Est ce un virus ? Fermé

Question

Bonjour, 



Bonjour,
Je n'y comprends rien...depuis 2 jours,lorsque je tape une recherche sur Google, je suis obligée de cliquer 2 fois de suite pour accéder aux liens sinon je retourne sur la page d'accueil SFR. Idem quand je vais dans mes favoris, il faut que je fasse 2 fois la manoeuvre. Ce n'est pas très pratique !
Autre chose (je ne sais pas s'il y a un rapport) j'ai consaté que l'icone sur le bureau d'Internet Explorer a changé et est devenue Internet 1 k Explorer...qu'est ce que çà signifie ?
Est ce un virus ?
Merci pour vos réponses éclairées.
Mique 
Configuration: Windows XP / Firefox 3.5.12

mimimi · Answer

change de navigateur et prends google chrome. 
tu risquera pas d' être embêté par sfr et le portail avec ce navigateur

mique · Answer

Je viens de faire une recherche de virus avec Avira et c'est 2 virus trouvés : java/agent.t et Tr/DROP.vblhn.27
J'ai mis tout çà en quarantaine mais c'est toujours pareil. En plus Intrenet est de + en + lent.

mimimi · Answer

y fo pas les mettre en 40aine il faut les désinfectée puis ensuite les supprimer.

hubertaaz · Answer

Bonjour mique,

Pourrais-tu me poster le rapport d'Avira.

Ensuite nous allons procéder à un diagnostic de ton PC :

* Télécharge ZHPDiag (de Nicolas Coolman) 
* Laisse toi guider lors de l'installation 
* Il se lancera automatiquement à la fin de l'installation 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse.

mique · Answer

Bonsoir à ceux qui ont pris la peine de me répondre...et à hubertaaz.

J'ai fait ce que j'ai pu mais je n'ai pas l'habitude de çà !
Pour le rapport d'Avira je ne sais pas comment faire exactement, j'ai refit un scan partiel et il n'y a plus trace apparemment de virus même si les problèmes sont toujours là.
Quant au rapport ZHPDiag.txt voici le lien...si je ne me suis pas trompée !!!

http://www.cijoint.fr/cjlink.php?file=cj201009/cijBMcZxkM.txt
Merci encore et par avance pour la suite des opérations.
Bonne soirée.
Mique

mique · Answer

Bonjour hubertaaz,

Me revoilà avec mes rapports et j'espère que cette fois ci ce sont les bons !
D'abord Aviva et à la fin ZHPDiag
Merci.
Mique


Avira AntiVir Personal
Report file date: samedi 11 septembre 2010  10:47

Scanning for 2801829 virus strains and unwanted programs.

Licensed to:      Avira AntiVir Personal - FREE Antivirus
Serial number:    0000149996-ADJIE-0000001
Platform:         Windows XP
Windows version:  (Service Pack 3)  [5.1.2600]
Boot mode:        Normally booted
Username:         SYSTEM
Computer name:    PHIDO

Version information:
BUILD.DAT     : 8.2.0.354      17048 Bytes  23/10/2009 13:15:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  26/11/2008 16:01:18
AVSCAN.DLL    : 8.1.4.0        40705 Bytes  19/07/2008 15:39:46
LUKE.DLL      : 8.1.4.5       164097 Bytes  19/07/2008 15:39:47
LUKERES.DLL   : 8.1.4.0        12033 Bytes  19/07/2008 15:39:47
ANTIVIR0.VDF  : 7.10.0.0    19875328 Bytes  06/11/2009 17:15:40
ANTIVIR1.VDF  : 7.10.9.170  16733040 Bytes  23/07/2010 07:58:21
ANTIVIR2.VDF  : 7.10.11.127   3380640 Bytes  10/09/2010 16:23:09
ANTIVIR3.VDF  : 7.10.11.128      2048 Bytes  10/09/2010 16:23:10
Engineversion : 8.2.4.50  
AEVDF.DLL     : 8.1.2.1       106868 Bytes  30/07/2010 07:48:49
AESCRIPT.DLL  : 8.1.3.44     1364346 Bytes  28/08/2010 16:23:46
AESCN.DLL     : 8.1.6.1       127347 Bytes  13/05/2010 09:43:12
AESBX.DLL     : 8.1.3.1       254324 Bytes  24/04/2010 08:26:31
AERDL.DLL     : 8.1.8.2       614772 Bytes  21/07/2010 07:48:15
AEPACK.DLL    : 8.2.3.5       471412 Bytes  07/08/2010 07:48:22
AEOFFICE.DLL  : 8.1.1.8       201081 Bytes  22/07/2010 07:48:11
AEHEUR.DLL    : 8.1.2.21     2883958 Bytes  03/09/2010 16:23:05
AEHELP.DLL    : 8.1.13.3      242038 Bytes  28/08/2010 16:23:41
AEGEN.DLL     : 8.1.3.20      397684 Bytes  28/08/2010 16:23:41
AEEMU.DLL     : 8.1.2.0       393588 Bytes  24/04/2010 08:26:31
AECORE.DLL    : 8.1.16.2      192887 Bytes  21/07/2010 07:48:09
AEBB.DLL      : 8.1.1.0        53618 Bytes  24/04/2010 08:26:30
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  19/07/2008 15:39:46
AVPREF.DLL    : 8.0.2.0        38657 Bytes  19/07/2008 15:39:46
AVREP.DLL     : 8.0.0.7       159784 Bytes  20/02/2010 19:07:38
AVREG.DLL     : 8.0.0.1        33537 Bytes  19/07/2008 15:39:46
AVARKT.DLL    : 1.0.0.23      307457 Bytes  15/04/2008 21:19:11
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  19/07/2008 15:39:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  15/04/2008 21:19:11
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  19/07/2008 15:39:47
NETNT.DLL     : 8.0.0.1         7937 Bytes  15/04/2008 21:19:11
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  19/07/2008 15:39:44
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  19/07/2008 15:39:44

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, 
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: samedi 11 septembre 2010  10:47

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'WINWORD.EXE' - '1' Module(s) have been scanned
Scan process 'AcroRd32.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned
Scan process 'skypePM.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SeaPort.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'PQV2iSvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'gearsec.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'wmpnscfg.exe' - '1' Module(s) have been scanned
Scan process 'Skype.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'CamService.exe' - '1' Module(s) have been scanned
Scan process 'qttask.exe' - '1' Module(s) have been scanned
Scan process 'CFD.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'E_FATI9CE.EXE' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
38 processes with 38 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
    [INFO]      No virus was found!
Master boot sector HD1
    [INFO]      No virus was found!
    [WARNING]   System error [21]: Le périphérique n'est pas prêt.
Master boot sector HD2
    [INFO]      No virus was found!
    [WARNING]   System error [21]: Le périphérique n'est pas prêt.
Master boot sector HD3
    [INFO]      No virus was found!
    [WARNING]   System error [21]: Le périphérique n'est pas prêt.
Master boot sector HD4
    [INFO]      No virus was found!
    [WARNING]   System error [21]: Le périphérique n'est pas prêt.

Start scanning boot sectors:
Boot sector 'C:\'
    [INFO]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '57' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
    [WARNING]   The file could not be opened!
C:\pagefile.sys
    [WARNING]   The file could not be opened!
C:\Documents and Settings\Dominique\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\jvmseria.jar-51441e89-11f16df1.zip
    [0] Archive type: ZIP
    --> vmain.class
      [DETECTION] Contains recognition pattern of the EXP/Java.Agent.T exploit
    [NOTE]      The file was moved to '4cf843c9.qua'!
C:\Documents and Settings\Dominique\Mes documents\Logiciels\TuneUp 2007 Utilities (full) (AIO)\TuneUp_2007.exe
    [DETECTION] Is the TR/Drop.VB.lhn.27 Trojan
    [NOTE]      The file was moved to '4cf948bb.qua'!
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNING]   The file could not be opened!
C:\WINDOWS\system32\spool\drivers\w32x86\EB3ST000.DAT
    [0] Archive type: CAB SFX (self extracting)
    --> \AGENTNT_t\SAgentNT.exe
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\WINDOWS\system32\spool\drivers\w32x86\3\EB3ST000.DAT
    [0] Archive type: CAB SFX (self extracting)
    --> \AGENTNT_t\SAgentNT.exe
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\WINDOWS\system32\spool\drivers\w32x86\epsonstylus_color_583c6b\EB3ST000.DAT
    [0] Archive type: CAB SFX (self extracting)
    --> \AGENTNT_t\SAgentNT.exe
      [WARNING]   No further files can be extracted from this archive. The archive will be closed


End of the scan: samedi 11 septembre 2010  12:07
Used time:  1:19:50 Hour(s)

The scan has been done completely.

  10589 Scanning directories
 286384 Files were scanned
      2 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      2 files were moved to quarantine
      0 files were renamed
      3 Files cannot be scanned
 286379 Files not concerned
   7330 Archives were scanned
     10 Warnings
      2 Notes



http://www.cijoint.fr/cjlink.php?file=cj201009/cijQyDefQo.txt

hubertaaz · Answer

OK Mique, cette fois tout est là!

* Tu peux ouvrir Avira => Administration => Quarantaine et supprimer tout ce qui s'y trouve en cliquant sur l'icône Corbeille située à cet endroit.

Lors de l'analyse de Avira, la recherche de rootkits n'est pas sélectionnée.

Regarde ici pour bien paramétrer ton antivirus (tu le feras plus tard) : http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/antivir-installation-configuration-sujet_201938_1.htm
https://www.malekal.com/avira-free-security-antivirus-gratuit/



* Tu vas maintenant désactiver le tea-timer de Spybot le temps de la désinfection. Note à l'heure actuelle Spybot n'est plus au top, tu peux même le désinstaller complètement.
Pour désactiver le tea-timer : https://www.commentcamarche.net/telecharger/securite/20939-spybot-search-and-destroy/



* Malwarebytes' (MBAM) est installé sur ton pc.

* Ouvre MBAM => Onglet "Mise à jour" => clic sur "Rechercher les mises à jour"

* /!\ Déconnecte-toi et ferme toutes tes applications pendant la durée du scan (assez long) 

* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"  
* A la fin de l'analyse, clique sur Afficher les résultats  
* Coche tous les éléments détectés puis clique sur Supprimer la sélection  
* Enregistre le rapport  
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes  
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression (Le rapport peut être retrouvé sous l'onglet Rapports/logs)  


* Est-ce que tu rencontres le même problème avec Firefox que avec Internet Explorer pour l'ouverture des pages?

