.08.11 	-
Norman 	6.05.11 	2010.08.11 	-
nProtect 	2010-08-11.02 	2010.08.11 	-
Panda 	10.0.2.7 	2010.08.10 	-
PCTools 	7.0.3.5 	2010.08.11 	-
Prevx 	3.0 	2010.08.11 	-
Rising 	22.60.02.04 	2010.08.11 	-
Sophos 	4.56.0 	2010.08.11 	-
Sunbelt 	6717 	2010.08.11 	-
SUPERAntiSpyware 	4.40.0.1006 	2010.08.11 	-
Symantec 	20101.1.1.7 	2010.08.11 	-
TheHacker 	6.5.2.1.342 	2010.08.11 	-
TrendMicro-HouseCall 	9.120.0.1004 	2010.08.11 	-
VBA32 	3.12.14.0 	2010.08.11 	-
ViRobot 	2010.8.9.3978 	2010.08.11 	-
VirusBuster 	5.0.27.0 	2010.08.11 	-
Additional information
Show all
MD5   : 8a4cebf34370d689e198e6673c1f2c40
SHA1  : b7e3d60f62d8655a68e2faf26c0c04394c214f20
SHA256: becfdcd6b16523573cb52df87aa7d993f1b345ba903d0618c3b36535c3800197
ssdeep: 1536:YGrYa/nsaXTeizHgMK7DaCsVtqqXtF9rHU8:pY8saCizgMKXaCezXL9o8
File size : 74072 bytes
First seen: 2010-06-08 11:54:50
Last seen : 2010-08-11 13:53:46
Magic: PE32 executable for MS Windows (DLL) (console) Intel 80386 32-bit
TrID:
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: Copyright (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ DirectX for Windows_
description..: Audio Effect Library
original name: XAPOFX1_5.dll
internal name: XAPOFX1_5.dll
file version.: 9.29 (DXSDK_JUN10.100602-0421)
comments.....: n/a
signers......: Microsoft Corporation
Microsoft Code Signing PCA
Microsoft Root Authority
signing date.: 1:52 PM 6/2/2010
verified.....: -
PEiD: -
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x4185
timedatestamp....: 0x4C0641E5 (Wed Jun 02 11:35:01 2010)
machinetype......: 0x14C (Intel I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0xE059, 0xE200, 6.35, d95dab6d30661d439ad6e5e3f021f587
.data, 0x10000, 0x17AC, 0x1600, 1.93, 453557be89e494278950b9d594ee32e1
.rsrc, 0x12000, 0x3F0, 0x400, 3.41, ab6bdd2cbd51bb547f5a0ea8fabaab5c
.reloc, 0x13000, 0x852, 0xA00, 4.19, 4533dd8a0cef09ef2d117c8a850bde5d

[[ 4 import(s) ]]
kernel32.dll: GetCurrentProcessId, GetProcessHeap, HeapAlloc, HeapFree, GetVersion, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, InterlockedIncrement, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, RtlUnwind, InterlockedCompareExchange, Sleep, InterlockedExchange, IsProcessorFeaturePresent, InterlockedDecrement
msvcrt.dll: _adjust_fdiv, _amsg_exit, _initterm, free, malloc, _XcptFilter, sqrt, _aligned_malloc, memcpy, _aligned_free, memcmp, sin, _vsnprintf, memset, _CIpow, floor, cos
ole32.dll: CoTaskMemFree, CoTaskMemAlloc
user32.dll: MessageBoxA