J'ai repéré ce qui suit dans le rapport ZHPDiag, c'est une redirection vers Club Internet. Est-ce que c'est toi qui l'a sollicité?
O17 - HKLM\System\CS3\Services\Tcpip\..\{85657E27-B3AA-41D6-8CB7-B82B34EDD72B}: NameServer = 194.117.200.10,194.117.200.15

@+

mique · Answer

Voilà où j'en suis...
1) J'ai supprimé la quarantaine Avira.
2) J'ai désinstallé Spybot (je n'ai pas su le désactiver)
3) Problème avec MBAM  : mise à jour impossible : message : Echec de la mise à jour. Vérifiez que vous êtes connecté à Internet et que votre pare-feu est paramètré pour autoriser MBAM anti malware à accéder à Internet.
Est ce que je peux quand même faire un examen complet ?
Merci

mique · Answer

Alors,

Après avoir désinstallé et réinstallé MBAM l'examen est en route.
Je n'ai vraiment pas l'habitude de faire toutes ces manips et j'ai un peu peur de me planter quelque part!

Pour Firefox, je n'ai pas réussi à faire ce que tu me demande et je ne m'en sers jamais...

"J'ai repéré ce qui suit dans le rapport ZHPDiag, c'est une redirection vers Club Internet. Est-ce que c'est toi qui l'a sollicité?
O17 - HKLM\System\CS3\Services\Tcpip\..\{85657E27-B3AA-41D6-8CB7-B82B34EDD72B}: NameServer = 194.117.200.10,194.117.200.15 "

Cà ne me dit rien mais à l'époque de la fusion CI/neuf il y a eu pas mal de soucis et le service client m'avait fait faire beaucoup de manips...

A tout à l'heure pour les résultats mais c'est vraiment gentil de venir en aide à des néophytes de mon espèce !

hubertaaz · Answer

Ne crains rien avec MBAM, je ne vois pas comment tu pourrais te planter.

J'espère que tu m'écris d'un autre pc car il est de loin préférable de ne rien faire pendant le scan de MBAM comme je le mentionnais plus haut : "* /!\ Déconnecte-toi et ferme toutes tes applications pendant la durée du scan (assez long) "

C'est dommage que tu préfères utiliser Internet Explorer car Firefox est nettement mieux sécurisé mais je respecte ton choix.

Après le rapport MBAM nous ferons une vérification avec un nouveau ZHPDiag et je te donnerais les instructions pour supprimer ce qui devrait être la cause du problème (si toujours présents)

Je compte sur toi pour me signaler quand tout sera rentré dans l'ordre.

A ce moment nous n'en aurons pas terminé, il nous restera à faire un peu de ménage (rien de conséquent rassure-toi ;)

mique · Answer

Voilà le rapport demandé mais toujours le même souci et je sens (et j'entends) que mon pc a du mal à suivre, il est très lent...


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4599

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12/09/2010 12:03:56
mbam-log-2010-09-12 (12-03-56).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 278847
Temps écoulé: 1 heure(s), 22 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Dominique\Mes documents\Logiciels\IsoBuster Pro 2.1.0.2 + WORKING Keygen\keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

hubertaaz · Answer

Ok,

Nous passons à la suite : 

* Lance ZHPFix depuis le raccourci qui est sur ton bureau . 

*  Une fois l'outil ouvert, clique sur le bouton [ H ] ( "coller les ligne Helper" ) . 

* Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

[HKCU\Software\sponsoradulto]
[HKLM\Software\Trad-FR]

* Clique sur le bouton [ OK ] . 

> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien ! 

*  Clique sur le bouton [ Tous ] . Vérifie que toutes les lignes soient bien cochées . 

*  Enfin clique sur le bouton [ Nettoyer ] . 

*  Laisse travailler l'outil et ne touche à rien ! 

*  Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ! 

*  Une fois terminé, un rapport s'affiche : copie-colle tout son contenu dans ta prochaine réponse. 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt )



* Après avoir fait ce qui précède, si ton problème persiste, fais ce qui suit : 

Lance Internet explorer
Va dans le menu Outils d'Internet Explorer
Clique sur Options Internet, puis sur l'onglet Connexions, puis sur Paramètres réseau.
Coche : ne pas activer de Serveur proxy...



* Dis-moi où en est le problème.

mique · Answer

HELP ! je suis sur ZHPFix, j'ai cliqué sur nettoyer et on me demande si je veux supprimer Adobe Acrobat 5 et ses composants... je n'arrive plus à me sortir de là. 
Quand je dis non, on me bascule sur Adobe Bridge 1.0 et Adobe Common File Installer... 
Je fais quoi ?

mique · Answer

Je n'arrive pas à quitter ZHPFix et maintenant j'ai un message d'erreur   : indice de liste hors limites (9) que je n'arrive pas à faire partir !

mique · Answer

J'ai enfin réussi à me sortir de là et voilà ce que çà donne. C'est bien çà ?

Rapport de ZHPFix v1.12.3148 par Nicolas Coolman, Update du 09/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-12-09-2010-13-48-26.txt
Run by Dominique at 12/09/2010 13:48:26
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\sponsoradulto  => Clé supprimée avec succès
HKLM\Software\Trad-FR  => Clé supprimée avec succès


========== Récapitulatif ==========
2 : Clé(s) du Registre


End of the scan

hubertaaz · Answer

Nos messages se sont croisés.

Parfait pour la suppression, nous reprenons ceci : 

suis le chemin suivant , Poste de travail => HDD(C) => Program Files => Internet Explorer = clic droit sur l'icône de lancement de Internet Explorer => Envoyer vers => Bureau (créer un raccourci). Tu lanceras Internet en double cliquant sur l'icône. Ne te sers plus de l'autre icône.


* Ensuite : si le problème de connexion persiste, fais ce qui suit :

Lance Internet explorer
Va dans le menu Outils d'Internet Explorer
Clique sur Options Internet, puis sur l'onglet Connexions, puis sur Paramètres réseau.
Coche : ne pas activer de Serveur proxy... 


* Enfin, concernant le ralentissement : est-ce que le problème existait avant car tu n"en avais pas parlé?

mique · Answer

OUF ! c'est réussi ! après quelques essais, je ne suis plus obligée de cliquer 2 fois pour atteindre les pages et mes favoris.

Quant à l'icône, j'en ai une nouvelle elle s'appelle "raccourci vers iexplore.exe" (sic), c'est bon çà ?
Et la vilaine icône, j'en fais quoi ? je peux la jeter ?

Pour ce qui concerne le ralentissement, çà a l'air d'aller mieux mais je trouve que mon pc se fatigue ces derniers temps...on m'a dit qu'il faudrait faire un peu de ménage.

En tout cas mille mercis de m'avoir dépannée, c'est très sympa !
Bien cordialement.
Dominique

mique · Answer

Suite...j'ai bien dû faire des erreurs tout à l'heure avec Adobe.
Moi qui aime bien faire des parties de Mahjong, j'ai été obligée de réinstaller Adobe Player.
J'espère n'avoir pas commis d'autres fautes !
Merci encore.

hubertaaz · Answer

Bien, il nous reste quand même encore un peu de boulot.

*Tu peux supprimer la vilaine icône.


*J'aimerais savoir si tu as désactivé le serveur proxy?


* Dans la quarantaine de MBAM, tu as ceci : 
C:\Documents and Settings\Dominique\Mes documents\Logiciels\IsoBuster Pro 2.1.0.2 + WORKING Keygen\keygen.exe (RiskWare.Tool.CK) 

Il s'agit d'un crack et de sa clé. C'est une source d'infection potentielle. Si tu vides la quarantaine de MBAM, tu en seras débarrassée mais tu ne pourras plus utiliser le logiciel. Dans le cas contraire, il faut le restaurer par la quarantaine de MBAM. 


* Sur ton pc est présente une très ancienne version de Java qui contient des failles de sécurité. Télécharge et installes la dernière version ici : https://www.java.com/fr/download/


* Quand ça sera fait, il serait bien de procéder à un contrôle de routine : relance cette fois ZHPDiag et procède comme précédemment pour me poster le lien vers le rapport.

* Ensuite nous pourrons finaliser.

mique · Answer

Comment se fait-il que le rapport de suppression de ZHPFix ne contienne rien ? çà me fait peur!!!
Sinon j'ai supprimé la vilaine icône d'Internet Explorer.
Je fais quoi finalement avec ma quarantaine MBAM, ce qui est mieux ?
J'ai téléchargé la nouvelle version de Java et j'attends ta réponse pour faire le contrôle ZHPDiag.

hubertaaz · Answer

Il na faut pas paniquer. Je ne pense pas que ZHPFix proposerait de supprimer des logiciels qui ne soient pas obsolètes.

Par exemple concernant la suppression de ceci : 
O42 - Logiciel: Adobe Acrobat 5.0 - (.Adobe Systems, Inc..) [HKLM] -- Adobe Acrobat 5.0

C'était bien de la faire car tu avais une version plus récente : 
O42 - Logiciel: Adobe Reader 9.3.4 - Français - (.Adobe Systems Incorporated.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A93000000001}

Tu auras compris que les lignes 042 du rapport ZHPDiag concernent les logiciels installés sur ton pc. Il est donc possible en comparant les 2 rapports de voir ce qui a été supprimé.

Tu peux à présent lancer ZHPDiag et me poster le lien vers son rapport.

mique · Answer

Je ne panique pas mais je ne comprends pas pourquoi ZHPFix ne me propose rien comme suppression mais bon, tout cela me dépasse un peu et même beaucoup !

Voilà le nouveau lien de ZHPDiag...c'est bien çà ?

http://www.cijoint.fr/cjlink.php?file=cj201009/cijfUm6r8A.txt

hubertaaz · Answer

* Concernant le rapport de suppression, je n'ai pas la possibilité de procéder à une recherche dans l'immédiat afin de savoir où le chercher. 