[[ 1 export(s) ]]
CreateFX

lucaspsp46 · Answer

hookshield : a-squared  	4.5.0.18  	2009.06.18  	-
AhnLab-V3 	5.0.0.2 	2009.06.18 	-
AntiVir 	7.9.0.191 	2009.06.18 	-
Antiy-AVL 	2.0.3.1 	2009.06.18 	-
Authentium 	5.1.2.4 	2009.06.18 	-
Avast 	4.8.1335.0 	2009.06.17 	-
AVG 	8.5.0.339 	2009.06.18 	-
BitDefender 	7.2 	2009.06.18 	-
CAT-QuickHeal 	10.00 	2009.06.18 	-
ClamAV 	0.94.1 	2009.06.18 	-
Comodo 	1340 	2009.06.18 	-
DrWeb 	5.0.0.12182 	2009.06.18 	-
eSafe 	7.0.17.0 	2009.06.18 	-
eTrust-Vet 	31.6.6567 	2009.06.18 	-
F-Prot 	4.4.4.56 	2009.06.17 	-
F-Secure 	8.0.14470.0 	2009.06.18 	-
Fortinet 	3.117.0.0 	2009.06.18 	-
GData 	19 	2009.06.18 	-
Ikarus 	T3.1.1.59.0 	2009.06.18 	-
Jiangmin 	11.0.706 	2009.06.18 	-
K7AntiVirus 	7.10.766 	2009.06.17 	-
McAfee 	5650 	2009.06.18 	-
McAfee+Artemis 	5650 	2009.06.18 	-
McAfee-GW-Edition 	6.7.6 	2009.06.18 	-
Microsoft 	1.4701 	2009.06.18 	-
NOD32 	4168 	2009.06.18 	-
NOD32Beta 	4168 	2009.06.18 	-
Norman 		2009.06.18 	-
nProtect 	2009.1.8.0 	2009.06.18 	-
Panda 	10.0.0.14 	2009.06.18 	-
PCTools 	4.4.2.0 	2009.06.17 	-
Prevx 	3.0 	2009.06.18 	-
Rising 	21.34.34.00 	2009.06.18 	-
Sophos 	4.42.0 	2009.06.18 	-
Sunbelt 	3.2.1858.2 	2009.06.18 	-
Symantec 	1.4.4.12 	2009.06.18 	-
TheHacker 	6.3.4.3.348 	2009.06.17 	-
TrendMicro 	8.950.0.1094 	2009.06.18 	-
VBA32 	3.12.10.7 	2009.06.18 	-
ViRobot 	2009.6.18.1794 	2009.06.18 	-
VirusBuster 	4.6.5.0 	2009.06.18 	-
Additional information
Show all
MD5   : d96bfb8cdfebdbaa665789065ce56e25
SHA1  : 6ff6b9c97f702a0cdf2fec77c0935b2acb6e6247
SHA256: 138022aa01f65564b2f2cbe4dd2f5876960c47c4f5375888fafc6122a40f0250
ssdeep: 6144:BGQ+os7Kgo6BaMnUV52EMr/n8u3+URPVASImeyyaoxk8If5jlcOCmE:BGQ+ogJBaMnUV52
dD8u3BlpIoyfxPsXY
File size : 389120 bytes
First seen: 2009-06-18 21:00:20
Last seen : 2009-06-18 21:00:20
Magic: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit
TrID:
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEiD: -
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x4EC0
timedatestamp....: 0x49268102 (Fri Nov 21 09:36:02 2008)
machinetype......: 0x14C (Intel I386)

[[ 7 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x6502, 0x7000, 5.8, 1d3f55caa9b9932b07c9fa80d75431aa
.rdata, 0x8000, 0xA36, 0x1000, 3.72, 3fa3c7b0eb17486392ec343fd1fdc1cb
.data, 0x9000, 0x3D30, 0x1000, 2.86, 2595995c4940f27005990914099ebe6b
.CRT, 0xD000, 0x4, 0x1000, 0.01, d834b248b02060d4093e76d9da8c8494
CONST, 0xE000, 0x1F, 0x1000, 0.09, e1c91d3ead8e57dca21253f563c750c1
.rsrc, 0xF000, 0x50D80, 0x51000, 7.39, 88226064b0937b2c6ba9c3fb7e7c26ad
.reloc, 0x60000, 0x1616, 0x2000, 4.79, f46f89c53fd812e06c7ee2046d013dd9

[[ 8 import(s) ]]
auxiliary.dll: _SetKbCtlType@@YGHH@Z, _GetOSDKey@@YGHQAH00@Z, _GetKbCtlType@@YGHXZ, _GetOSDLocation@@YGHXZ
d3dx9_36.dll: D3DXCreateTextureFromResourceExA, D3DXCreateSprite, D3DXCreateFontA
gdi32.dll: SetDeviceGammaRamp, GetDeviceGammaRamp, GetDeviceCaps
kernel32.dll: GetProcAddress, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LoadLibraryA, IsDebuggerPresent, GetCurrentProcess, TerminateProcess, DisableThreadLibraryCalls, MulDiv, GetTickCount
madchook.dll: RenewHook, HookAPI, HookCode
msvcr80.dll: sprintf_s, _except_handler4_common, _CIpow, _crt_debugger_hook
smdll.dll: SMRead, SMWrite, SMRelease
user32.dll: ReleaseDC, SetRect, GetClientRect, CallNextHookEx, SetWindowsHookExA, UnhookWindowsHookEx, GetDC, KillTimer, GetAsyncKeyState, SetTimer

[[ 16 export(s) ]]
DeInitializeLib, GetCanRunDOT, GetDOTStatus, GetVIVIDStatus, GetVIVIDValue, Query_GPUClock, Query_GPUTemp, Query_MEMClock, ReleaseNVCPLDLL, SetClockDown, SetClockUp, SetDOTStatus, SetDefaultClock, SetVIVIDDown, SetVIVIDStatus, SetVIVIDUp

lucaspsp46 · Answer

npqscan.dll : File name:
file-1158808_x
Submission date:
2010-06-15 17:22:22 (UTC)
Current status:
finished
Result:
0 /41 (0.0%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
a-squared 	5.0.0.26 	2010.06.15 	-
AhnLab-V3 	2010.06.15.01 	2010.06.15 	-
AntiVir 	8.2.2.6 	2010.06.15 	-
Antiy-AVL 	2.0.3.7 	2010.06.11 	-
Authentium 	5.2.0.5 	2010.06.15 	-
Avast 	4.8.1351.0 	2010.06.15 	-
Avast5 	5.0.332.0 	2010.06.15 	-
AVG 	9.0.0.787 	2010.06.15 	-
BitDefender 	7.2 	2010.06.15 	-
CAT-QuickHeal 	10.00 	2010.06.15 	-
ClamAV 	0.96.0.3-git 	2010.06.15 	-
Comodo 	5110 	2010.06.15 	-
DrWeb 	5.0.2.03300 	2010.06.15 	-
eSafe 	7.0.17.0 	2010.06.15 	-
eTrust-Vet 	36.1.7636 	2010.06.15 	-
F-Prot 	4.6.0.103 	2010.06.14 	-
F-Secure 	9.0.15370.0 	2010.06.15 	-
Fortinet 	4.1.133.0 	2010.06.15 	-
GData 	21 	2010.06.15 	-
Ikarus 	T3.1.1.84.0 	2010.06.15 	-
Jiangmin 	13.0.900 	2010.06.15 	-
Kaspersky 	7.0.0.125 	2010.06.15 	-
McAfee 	5.400.0.1158 	2010.06.15 	-
McAfee-GW-Edition 	2010.1 	2010.06.15 	-
Microsoft 	1.5802 	2010.06.15 	-