Cependant tu peux être pleinement rassurée, voici la liste de ce qui a été supprimé entre les 2 rapports :  

O40 - ASIC: Adobe Flash Player - {D27CDB6E-AE6D-11cf-96B8-444553540000} . (.Adobe Systems, Inc. - Adobe Flash Player 10.0 r22.) -- C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx 
O42 - Logiciel: Adobe Download Manager 2.0 (Supprimer uniquement) - (.Pas de propriétaire.) [HKLM] -- AdobeESD 
O42 - Logiciel: Spybot - Search & Destroy 1.5.2.20 - (.Safer Networking Ltd..) [HKLM] -- Spybot - Search & Destroy_is1 

Il faut y ajouter bien sûr les 2 clés de registre que nous avons supprimées. 



* Tu pourras aussi supprimer par Ajout/suppression de programmes en y cochant "afficher les mises à jour" la ou les versions de Java qui précèdent la dernière installée (6 update 21) 



* Je te recommande aussi de désinstaller Ad-Aware qui et tout aussi dépassé que Spybot.  


* Je vais à présent te communiquer mes recommandations afin d'avoir un maximum de chances de ne pas revenir. Tu y trouveras la réponse à ta question sur la quarantaine de MBAM ;) 



* Voici quelques conseils pour mieux protéger ton ordi des malwares :  

1/ Les téléchargements en P2P sont extrêmement dangereux et de surcroit pour la plupart interdits par la loi.  

2/ L'utilisation de programmes "crackés" est à proscrire pour les mêmes raisons.  

3/ Il faut prendre tout son temps lorsqu'on est invité à cliquer sur un lien, on n'a rien à gagner en voulant concurrencer Lucky-Lucke.  

4/ Aucune protection n'est infaillible, l' antivirus le plus efficace est situé entre la chaise et le clavier.  

5/ A faire à chaque installation d'un logiciel ou d'un fichier sur le pc : mise à jour MalwareBytes et analyse du logiciel ou du fichier avec MalwareBytes (Clic droit sur le dossier) et même analyse avec ton antivirus.  

6/ Une fois par semaine une analyse complète avec ton antivirus, idem avec Malwarebytes et CCleaner (nettoyeur et registre). Si tu surfes beaucoup, je te conseille de faire le nettoyage avec CCleaner journellement. (Pas le registre).  

* Autres conseils : vérifier régulièrement que l'on utilise la dernière version de certains logiciels car les anciennes contiennent des failles de sécurité, voici une liste non exhaustive de ces logiciels :  

Windows (windows update)  
Internet explorer  
Firefox  
CCleaner 
Java : https://www.java.com/fr/download/uninstalltool.jsp  
Adobe (Acrobat) Reader : https://get2.adobe.com/reader/otherversions/  

* Je t'ai communiqué les liens pour télécharger Java et Adobe car dans la mesure du possible, il faut toujours télécharger des logiciels sur le site de l'éditeur.  

* Un petit logiciel sympa à installer : https://filehippo.com/windows/tuning-utilities/  
En l'exécutant il te dira quels sont les versions plus récentes de certains logiciels installés sur ton pc (n'installe pas les version "Bêta" qui sont des versions test)  

* Tu peux aussi vérifier si tes logiciels sont à jour ici : https://www.flexera.com/products/operations/software-vulnerability-management.html  

* Un logiciel très intéressant  
https://www.commentcamarche.net/telecharger/securite/20949-spywareblaster/ (ce petit logiciel, qui fonctionne en arrière-plan, bloque entre-autres l'installation d'actives X nuisibles)  

Tutoriel : https://www.malekal.com/tutorial-spywareblaster/ 

* Un autre logiciel qui signale les sites web considérés comme dangereux : WOT 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 

Pour Internet Explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 


* Bon surf et à ta disposition en cas de questions éventuelles. 


EDIT : je me rends compte que CCleaner n'est pas installé sur ton pc. C'est une lacune que je te recommande de combler.
Pour le télécharger : 
CCleaner

Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" comme langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.  
(Proverbe chinois)

mique · Answer

J'ai suivi tes recommandations: supprimé Ad Aware , téléchargé CCleaner et fait un petit nettoyage et j'essaierai de penser aux conseils prodigués le plus possible.
Merci encore une fois d'avoir partagé ton savoir.
Cordialement.
Dominique

Plus on partage, plus on possède. Voilà le miracle.
(Léonard Nimoy)

hubertaaz · Answer

De rien pour l'aide, c'est avec plaisir.

N'hésite pas à revenir en cas de besoin, en espérant que ça ne sera pas nécessaire ;-)

@+

Hubert

miquemique · Answer

Je ne sais pas si j'ose...çà recommence je n'ai touché à rien pourtant, je n'étais même pas devant mon ordi ! enfin si, le temps de m'inscrire sur le site.
L'icône, çà va mais dès que je veux aller dans mes favoris (n'importe lesquels) ou que je tape une recherche dans la barre Google et que je clique, çà me renvoie sur la page d'accueil et au 2ème coup, là, çà fonctionne.
Bon, je sais, tu vas me dire d'utiliser Mozilla Firefox mais c'est dur de changer ses petites habitudes et en plus il n'y a pas l'écriture intuitive...
De toutes façons ce n'est pas normal tout çà.
Je ne voudrais pas que cela cache autre chose de bizarre...
Là, je ferme le pc, il m'énerve, c'est bien la peine de lui avoir consacré autant de temps !!!
Bonne soirée.
Dominique

hubertaaz · Answer

Une de mes questions est restée sans réponse : https://forums.commentcamarche.net/forum/affich-19150275-est-ce-un-virus#24

* Ensuite : si le problème de connexion persiste, fais ce qui suit :

Lance Internet explorer
Va dans le menu Outils d'Internet Explorer
Clique sur Options Internet, puis sur l'onglet Connexions, puis sur Paramètres réseau.
Coche : ne pas activer de Serveur proxy... 


https://forums.commentcamarche.net/forum/affich-19150275-est-ce-un-virus#27

*J'aimerais savoir si tu as désactivé le serveur proxy? 

Si ça n'a pas été fait, fais-le.

Tiens-moi au courant

Bonne soirée

miquemique · Answer

Bonjour,

Me revoilà...avec mes ennuis.
Non, je n'ai pas désactivé le serveur Proxy. Je viens de faire ce que tu m'as demandé dans les outils d'Internet Explorer et rien n'est coché dans la case "serveur Proxy" et la phrase "ne pas utiliser de serveur Proxy..." n'est pas cliquable. C'est normal ?

hubertaaz · Answer

Bonjour,

Oui c'est normal.

Même si je pense que ce n'est pas le cas, il faut que je te pose cette question : aurais-tu restauré la quarantaine de ZHPFix dans le but de récupérer les 3 suppression (auquel cas les clés de registre infectées auraient été restaurées).


Si comme je le pense ce n'est pas le cas, voici ce que tu vas faire.

* Lance ZHPFix depuis le raccourci qui est sur ton bureau . 

*  Une fois l'outil ouvert, clique sur le bouton [ H ] ( "coller les ligne Helper" ) . 

* Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;localhost;club-internet.fr;*.club-internet.fr;grolier.fr;*.grolier.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
O17 - HKLM\System\CS3\Services\Tcpip\..\{85657E27-B3AA-41D6-8CB7-B82B34EDD72B}: NameServer = 194.117.200.10,194.117.200.15

* Clique sur le bouton [ OK ] . 

> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien ! 

* Coche les lignes ci-dessus et uniquement celles-ci.

*  Enfin clique sur le bouton [ Nettoyer ] . 

*  Laisse travailler l'outil et ne touche à rien ! 

*  Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ! 

*  Une fois terminé, un rapport s'affiche : copie-colle tout son contenu dans ta prochaine réponse. 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt )


Après le redémarrage du pc, dis-moi si le problème subsiste.

miquemique · Answer

Bien sûr que je n'ai rien restauré ! le problème c'est que je ne vais pas avoir beaucoup de temps ce matin...

Rapport de ZHPFix v1.12.3148 par Nicolas Coolman, Update du 09/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-13-09-2010-09-13-46.txt
Run by Dominique at 13/09/2010 09:13:46
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr  => Donnée supprimée avec succès
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;localhost;club-internet.fr;*.club-internet.fr;grolier.fr;*.grolier.fr  => Donnée supprimée avec succès
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080  => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\..\{85657E27-B3AA-41D6-8CB7-B82B34EDD72B}: NameServer = 194.117.200.10,194.117.200.15  => Donnée supprimée avec succès


========== Récapitulatif ==========
4 : Elément(s) de donnée du Registre


End of the scan

miquemique · Answer

Help ! j'avais oublié de faire des essais et là je n'ai plus Internet: "internet explorer ne peut..."

hubertaaz · Answer

Ok,

* Ouvre ZHPFix => Quarantaine et restaure les lignes que tu viens de supprimer.

Ensuite quand tu auras le temps :

Télécharge gmer
http://www2.gmer.net/gmer.zip

dézippe-le (clic droit et extraire sur le bureau )

Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
Le scan va se lancer de lui-même.
Vérifie que l'outil est sur l'onglet RootKit/Malware

A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
Enregistre-le sur le bureau ( fichier .log )
Copie ce rapport dans ta prochaine réponse.

Si dans ce rapport, il y a des lignes en rouge, mets les en gras STP.

miquemique · Answer

Là je commence à paniquer...j'ai essayé de restaurer et comme j'avais plein de texte et non pas ce que je venais de supprimer, je ne sais plus sur quoi j'ai cliqué mais je n'ai plus rien dans ZHPFix et pas d'Internet bien sûr...
J'espère que je n'ai pas fait de grosses erreurs.

miquemique · Answer

oui

hubertaaz · Answer

C'est déjà ça et ça nous servira si on a besoin d'un prochain rapport.

Ouvre Internet Explorer => outils => Options Internet => onglet "Connexions" et dans "Paramètres réseau" vérifie si à présent, tu peux cocher la case "Ne pas activer de serveur proxy"

Si tu ne peux pas reviens à la page précédente onglet " connexions" et coche "Ne jamais établir de connexion"

miquemique · Answer

Au risque de passer pour définitivement stupide, je fais comment moi pour ouvrir Internet Explorer ?
Quand je clique sur l'icône de Mozilla Firefox sur le bureau je n'ai pas accès à Internet Explorer, enfin je crois...j'ai tellement peur de faire une catastrophe que je n'ose plus toucher à rien !

miquemique · Answer

Bon d'accord je suis idiote, je viens de m'apercevoir que je peux quand même aller dans les outils de Internet...je vais faire ce que tu dis...

miquemique · Answer

Nos mails se sont croisés. 

 Si je clique sur l'icône d'Internet Explorer, çà ne s'ouvre pas  :" Internet Explorer ne peut pas afficher cette page Web" mais je peux avoir accés à la barre en haut et je suis allée dans les outils et je ne peux pas cocher "ne pas activer de serveur proxy"  
Je suis revenue dans "connexions" mais  "ne jamais établir de connexion" est déjà coché mais pas en surbrillance (je ne peux pas y avoir accès) 
J'espère que je me fait bien comprendre... 
Quand je vais dans "options internet" il n'y a plus d'adresse http:///

hubertaaz · Answer

Ok,

Retourne dans "Options Internet" => Onglet général => tape ceci comme page de démarrage : https://www.google.com/?gws_rd=ssl

Tiens-moi au courant.


Ensuite, en fonction de ta disponibilité (si tu le peux précises-moi quand tu seras devant le pc), il faudra procéder à une recherche de rootkit avec Gmer comme je le mentionnais ici : https://forums.commentcamarche.net/forum/affich-19150275-est-ce-un-virus?page=2#44


Si cette recherche ne donne aucune infection et que le problème persiste, je pense qu'il faudra alors penser que Internet Explorer est corrompu.
Dans ce cas, il faudra désinstaller IE 8 pour revenir brièvement à IE 7 avant de réinstaller IE 8. 

C'est assez spécial comme procédure mais très simple ne crains rien, je te guiderai. Il faudra au préalable sauvegarder tes favoris.

miquemique · Answer

J'ai mis comme page de démarrage https://www.google.com/?gws_rd=ssl  et çà marche mais je n'ai plus la page d'accueil de SFR...remarque que cela ne gène pas !!!
Est ce qu'il faut procéder à une recherche de rootkit avec Gmer quand même (là, j'ai fait un copier/coller car pour moi c'est du chinois!) et combien de temps cela prend ?
J'aurai 1 heure entre midi et 13h et à partir de 17 h.
Merci.
Dominique

hubertaaz · Answer

Bon, c'est bien nous avançons.

Concernant la page d'accueil de SFR si ça ne te dérange pas je pense qu'il vaut mieux laisser en l'état sinon tu retournes dans les options internet et tu remplaces Google par la page de SFR ou une autre de ton choix.


La recherche de rootkit ne prend que quelques minutes, je pense qu'il est bon de la faire car cette option était décochée dans le scan Avira. Par ailleurs Gmer  à une base virale plus étoffée en rootkits.


Il n'y a pas urgence, je serais présent aussi en 12 et 13H et un peux moins après 17H

miquemique · Answer

Je viens de télécharger gmer mais je n'arrive pas à le mettre sur le bureau.

miquemique · Answer

Après un énorme plantage du pc, je n'arrivais même pas à l'éteindre de la tour, obligée de tout débrancher...me revoilà avec en accueil la page SFR et...le parapluie d'Avira qui est fermé.
Bref, tout va bien!!!
Je vais essayer de récupérer Gmer quelque part...

miquemique · Answer

Mon pc est comme devenu fou...pour retrouver Gmer, suis allée dans dans propramme, panneau de configuration et là...RIEN dans ajouter ou supprimer des programmes.
Je plante presqu'à chaque mot, le ventilateur tourne à plein régime et je vais essayer de redémarrer.
A + ou bien dans une autre vie!!!

hubertaaz · Answer

Essaye de redémarrer ton pc en "Mode sans échec" : https://forums.cnetfrance.fr

Choisis l'option "Dernière bonne configuration connue". 

Oublie Gmer pour l'instant.

Tiens-moi au courant.

miquemique · Answer

Voilà les nouvelles...j'ai réussi après divers plantages et redémarrages à faire ce scan Gmer dont je n'arrive pas à t'envoyer le rapport et là, je n'ai plus le temps, il faut absolument que je sorte mais il n'y avait pas de ligne rouge...
Je serai rentrée vers 15h30 .
A tout à l'heure si tu veux bien.
Dominique

hubertaaz · Answer

Pas de lignes rouges donc pas d'infection rootkit!

Il faut que tu me donnes plus d'informations sur le pc, ce n'est pas Gmer qui l'a fait planter.

J'ai besoin de savoir quels problèmes sont présents actuellement.

Est-ce que tu as redémarré en mode sans échec? Ensuite qu'as tu fait pour que le pc revienne à la normale.

As-tu utilisé CCleaner "Registre"? Si oui avais-tu déjà redémarré le pc depuis?

Enfin tu dispose de 4 clés USB ou autres périphériques USB, est-ce que tu en as branché un hier ou aujourd'hui?

Essaye de répondre à chacune de ces questions SVP.

Merci pour les précisions horaires, ça me permet aussi de m'organiser.

@+

miquemique · Answer

J'ai eu du mal à me reconnecter, impossible par Internet Explorer mais ok par Mozilla.
1) non, je n'ai pas essayé de démarrer sans échec. 
2) non, je n'ai pas réutilisé CCleaner.
3) Il me semble que c'est samedi quand çà commençait à foirer que j'ai sauvegardé quelques docs. sur un disque dur externe.
Voilà...

miquemique · Answer

J'y pense, as tu Skype ? est ce que ce ne serait plus simple de communiquer ainsi car j'ai peur que mon pc plante à nouveau...

miquemique · Answer

j'ai oublié quelque chose qui pourrait être important : j'ai téléchargé la semaine dernière un logiciel de sony ericsson pour reparamètrer mon gsm.
je me souviens aussi que, une fois réparé, j'ai viré les icônes mais je ne souviens plus si j'ai désinstallé...

hubertaaz · Answer

Désolé pour Skype mais non. De toute façon, le principe de ce forum est que toutes les interventions doivent se passer en clair surtout si une infection est possible.

Note bien mes instructions précédentes, pour le cas où, concernant le démarrage en mode sans échec. Il y a aussi possibilité de choisir le mode sans échec avec prise en charge du réseau afin de pouvoir se connecter.


Nous allons laisser le problème de connexion internet par IE de côté pour l'instant.

Pourrais-tu brancher ton DD externe et relancer ZHPDiag et me transmettre par Ci-Joint le rapport suivant : C:\Program Files\ZHPDiag)

miquemique · Answer

J'ai branché mon DD et relancé ZHPDiag. Voilà le rapport.

http://www.cijoint.fr/cjlink.php?file=cj201009/cijQ84XPg5.txt

hubertaaz · Answer

Nous allons procéder à une recherche d'infection par et sur tes supports USB externes :

* Télécharge USBFix (de Chiquitine29 et C_XX) sur ton Bureau 
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir 
* Double clique sur le programme USBFix sur ton Bureau. 
* Au menu principal, clique sur "Suppression" 
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal 
* Laisse travailler l'outil jusqu'au bout 
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse stp
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

Aide en images : Nettoyage 

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  
         Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.  
         Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

miquemique · Answer

############################## | UsbFix 7.024 | [Suppression]
Voilà le rapport mais le pc n'a pas redémarré.
On me demande d'envoyer le lien mais je n'en ai pas.
Quand je clique maintenant sur l'icône Internet Explorer il m'ouvre la page d'accueil MSN ce qu'il n'avait jamais fait !
 


Utilisateur: Dominique (Administrateur) # PHIDO [ ]
Mis à jour le 09/09/10 par El Desaparecido / C_XX
Lancé à 16:47:37 | 13/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU:  Intel(R) Pentium(R) 4 CPU 3.40GHz
CPU 2:  Intel(R) Pentium(R) 4 CPU 3.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: Avira AntiVir PersonalEdition 8.0.1.30 [Enabled | Updated]
Firewall: Norton Internet Worm Protection 2006 [(!) Disabled]
RAM -> 1023 Mo 
C:\ (%systemdrive%) -> Disque fixe # 223 Go (115 Go libre(s) - 52%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 465 Go (382 Go libre(s) - 82%) [wd] # FAT32
J:\ -> Disque amovible # 7 Go (7 Go libre(s) - 98%) [USB DISK] # FAT32

################## | Éléments infectieux |

Supprimé! C:\WINDOWS\system32\gearsec.exe
Supprimé! C:\Documents and Settings\Dominique\RavMonLog

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{03b7afe3-62ed-11d9-bc89-806d6172696f}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{60b4225c-28ff-11df-8c35-001109c449f3}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7ad6601c-4e70-11dd-89d6-001109c449f3}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{85623f25-5b1f-11d9-9b25-806d6172696f}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{86416ee3-62ef-11d9-9e97-806d6172696f}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a1e726e6-03ab-11dc-8804-001109c449f3}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d6c211fa-02f2-11dc-8802-001109c449f3}