NOD32 	5198 	2010.06.15 	-
Norman 	6.04.12 	2010.06.15 	-
nProtect 	2010-06-15.02 	2010.06.15 	-
Panda 	10.0.2.7 	2010.06.14 	-
PCTools 	7.0.3.5 	2010.06.15 	-
Prevx 	3.0 	2010.06.15 	-
Rising 	22.51.06.01 	2010.06.13 	-
Sophos 	4.54.0 	2010.06.15 	-
Sunbelt 	6450 	2010.06.15 	-
Symantec 	20101.1.0.89 	2010.06.15 	-
TheHacker 	6.5.2.0.299 	2010.06.15 	-
TrendMicro 	9.120.0.1004 	2010.06.15 	-
TrendMicro-HouseCall 	9.120.0.1004 	2010.06.15 	-
VBA32 	3.12.12.5 	2010.06.15 	-
ViRobot 	2010.6.14.3884 	2010.06.15 	-
VirusBuster 	5.0.27.0 	2010.06.15 	-
Additional information
Show all
MD5   : 72b0d81aaf29c4e1745ac868cae15519
SHA1  : 96781714fc6b43b7403dc0fe0c1ac8e7e2b5f261
SHA256: 2a39b7f3f20739aa0901b2e4710238ec2f871c6c6989d3f74ff6bf828b11d86b
ssdeep: 12288:MhPGoorkYLqAKqeXr3A0SGBrv9BpDygL2AOFtXTRk2Hk+knm+ETR9Am:MMLk4rsXrQ01B
VBrkNFE+knmRYm
File size : 868456 bytes
First seen: 2010-05-31 23:06:15
Last seen : 2010-06-15 17:22:22
Magic: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit
TrID:
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
sigcheck:
publisher....: BitDefender LLC
copyright....: Copyright (c) 2009, BitDefender SRL
product......: BitDefender QuickScan
description..: BitDefender QuickScan Web Netscape Plugin
original name: npqscan.dll
internal name: BitDefend
file version.: 0, 9, 9, 22
comments.....: n/a
signers......: BITDEFENDER LLC
VeriSign Class 3 Code Signing 2009-2 CA
Class 3 Public Primary Certification Authority
signing date.: 3:34 PM 5/31/2010
verified.....: -
PEiD: -
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x8C578
timedatestamp....: 0x4C03B820 (Mon May 31 13:22:40 2010)
machinetype......: 0x14C (Intel I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0xABE13, 0xAC000, 6.42, c99d076c0834ba70c8b97013fb1088dc
.rdata, 0xAD000, 0x1A2AE, 0x1A400, 4.8, 7461e1496caa51aa16d1ee431b515979
.data, 0xC8000, 0xAF88, 0x3800, 3.48, fee2c788b0a03c1049b84403d8f2b53d
.rsrc, 0xD3000, 0x78C, 0x800, 4.23, 3f3eea4010a8eb2ec67bb785dd6bc293
.reloc, 0xD4000, 0x68A2, 0x6A00, 5.64, 8cf5534f316fa98c50574da4e1239268