################## | Listing |

[31/12/2004 - 12:46:04 | A | 0] 	C:\AUTOEXEC.BAT
[11/12/2005 - 09:42:03 | RSH | 5183598] 	C:\AVG7DB_F.DAT
[31/12/2007 - 02:18:16 | D ] 	C:\b1c2cd3ccf0f1553b0f0
[26/03/2005 - 14:00:24 | ASH | 216] 	C:\boot.ini
[05/08/2004 - 14:00:00 | RASH | 4952] 	C:\Bootfont.bin
[16/05/2005 - 11:12:01 | D ] 	C:\BRIDGES_OF_16X9LB_PAL3_SIDE_A
[14/05/2005 - 17:55:08 | D ] 	C:\CloneDVDTemp
[31/12/2004 - 12:46:04 | A | 0] 	C:\CONFIG.SYS
[07/11/2009 - 22:20:59 | D ] 	C:\db53374634f9c1efec700099
[28/03/2005 - 15:20:56 | D ] 	C:\Documents and Settings
[26/02/2006 - 21:32:23 | A | 17] 	C:\GOMMETTE.INI
[13/09/2010 - 15:57:58 | ASH | 1073270784] 	C:\hiberfil.sys
[31/12/2004 - 12:46:04 | RASH | 0] 	C:\IO.SYS
[05/09/2010 - 22:05:46 | D ] 	C:\Mes téléchargements
[31/12/2004 - 12:46:04 | RASH | 0] 	C:\MSDOS.SYS
[27/12/2007 - 13:06:29 | A | 360] 	C:\netmeter.log
[05/08/2004 - 14:00:00 | RASH | 47564] 	C:\NTDETECT.COM
[18/10/2008 - 10:25:27 | RASH | 252240] 	C:\ntldr
[09/04/2006 - 11:21:30 | D ] 	C:\OFFICE XP.WORD&EXCEL&POWERPOINT ONLY
[13/09/2010 - 15:57:54 | ASH | 1610612736] 	C:\pagefile.sys
[11/05/2005 - 08:59:10 | A | 13030] 	C:\PDOXUSRS.NET
[10/01/2005 - 13:26:38 | D ] 	C:\Pilotes
[09/04/2006 - 11:23:48 | A | 1953480] 	C:\powerpoint-viewer_powerpoint_viewer_2003_francais_10781.EXE
[04/02/2004 - 21:38:00 | A | 447801] 	C:\Procédure de Restauration.pdf
[12/09/2010 - 16:15:14 | D ] 	C:\Program Files
[07/05/2006 - 20:45:24 | A | 1104] 	C:\rapport.txt
[13/05/2005 - 19:27:40 | D ] 	C:\recette2005
[08/10/2007 - 10:41:34 | RSHD ] 	C:\Recycled
[13/09/2010 - 16:57:07 | SHD ] 	C:\RECYCLER
[17/04/2008 - 22:46:11 | SHD ] 	C:\System Volume Information
[17/04/2008 - 22:22:22 | D ] 	C:\Temp
[29/11/2005 - 22:03:10 | A | 61] 	C:\twacker.log
[13/09/2010 - 16:57:08 | D ] 	C:\UsbFix
[13/09/2010 - 16:57:13 | A | 1169] 	C:\UsbFix.txt
[13/09/2010 - 07:37:12 | D ] 	C:\WINDOWS
[14/05/2010 - 09:27:29 | D ] 	C:\Workspaces
[12/09/2010 - 13:48:26 | A | 3820] 	C:\ZHPExportRegistry-12-09-2010-13-48-26.txt
[13/09/2010 - 09:13:46 | A | 4678384] 	C:\ZHPExportRegistry-13-09-2010-09-13-46.txt
[28/01/2010 - 22:02:14 | D ] 	E:\WD SmartWare
[08/05/2010 - 15:52:08 | D ] 	E:\AdobeStockPhotos
[08/05/2010 - 15:52:08 | SHD ] 	E:\System Volume Information
[08/05/2010 - 15:52:24 | D ] 	E:\InstantCDDVD
[08/05/2010 - 15:52:34 | D ] 	E:\Liens torrent
[08/05/2010 - 16:01:04 | RD ] 	E:\Ma musique
[08/05/2010 - 16:03:04 | RD ] 	E:\Mes vidéos
[08/05/2010 - 16:45:36 | RD ] 	E:\Mes images
[08/05/2010 - 18:00:48 | D ] 	E:\My Albums
[08/05/2010 - 18:01:12 | D ] 	E:\My eBooks
[08/05/2010 - 18:02:38 | D ] 	E:\NeroVision
[08/05/2010 - 18:02:38 | D ] 	E:\Pinnacle Expression
[08/05/2010 - 18:02:40 | D ] 	E:\Updater
[08/05/2010 - 18:02:40 | D ] 	E:\Yetisports
[25/11/2004 - 22:30:50 | A | 1890816] 	E:\CloneDVD2.exe
[22/07/2004 - 13:57:20 | A | 1032] 	E:\Création du CD Pilotes.lnk
[22/07/2004 - 14:02:34 | A | 1020] 	E:\Création du CD Système.lnk
[15/07/2004 - 11:19:34 | A | 836] 	E:\Créez votre site Web.lnk
[08/05/2010 - 18:03:14 | D ] 	E:\CV Nicolas
[08/05/2010 - 18:04:44 | D ] 	E:\DivxToDvd
[08/05/2010 - 18:05:30 | D ] 	E:\fire
[08/05/2010 - 18:05:30 | D ] 	E:\Logiciels
[08/05/2010 - 18:06:30 | D ] 	E:\Mes fichiers reçus
[08/05/2010 - 18:06:30 | D ] 	E:\PcSetup
[14/04/2007 - 14:56:26 | AH | 62976] 	E:\~WRL3179.tmp
[29/05/2006 - 15:12:22 | A | 27136] 	E:\Curriculum Vitae
[03/05/2006 - 17:13:02 | A | 37376] 	E:\GRATIN DE LEGUMES AU CHEVRE.doc
[10/01/2005 - 10:59:06 | A | 1713] 	E:\INSTANT TV PVR.lnk
[03/11/2006 - 18:52:50 | A | 602624] 	E:\Le coin des recettes dans des verres.doc
[03/11/2009 - 09:37:36 | A | 915] 	E:\Mes dossiers de partage.lnk
[14/09/2006 - 12:52:14 | A | 862720] 	E:\pubgeniales.pps
[09/10/2006 - 09:36:48 | A | 19968] 	E:\Ruinons le FN.doc
[07/05/2007 - 10:48:04 | A | 26624] 	E:\Sarkozy Je suis issu.doc
[16/01/2009 - 14:03:50 | A | 492] 	E:\spider.sav
[17/11/2005 - 18:14:50 | A | 73216] 	E:\tfe.doc
[26/02/2006 - 21:32:24 | A | 46] 	E:\U.GOM
[09/04/2007 - 18:42:38 | AH | 62976] 	E:\Vietnam mars 2007CARNET DE ROUTE
[15/04/2007 - 18:32:28 | A | 73216] 	E:\VIETNAM.mars 2007.doc
[08/05/2010 - 18:13:32 | D ] 	E:\Hercules webcam
[08/05/2010 - 18:13:32 | D ] 	E:\iDeal Designer But_4
[08/05/2010 - 18:13:36 | D ] 	E:\ISOLATION CAVE
[08/05/2010 - 18:13:38 | D ] 	E:\Maroc
[08/05/2010 - 18:14:20 | RSD ] 	E:\My Stationery
[08/05/2010 - 18:14:30 | D ] 	E:\RECETTES
[08/05/2010 - 18:14:32 | D ] 	E:\Téléchargements
[13/07/2007 - 09:06:42 | A | 21683] 	E:\[isoHunt] Mika_-_Life_In_Cartoon_Motion-2007-192K[1].3738075.TPB.torrent
[18/01/2010 - 21:01:18 | A | 19456] 	E:\Adresse Marie Charlotte SUISSE.doc
[17/09/2009 - 18:49:34 | A | 7809617] 	E:\Ages dévoilés0313.jpg
[09/03/2010 - 16:59:14 | A | 3662026] 	E:\appart mch0333.jpg
[06/03/2009 - 11:49:52 | A | 39936] 	E:\BANQUE POPULAIRE ATLANTIQUE.RIB.doc
[02/12/2009 - 21:17:36 | A | 13017235] 	E:\boeuf en croûte0319.jpg
[09/03/2010 - 09:42:40 | A | 714275] 	E:\cartes embarquement0330.jpg
[08/05/2010 - 18:14:48 | A | 1301443] 	E:\certf prés MamSt Nicol0314.jpg
[09/03/2010 - 09:53:40 | A | 533505] 	E:\certificat RJ0331.jpg
[28/09/2009 - 15:13:54 | A | 23552] 	E:\Changement adresse RSI MAMAN.doc
[06/08/2009 - 19:31:40 | A | 31744] 	E:\Circuit 14 jours Jordanie Syrie.doc
[13/12/2008 - 11:41:58 | A | 34304] 	E:\COMPTE RENDU DES TESTEURS.doc
[28/01/2008 - 14:52:00 | A | 38912] 	E:\devis maroc.doc
[23/03/2010 - 13:22:50 | A | 23040] 	E:\DGAC reclamation.doc
[17/03/2010 - 08:38:48 | A | 111864] 	E:\domicile nico 20342.jpg
[05/05/2010 - 10:24:54 | A | 249718] 	E:\echographie nico0353.jpg
[19/07/2009 - 17:59:04 | A | 24064] 	E:\ETATS UNIS.doc
[14/04/2010 - 18:11:20 | A | 283807] 	E:\expertise médicale MA20346.jpg
[14/04/2010 - 18:09:20 | A | 253702] 	E:\expertise médicale MAM0345.jpg
[05/04/2010 - 14:48:06 | A | 20480] 	E:\java bali.doc
[27/10/2009 - 11:32:40 | A | 19968] 	E:\JORDANIE.doc
[27/05/2007 - 12:46:16 | A | 20992] 	E:\LE RISOTTO DE  MIQUE.doc
[11/09/2009 - 14:21:08 | A | 19968] 	E:\lettre Cambodge Laos.doc
[15/04/2010 - 17:29:22 | A | 162382] 	E:\lunettes dom 20100347.jpg
[20/01/2010 - 14:05:56 | A | 1901346] 	E:\maman0328.jpg
[02/03/2007 - 22:10:46 | A | 238685] 	E:\Mars - Mme Dominique Germain Contrat 4 pax (2).pdf
[16/01/2008 - 14:26:28 | A | 237767] 	E:\Mme Dominique Germain (02 pax) Nord approfondi (MDF3).pdf
[19/04/2010 - 09:37:22 | A | 109652] 	E:\MMEI0350.jpg
[06/02/2008 - 18:22:40 | A | 19456] 	E:\Monsieur et Madame.doc
[14/03/2010 - 12:29:38 | A | 26112] 	E:\NOTAIRE PAPA MAMAN                                              Angers.doc
[02/09/2009 - 21:11:02 | A | 5734642] 	E:\passeport mch0310.jpg
[11/06/2008 - 17:43:34 | A | 193024] 	E:\Prénoms en hiéroglyphe.doc
[06/02/2010 - 13:41:08 | A | 915765] 	E:\reflex nikon garantie0329.jpg
[07/05/2010 - 11:56:14 | A | 20480] 	E:\REVENUS MAMAN.doc
[27/07/2009 - 19:48:20 | A | 500936] 	E:\scanner foie0307.jpg
[27/07/2009 - 19:51:34 | A | 1396085] 	E:\scanner foie 10308.jpg
[03/11/2008 - 12:15:06 | A | 21504] 	E:\sercep.doc
[28/09/2009 - 13:42:10 | A | 23040] 	E:\Simone JOLY.Changement adresse.doc
[28/09/2009 - 14:06:20 | A | 87040] 	E:\SPARTACO LORANDI.Changement adresse.doc
[03/03/2010 - 17:23:52 | A | 22016] 	E:\TRANSINDEMNITE.doc
[28/07/2008 - 18:02:26 | A | 26624] 	E:\Une maman rentre à la maison un soir et retrouve une lettre.doc
[09/05/2010 - 13:44:34 | SHD ] 	E:\Recycled
[09/05/2010 - 14:18:24 | D ] 	E:\Outlook Express
[13/09/2010 - 16:05:50 | D ] 	E:\60 ans Maman et 30 ans Marie-Charlotte 27 mars 2009
[13/09/2010 - 16:05:56 | D ] 	E:\60 ans philippe la broise
[13/09/2010 - 16:08:24 | D ] 	E:\aout 2010
[13/09/2010 - 16:08:28 | D ] 	E:\CRÊTE Aout2010
[21/07/2010 - 15:59:58 | A | 2268080] 	J:\002.JPG
[21/07/2010 - 15:59:58 | A | 2348057] 	J:\003.JPG
[21/07/2010 - 15:59:58 | A | 1880694] 	J:\004.JPG
[21/07/2010 - 16:01:16 | A | 2522081] 	J:\009.JPG
[21/07/2010 - 16:01:16 | A | 2297681] 	J:\016.JPG
[24/04/2010 - 15:01:08 | A | 6518621] 	J:\DSC_0001.JPG
[24/04/2010 - 15:03:22 | A | 6337362] 	J:\DSC_0003.JPG
[24/04/2010 - 15:03:58 | A | 6586096] 	J:\DSC_0004.JPG
[24/04/2010 - 15:05:16 | A | 5957287] 	J:\DSC_0005.JPG
[24/04/2010 - 15:06:48 | A | 5430910] 	J:\DSC_0007.JPG
[24/04/2010 - 15:07:22 | A | 5320745] 	J:\DSC_0008.JPG
[24/04/2010 - 15:07:54 | A | 5576132] 	J:\DSC_0009.JPG
[24/04/2010 - 15:08:34 | A | 5417242] 	J:\DSC_0011.JPG
[24/04/2010 - 15:11:42 | A | 5174349] 	J:\DSC_0012.JPG
[24/04/2010 - 15:12:36 | A | 5278019] 	J:\DSC_0013.JPG
[24/04/2010 - 15:16:06 | A | 5254287] 	J:\DSC_0015.JPG
[24/04/2010 - 15:16:52 | A | 5080077] 	J:\DSC_0016.JPG
[24/04/2010 - 15:18:58 | A | 5533400] 	J:\DSC_0017.JPG
[24/04/2010 - 15:20:36 | A | 5505701] 	J:\DSC_0019.JPG
[24/04/2010 - 15:21:16 | A | 5123936] 	J:\DSC_0020.JPG
[24/04/2010 - 15:22:22 | A | 5376740] 	J:\DSC_0021.JPG
[24/04/2010 - 15:23:32 | A | 4662089] 	J:\DSC_0023.JPG
[24/04/2010 - 15:24:02 | A | 5168844] 	J:\DSC_0024.JPG
[24/04/2010 - 15:24:36 | A | 6526076] 	J:\DSC_0025.JPG
[24/04/2010 - 15:25:56 | A | 6059702] 	J:\DSC_0027.JPG
[24/04/2010 - 15:26:50 | A | 5645080] 	J:\DSC_0028.JPG
[24/04/2010 - 15:27:16 | A | 5256122] 	J:\DSC_0029.JPG