[[ 12 import(s) ]]
advapi32.dll: RegDeleteValueW, ImpersonateSelf, RegCreateKeyExW, GetSecurityInfo, BuildExplicitAccessWithNameW, SetSecurityInfo, RegFlushKey, RegQueryInfoKeyW, RegQueryValueExW, RegEnumKeyW, RegDeleteKeyW, AllocateAndInitializeSid, SetEntriesInAclW, SetNamedSecurityInfoW, FreeSid, OpenThreadToken, OpenProcessToken, LookupPrivilegeValueW, AdjustTokenPrivileges, RegOpenKeyExW, RegEnumKeyExW, RegCloseKey, RegOpenKeyW, RegEnumValueW
gdi32.dll: DeleteObject, CreateFontW, EnumFontFamiliesExW, CreateSolidBrush, GetDeviceCaps
kernel32.dll: GetLongPathNameW, GetWindowsDirectoryW, FindClose, FindFirstFileW, GetLogicalDriveStringsA, DeleteFileW, GetSystemTimeAsFileTime, GetVersionExW, GetVolumeInformationW, GetSystemDirectoryW, VirtualProtect, GetProcAddress, GetModuleHandleW, GetLastError, Process32NextW, Process32FirstW, CreateToolhelp32Snapshot, GetCurrentProcess, GetCurrentThread, GetModuleFileNameW, LoadLibraryW, LocalFree, Module32NextW, Module32FirstW, GetFileAttributesExW, GetLocalTime, ExpandEnvironmentStringsW, QueryDosDeviceW, GetExitCodeProcess, OpenProcess, GetEnvironmentVariableW, CreateDirectoryW, FindNextFileW, MoveFileW, GetTempPathW, SetFileAttributesW, GetFullPathNameW, FreeLibrary, Sleep, TerminateThread, GetDriveTypeW, GetFileAttributesW, CreateFileW, ReadFile, SetFilePointer, CreateFileA, GetDiskFreeSpaceA, GetCurrentThreadId, EnterCriticalSection, DeviceIoControl, FormatMessageA, SetLastError, GetFullPathNameA, WriteFile, DuplicateHandle, ReleaseMutex, SetEvent, WaitForMultipleObjects, CreateEventA, CreateMutexA, SleepEx, PeekNamedPipe, GetFileType, GetStdHandle, LoadLibraryA, ExpandEnvironmentStringsA, SetStdHandle, GetCurrentDirectoryA, FlushFileBuffers, GetDateFormatA, GetTimeFormatA, GetTimeZoneInformation, GetConsoleMode, GetConsoleCP, LCMapStringA, LCMapStringW, GetModuleHandleA, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, GetCurrentProcessId, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, SetHandleCount, HeapSize, GetModuleFileNameA, ExitProcess, VirtualAlloc, VirtualFree, OpenThread, CreateThread, CloseHandle, DeleteCriticalSection, GetVolumeInformationA, GetExitCodeThread, MultiByteToWideChar, LeaveCriticalSection, WideCharToMultiByte, InitializeCriticalSection, WaitForSingleObject, GetTickCount, VirtualQuery, InitializeCriticalSectionAndSpinCount, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetEndOfFile, GetProcessHeap, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetDriveTypeA, HeapDestroy, HeapCreate, InterlockedDecrement, InterlockedIncrement, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetFileInformationByHandle, FindFirstFileA, FileTimeToLocalFileTime, FileTimeToSystemTime, ExitThread, InterlockedExchange, RaiseException, RtlUnwind, GetCommandLineA, HeapFree, HeapAlloc, HeapReAlloc, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess
ole32.dll: CoInitialize, CoCreateInstance
psapi.dll: GetModuleFileNameExW
shell32.dll: ShellExecuteW, SHGetFolderPathW, SHGetFolderPathA
shlwapi.dll: PathUnquoteSpacesW, PathRemoveArgsW, SHGetValueA, PathAppendA, PathAddBackslashW, PathStripToRootW, PathFileExistsW, SHGetValueW, SHSetValueW, PathFindFileNameW, PathRemoveFileSpecW, PathFindExtensionW, PathAppendW, PathIsDirectoryW, SHEnumKeyExW, PathGetArgsW, PathIsRelativeW
user32.dll: SetFocus, DialogBoxParamW, SetTimer, DefWindowProcW, CallWindowProcW, SetWindowLongW, PostMessageW, GetDC, CharLowerW, wsprintfW, CharLowerA, IsWindowVisible, EnumThreadWindows, GetWindowThreadProcessId, FindWindowExW, GetDesktopWindow, ReleaseDC, GetDlgItem, EndDialog, SendDlgItemMessageW, SetWindowPos, CheckDlgButton, EnumChildWindows, IsDlgButtonChecked, SetDlgItemTextW, SendMessageW, EnableWindow, CharUpperW
version.dll: GetFileVersionInfoW, GetFileVersionInfoSizeW, VerQueryValueW
wininet.dll: InternetReadFile, HttpQueryInfoW, InternetCloseHandle, InternetOpenW, InternetOpenUrlW
wldap32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
ws2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

[[ 3 export(s) ]]
NP_GetEntryPoints, NP_Initialize, NP_Shutdown

moment de grace · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour lucaspsp46, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le


Folder::

c:\users\Lucas\AppData\Roaming\pqcjxkgty 





* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://nsa05.casimages.com/img/2009/02/15/090215120407220272.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

lucaspsp46 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cij4zvUXP5.txt

voila le rapport

moment de grace · Answer

j'en ai oublié un

donc même manip avec ce texte

c:\users\Lucas\AppData\Local\pqcjxkgty

poster le rapport

ensuite

essaies de me faire un nouveau rapport ZHPdiag et postes le lien ici

Virus : Rogue "Docteur Malware " Perdu

23 réponses

Discussions similaires