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PHIDO.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

hubertaaz · Answer

Il n'a pas redémarré, ce n'est pas grave. Tu peux à présent déconnecter tes supports USB externes.

* Nous avançons, il y avait bien une bonne infection USB.

* Si tu utilises d'autres supports USB, il faudra impérativement aussi les connecter (sans les ouvrir) à ton PC et faire la même procédure avec UsbFix.

* Le fichier à envoyer est ici : C:\UsbFix.txt et le lien est le suivant : https://www.ionos.fr/?affiliate_id=77097


* C'est normal pour la page d'accueil MSN, c'est celle par défaut avec Windows. 

* Je pense donc que tout revient dans l'ordre des choses.

* Teste le pc et dis-moi ce qu'il en est?

* S'il reste des problèmes, décris-les moi

* Je ne suis pas connecté en permanence car j'ai du boulot dehors mais je passerai régulièrement

miquemique · Answer

J'ai testé le pc, çà semble aller mais j'ai toujours le problème de devoir cliquer 2 fois de suite aussi bien dans mes favoris que dans Google.
La page d'accueil MSN a disparu.
Est-il possible de savoir quel périphérique est infecté et si oui sur quel fichier et ont-ils été nettoyés?
Est ce que je dois refaire un scan avec Avira ?
Merci beaucoup.
Dominique

hubertaaz · Answer

* Concernant la modification de la page d'accueil : qu'est-ce qui a remplacé MSN ?

* Si tu cliques droit sur tes favoris et ensuite "ouvrir" est-ce que le problème est identique?

* Concernant l'infection : si elle a été contractée par un support USB infecté, elle se situait sur le HDD (C)


Supprimé! C:\WINDOWS\system32\gearsec.exe
Supprimé! C:\Documents and Settings\Dominique\RavMonLog

Plus des clés de registre:

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{03b7afe3-62ed-11d9-bc89-806d6172696f}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{60b4225c-28ff-11df-8c35-001109c449f3}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7ad6601c-4e70-11dd-89d6-001109c449f3}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{85623f25-5b1f-11d9-9b25-806d6172696f}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{86416ee3-62ef-11d9-9e97-806d6172696f}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a1e726e6-03ab-11dc-8804-001109c449f3}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d6c211fa-02f2-11dc-8802-001109c449f3}

A présent les supports que tu as connectés lors du scan UsbFix ainsi que ton DD sont vaccinés contre ce type d'infection.

Ça n'exclut cependant pas  la présence d'autres infections mais je ne le pense pas.

Par mesure de contrôle, tu pourras faire ceci :

* Modifier les paramètres de Avira (si ce n'est fait afin d'avoir le scan recherche rootkit).

* Quand tu auras un peu de temps, brancher tes supports USB externes à ton PC (sans les ouvrir) les sélectionner par un clic droit => "Contrôler les fichiers sélectionnés avec Antivir" et laisser faire l'analyse.

* Tu pourras aussi après avoir procédé à cette analyse en faire une autre complète de ton pc (sans les supports USB externes).


* Dans l'immédiat, j'aimerais un dernier rapport de contrôle avec ZHPDiag.
A présent, tu connais la marche à suivre.

miquemique · Answer

La page d'accueil est redevenue SFR sans intervenir...

Concernant mes favoris, je viens de faire l'essai en cliquant droit, c'est pareil.

Je ferai effectivement un nouveau contrôle Avira demain avec et après sans les supports USB mais là, je commence à saturer!!!

Crois tu qu'Avira est bien et faut il changer d'antivirus?

Enfin, voici le dernier rapport de contrôle ZHPDiag.

Bonne soirée.



http://www.cijoint.fr/cjlink.php?file=cj201009/cijhgitYlr.txt

hubertaaz · Answer

Concernant la page d'accueil SFR, c'est elle apparemment qui te pose le problème.

Je ferai une recherche plus approfondie dès que possible afin de l'empêcher de se modifier au redémarrage.


J'examinerai d'ailleurs le rapport ZHPDiag un peu plus tard. Il nous en apprendra peut-être plus.


Pour le contrôle Avira, rien ne presse.

Procède d'abord à un contrôle des supports USB externes (ceux que tu as branchés lors de l'analyse UsbFix).

Plus tard tu pourras lancer un scan complet Avira mais sans les supports USB puisque ça aura été fait (en aparté)

Avira est un excellent antivirus parmi les 2 meilleurs gratuits à l'heure actuelle.

Il faut savoir que ce type d'infection échappe à tous les antivirus. C'est pourquoi une vaccination préventive est souhaitée. C'est fait à présent pour les supports que tu as branchés pour l'analyse UsbFix.

Il faut aussi comprendre que si tu copies un fichier infecté sur un support externe, la copie de ce fichier sera bien sûr aussi infectée. 

Bonne soirée à toi aussi.

miquemique · Answer

Bonjour,

Pour ce qui concerne le démarrage de Firefox, j'ai une page très sobre, blanche avec une barre de recherche Google au centre et c'est à peu près tout, sans mes favoris bien sûr.

Quant à savoir quelle page de démarrage je préfère, c'est difficile à dire, c'est vrai que je suis habituée à celle de SFR. J'y ai mon espace client et ma messagerie (que je ne consulte que pour nettoyer mes messages puisque je vais toujours sur Outlook Express) et surtout mes favoris auxquels je tiens !
Mais si çà doit poser encore problème, je peux changer...

Je reviens sur le contrôle que je dois faire de mes supports USB...avec UsbFix ?

Concernant l'infection, c'est dommage qu'on ne puisse savoir exactement où elle se situait. Tu as raison, c'est à partir du moment où j'ai voulu sauvegarder sur DD une partie des documents (photos et mails Outlook) que çà a débloqué. Et puis non puisque si j'ai voulu sauvegarder, c'est qu'il y avait ce problème depuis que j'avais téléchargé Sony Ericsson pour mon téléphone en panne !
L'important c'est que tout fonctionne...
Bonne journée.

hubertaaz · Answer

Bonjour,

"Je reviens sur le contrôle que je dois faire de mes supports USB...avec UsbFix ?"
 Si tu possèdes d'autres supports USB externes (clés USB par exemple) il est très recommandé d'utiliser UsbFix comme tu l'as fait pour ton DD externe.

"Concernant l'infection, c'est dommage qu'on ne puisse savoir exactement où elle se situait. " Je t'ai situé l'infection par supports amovibles très précisément dans mon poste précédent.
Il ne faut pas confondre cette infection avec une autre infection de fichiers copiés sur clé USB ou DD externe. Cette dernière infection se détecte en analysant les fichiers présent sur ce support avec ton antivirus et aussi avec MBAM (après mise à jour). Il est aussi évident que si les fichiers sont copiés de ton pc, ils ne seront infectés que si ces fichiers présents sur le pc sont infectés eux-mêmes.

J'espère que c'est plus clair à présent.

Quand nous serons certains que le pc tourne bien, il sera impératif de purger la restauration système car en cas de restauration les infections présentes antérieurement pourraient réapparaitre. Je te donnerais la marche à suivre.


Si tu le veux bien nous pourrions procéder à un dernier contrôle : 

* Télécharge AD-Remover sur ton Bureau. (Merci à C_XX)   

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe   

Miroir:   

https://www.androidworld.fr/   

/!\ Ferme toutes applications en cours /!\   

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.  

- Double-clique sur l'icône Ad-Remover située sur ton Bureau.   
- Sur la page, clique sur le bouton « Nettoyer »   
- Confirme lancement du scan   
- Laisse travailler l'outil.   
- Poste le rapport qui apparaît à la fin.   

(Le rapport est sauvegardé aussi sous C:\Ad-report-Clean.log )

miquemique · Answer

Ok mais je n'ai vraiment pas le temps ce matin, je ferai çà après déjeuner.
Désolée...
A+

miquemique · Answer

Avec pas mal de retard...me revoilà avec mon rapport AD-REMOVER.
J'espère avoir bien fait !

Quand je te disais qu'il serait interessant de savoir où se situait l'infection, je pensais qu'il était possible de connaître la source exacte : telle ou telle photo, tel mail, tel site, etc...excuse ma naïveté !

Je parlais de mes ennuis à mon fils tout à l'heure qui m'a dit que mon pc n'avait jamais été formaté depuis + de 5 ans...et qu'il aurait aussi besoin d'une restauration. C'est de çà dont tu m'as parlé ?

A + tard !


======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 06/09/10 à 15:20
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:47:31 le 14/09/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Dominique@PHIDO ( ) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.



============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.12 (fr)] **

-- C:\Documents and Settings\Dominique\Application Data\Mozilla\FireFox\Profiles\j2t77uqq.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Dominique\Bureau
browser.search.defaultenginename, Google
browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
browser.search.selectedEngine, Google
browser.startup.homepage_override.mstone, rv:1.9.1.12

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 14/09/2010 (471 Octet(s)) 

Fin à: 13:50:33, 14/09/2010 
 
============== E.O.F ==============

hubertaaz · Answer

Il n'est pas question de retard, tu fais les choses quand ça te convient.

C'est ok pour le rapport, il n'y a rien à signaler.

Le formatage et la restauration système sont 2 choses tout à fait différentes.

Le formatage est un nettoyage du disque dur qui remet ton PC à 0. Donc il faut tout réinstaller ensuite. Je ne le recommande que lorsqu'il n'y a pas possibilité de l'éviter.

La restauration système est une opération toute simple. On la purge lorsqu'il y a eu infection afin d'éviter une récupération de l'infection. On ne le fait que lorsque le PC est ok. 

Une documentation pour comprendre ce que c'est ici : 
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

Quand nous déciderons de la purger, voici comment procéder : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924


Pour le problème de double clic pour les pages Internet, j'ai bien une idée mais cela nécessite de fixer des lignes dans ZHPFix et je crains de ne pouvoir faire marche arrière en cas de pépin car ça ne s'est pas bien passé la dernière fois lorsque tu as voulu restaurer la quarantaine de ZHPFix.

@+

miquemique · Answer

VT Community Sign in ? My account ? Sign out Signing out...   Languages ?  

VirusTotal's website has changed, we need new translations, do you feel like helping the community?
info@virustotal.com
Sign in to VT CommunitySafety ratings and user comments (disinfection, in-the-wild locations, reverse engineering reports, etc.) on malware and URLs, free and easy.
email  
password  
  Keep me logged in 
 Sign in Signing in, please wait...   
 Login failed, please try again  
Forgot your password?  Create an account 

Edit my profile
View my profile
Inbox
 
  Virustotal is a service that analyzes suspicious files and URLs and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information... 

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware. 
File name: seehcri.sys
Submission date: 2010-09-14 15:10:33 (UTC)
Current status: queued (#1) queued analysing finished


Result: 0/ 43 (0.0%)
 VT Community

not reviewed
 Safety score: -  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.09.13.00 2010.09.13 - 
AntiVir 8.2.4.52 2010.09.14 - 
Antiy-AVL 2.0.3.7 2010.09.14 - 
Authentium 5.2.0.5 2010.09.14 - 
Avast 4.8.1351.0 2010.09.14 - 
Avast5 5.0.594.0 2010.09.14 - 
AVG 9.0.0.851 2010.09.14 - 
BitDefender 7.2 2010.09.14 - 
CAT-QuickHeal 11.00 2010.09.14 - 
ClamAV 0.96.2.0-git 2010.09.14 - 
Comodo 6073 2010.09.14 - 
DrWeb 5.0.2.03300 2010.09.14 - 
Emsisoft 5.0.0.37 2010.09.14 - 
eSafe 7.0.17.0 2010.09.14 - 
eTrust-Vet 36.1.7854 2010.09.14 - 
F-Prot 4.6.1.107 2010.09.13 - 
F-Secure 9.0.15370.0 2010.09.14 - 
Fortinet 4.1.143.0 2010.09.13 - 
GData 21 2010.09.14 - 
Ikarus T3.1.1.88.0 2010.09.14 - 
Jiangmin 13.0.900 2010.09.14 - 
K7AntiVirus 9.63.2502 2010.09.14 - 
Kaspersky 7.0.0.125 2010.09.14 - 
McAfee 5.400.0.1158 2010.09.14 - 
McAfee-GW-Edition 2010.1B 2010.09.14 - 
Microsoft 1.6103 2010.09.14 - 
NOD32 5450 2010.09.14 - 
Norman 6.06.06 2010.09.14 - 
nProtect 2010-09-14.01 2010.09.14 - 
Panda 10.0.2.7 2010.09.14 - 
PCTools 7.0.3.5 2010.09.14 - 
Prevx 3.0 2010.09.14 - 
Rising 22.65.01.04 2010.09.14 - 
Sophos 4.57.0 2010.09.14 - 
Sunbelt 6874 2010.09.14 - 
SUPERAntiSpyware 4.40.0.1006 2010.09.14 - 
Symantec 20101.1.1.7 2010.09.14 - 
TheHacker 6.7.0.0.017 2010.09.14 - 
TrendMicro 9.120.0.1004 2010.09.14 - 
TrendMicro-HouseCall 9.120.0.1004 2010.09.14 - 
VBA32 3.12.14.0 2010.09.14 - 
ViRobot 2010.8.25.4006 2010.09.14 - 
VirusBuster 12.65.6.0 2010.09.14 - 
Additional informationShow all  
MD5   : e5b56569a9f79b70314fede6c953641e 
SHA1  : c043286da0562dca16a14aa9abc3b0ce472019cd 
SHA256: 41b088cd3ae5a342d44f2fdcb63975e15d79155f56dfc75631663d9c31d98634 
ssdeep: 768:A0mE8TOn6APuRAWcebLzd/sXeThaa/0Kty4bm:A0n8TO32RAWcALR0uz/0KtNm 
File size : 27632 bytes 
First seen: 2010-01-14 19:49:11 
Last seen : 2010-09-14 15:10:33 
TrID: 
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
sigcheck: 
publisher....: Sony Ericsson Mobile Communications
copyright....: (c) Sony Ericsson. All rights reserved.
product......: seehcri Device
description..: seehcri Driver
original name: seehcri.sys:
internal name: seehcri.sys:
file version.: 1.01
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x4EC7
timedatestamp....: 0x478488C1 (Wed Jan 09 08:41:37 2008)
machinetype......: 0x14c (I386)

[[ 7 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x480, 0x94D, 0x980, 6.33, 67827227166b2b21ff5c7a53f237f3d1
.rdata, 0xE00, 0x167, 0x180, 4.53, 5bd8eebb732656737340ed15f6862a7d
.data, 0xF80, 0xC0, 0x100, 0.29, a7d96055a84d278871f1bc66026404c3
PAGE, 0x1080, 0x3C46, 0x3C80, 6.53, fbf929d2b2177decf8ec048c19454214
INIT, 0x4D00, 0x834, 0x880, 5.75, 10a820565c2e4dc5b3f0533459dd73f3
.rsrc, 0x5580, 0x378, 0x380, 3.18, a528c002a4a13ced226f8d18be7a28f7
.reloc, 0x5900, 0x5AC, 0x600, 6.13, a88bed99db0bd2c347e4ed7f9e5c2cd1

[[ 1 import(s) ]]
ntoskrnl.exe: IoReleaseRemoveLockEx, IofCallDriver, IofCompleteRequest, IoAcquireRemoveLockEx, KeSetEvent, DbgPrint, PoStartNextPowerIrp, KeReleaseMutex, IoSetDeviceInterfaceState, KeWaitForSingleObject, ExFreePoolWithTag, IoGetDeviceInterfaces, RtlEqualUnicodeString, RtlInitUnicodeString, IoGetDeviceProperty, IoDetachDevice, PoSetPowerState, IoRegisterDeviceInterface, IoInitializeRemoveLockEx, KeInitializeEvent, IoDeleteDevice, IoAttachDeviceToDeviceStack, IoCreateDevice, IoReportDetectedDevice, KeClearEvent, IoBuildDeviceIoControlRequest, ObfDereferenceObject, ExAllocatePoolWithTag, IoGetAttachedDeviceReference, memcpy, IoBuildSynchronousFsdRequest, IoGetDeviceObjectPointer, ExAcquireResourceExclusiveLite, ExAcquireResourceSharedLite, KeEnterCriticalRegion, KeLeaveCriticalRegion, ExReleaseResourceLite, MmMapIoSpace, MmUnmapIoSpace, ZwClose, ZwQueryValueKey, ZwOpenKey, PoRequestPowerIrp, ExDeleteResourceLite, memset, IoReleaseRemoveLockAndWaitEx, PoCallDriver, KeInitializeMutex, ExInitializeResourceLite, DbgBreakPoint, RtlCopyUnicodeString, KeTickCount, KeBugCheckEx
 


VT Community

0
This file has never been reviewed by any VT Community member. Be the first one to comment on it! 
VirusTotal Team 
Add your comment... Remember that when you write comments as an anonymous user they receive the lowest possible reputation. So if you have not signed in yet don't forget to do so. How to markup your comments? 

You can add basic styles to your comments using the following accepted bbcode tags:

[b]text/b -- bold
[i]text/i -- italics
[u]text/u -- underline
[s]text/s -- strikethrough
[code]text/code -- preformatted text

You can also address comments to particular users using the "@" twitter-like mode. By prepending a "#" symbol to a word you can add custom tags to your comment, tags that can then be searched for. 
 
Goodware Malware Spam attachment/link 
P2P download Propagating via IM Network worm 
Drive-by-download 



Anonymous limit exceeded: anonymous users can only make one comment per file or URL, either sign in or register in order to continue making reviews on this item. Note that anonymous user discrimination is based on IP addresses, hence, it may be possible that another user behind your same proxy or NAT connection already made a review. 

Preview commentEdit comment Post comment Posting comment...  
Comment successfully posted 





 

ATTENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. 
VirusTotal © Hispasec Sistemas - Blog - Twitter - Contact: info@virustotal.com- Terms of Service & Privacy Policy

miquemique · Answer

Zut , j'avais pas vu la suite...


Additional informationShow all  
MD5   : e5b56569a9f79b70314fede6c953641e 
SHA1  : c043286da0562dca16a14aa9abc3b0ce472019cd 
SHA256: 41b088cd3ae5a342d44f2fdcb63975e15d79155f56dfc75631663d9c31d98634 
ssdeep: 768:A0mE8TOn6APuRAWcebLzd/sXeThaa/0Kty4bm:A0n8TO32RAWcALR0uz/0KtNm 
File size : 27632 bytes 
First seen: 2010-01-14 19:49:11 
Last seen : 2010-09-14 15:10:33 
TrID: 
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
sigcheck: 
publisher....: Sony Ericsson Mobile Communications
copyright....: (c) Sony Ericsson. All rights reserved.
product......: seehcri Device
description..: seehcri Driver
original name: seehcri.sys:
internal name: seehcri.sys:
file version.: 1.01
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x4EC7
timedatestamp....: 0x478488C1 (Wed Jan 09 08:41:37 2008)
machinetype......: 0x14c (I386)

[[ 7 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x480, 0x94D, 0x980, 6.33, 67827227166b2b21ff5c7a53f237f3d1
.rdata, 0xE00, 0x167, 0x180, 4.53, 5bd8eebb732656737340ed15f6862a7d
.data, 0xF80, 0xC0, 0x100, 0.29, a7d96055a84d278871f1bc66026404c3
PAGE, 0x1080, 0x3C46, 0x3C80, 6.53, fbf929d2b2177decf8ec048c19454214
INIT, 0x4D00, 0x834, 0x880, 5.75, 10a820565c2e4dc5b3f0533459dd73f3
.rsrc, 0x5580, 0x378, 0x380, 3.18, a528c002a4a13ced226f8d18be7a28f7
.reloc, 0x5900, 0x5AC, 0x600, 6.13, a88bed99db0bd2c347e4ed7f9e5c2cd1

[[ 1 import(s) ]]
ntoskrnl.exe: IoReleaseRemoveLockEx, IofCallDriver, IofCompleteRequest, IoAcquireRemoveLockEx, KeSetEvent, DbgPrint, PoStartNextPowerIrp, KeReleaseMutex, IoSetDeviceInterfaceState, KeWaitForSingleObject, ExFreePoolWithTag, IoGetDeviceInterfaces, RtlEqualUnicodeString, RtlInitUnicodeString, IoGetDeviceProperty, IoDetachDevice, PoSetPowerState, IoRegisterDeviceInterface, IoInitializeRemoveLockEx, KeInitializeEvent, IoDeleteDevice, IoAttachDeviceToDeviceStack, IoCreateDevice, IoReportDetectedDevice, KeClearEvent, IoBuildDeviceIoControlRequest, ObfDereferenceObject, ExAllocatePoolWithTag, IoGetAttachedDeviceReference, memcpy, IoBuildSynchronousFsdRequest, IoGetDeviceObjectPointer, ExAcquireResourceExclusiveLite, ExAcquireResourceSharedLite, KeEnterCriticalRegion, KeLeaveCriticalRegion, ExReleaseResourceLite, MmMapIoSpace, MmUnmapIoSpace, ZwClose, ZwQueryValueKey, ZwOpenKey, PoRequestPowerIrp, ExDeleteResourceLite, memset, IoReleaseRemoveLockAndWaitEx, PoCallDriver, KeInitializeMutex, ExInitializeResourceLite, DbgBreakPoint, RtlCopyUnicodeString, KeTickCount, KeBugCheckEx
 


VT Community

0
This file has never been reviewed by any VT Community member. Be the first one to comment on it! 
VirusTotal Team

miquemique · Answer

ANALYSE DU 2ème LIEN


VT Community Sign in ? My account ? Sign out Signing out...   Languages ?  

VirusTotal's website has changed, we need new translations, do you feel like helping the community?
info@virustotal.com
Sign in to VT CommunitySafety ratings and user comments (disinfection, in-the-wild locations, reverse engineering reports, etc.) on malware and URLs, free and easy.
email  
password  
  Keep me logged in 
 Sign in Signing in, please wait...   
 Login failed, please try again  
Forgot your password?  Create an account 

Edit my profile
View my profile
Inbox
 
  Virustotal is a service that analyzes suspicious files and URLs and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information... 

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware. 
File name: ggflt.sys
Submission date: 2010-09-14 15:18:56 (UTC)
Current status: queued (#4) queued (#4) analysing finished


Result: 0/ 43 (0.0%)
 VT Community

not reviewed
 Safety score: -  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.09.13.00 2010.09.13 - 
AntiVir 8.2.4.52 2010.09.14 - 
Antiy-AVL 2.0.3.7 2010.09.14 - 
Authentium 5.2.0.5 2010.09.14 - 
Avast 4.8.1351.0 2010.09.14 - 
Avast5 5.0.594.0 2010.09.14 - 
AVG 9.0.0.851 2010.09.14 - 
BitDefender 7.2 2010.09.14 - 
CAT-QuickHeal 11.00 2010.09.14 - 
ClamAV 0.96.2.0-git 2010.09.14 - 
Comodo 6073 2010.09.14 - 
DrWeb 5.0.2.03300 2010.09.14 - 
Emsisoft 5.0.0.37 2010.09.14 - 
eSafe 7.0.17.0 2010.09.14 - 
eTrust-Vet 36.1.7854 2010.09.14 - 
F-Prot 4.6.1.107 2010.09.13 - 
F-Secure 9.0.15370.0 2010.09.14 - 
Fortinet 4.1.143.0 2010.09.13 - 
GData 21 2010.09.14 - 
Ikarus T3.1.1.88.0 2010.09.14 - 
Jiangmin 13.0.900 2010.09.14 - 
K7AntiVirus 9.63.2502 2010.09.14 - 
Kaspersky 7.0.0.125 2010.09.14 - 
McAfee 5.400.0.1158 2010.09.14 - 
McAfee-GW-Edition 2010.1B 2010.09.14 - 
Microsoft 1.6103 2010.09.14 - 
NOD32 5450 2010.09.14 - 
Norman 6.06.06 2010.09.14 - 
nProtect 2010-09-14.01 2010.09.14 - 
Panda 10.0.2.7 2010.09.14 - 
PCTools 7.0.3.5 2010.09.14 - 
Prevx 3.0 2010.09.14 - 
Rising 22.65.01.04 2010.09.14 - 
Sophos 4.57.0 2010.09.14 - 
Sunbelt 6874 2010.09.14 - 
SUPERAntiSpyware 4.40.0.1006 2010.09.14 - 
Symantec 20101.1.1.7 2010.09.14 - 
TheHacker 6.7.0.0.017 2010.09.14 - 
TrendMicro 9.120.0.1004 2010.09.14 - 
TrendMicro-HouseCall 9.120.0.1004 2010.09.14 - 
VBA32 3.12.14.0 2010.09.14 - 
ViRobot 2010.8.25.4006 2010.09.14 - 
VirusBuster 12.65.6.0 2010.09.14 - 
Additional informationShow all  
MD5   : 007aea2e06e7cef7372e40c277163959 
SHA1  : 61649070fc0b597bfea5d9f4b9bad7348f05ff7d 
SHA256: 805906adc7c5473b767932a552fec7500d0f3f7cb45d8defe6a1567f2038ef88 
ssdeep: 192:2uK749vN2bcQS8yowJL/aMjGwP7oZgjl3PMYb04lB5+ebMclMHT:2u64dAS8YJLWd6jVo4l
NbM 
File size : 13224 bytes 
First seen: 2009-06-30 23:33:18 
Last seen : 2010-09-14 15:18:56 
TrID: 
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
sigcheck: 
publisher....: Sony Ericsson Mobile Communications
copyright....: Copyright (c) 2007-2009 Sony Ericsson Mobile Communications
product......: Gordon_s Gate
description..: SEMC USB Flash Driver Filter
original name: ggflt.sys
internal name: ggflt.sys
file version.: 2.2.0.5
comments.....: n/a
signers......: Sony Ericsson Mobile Communications AB
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 9:13 AM 4/6/2009
verified.....: -
 
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x769
timedatestamp....: 0x49D3216E (Wed Apr 01 08:10:22 2009)
machinetype......: 0x14c (I386)

[[ 6 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x480, 0x41C, 0x480, 5.73, c7298656c023abb74b5a621acbd78df2
.rdata, 0x900, 0xF7, 0x100, 4.90, bc4b4e6502117030c322326512b68ea8
.data, 0xA00, 0x87C, 0x880, 0.15, 0b0fad0169c357dc7e92e5c0e7209bcd
INIT, 0x1280, 0x184, 0x200, 4.16, 9a638ccf34742a60d2d7e8c19035d755
.rsrc, 0x1480, 0x3B8, 0x400, 3.14, 55a2b56cf61953d84aafff0bf3e86232
.reloc, 0x1880, 0xCC, 0x100, 3.79, c624bba09ab7a945e993551212a929ad

[[ 2 import(s) ]]
ntoskrnl.exe: IofCompleteRequest, IoBuildDeviceIoControlRequest, RtlCopyUnicodeString, KeTickCount, IofCallDriver, KeInitializeEvent, KeWaitForSingleObject
WDFLDR.SYS: WdfVersionUnbind, WdfVersionBind
 


VT Community

0
This file has never been reviewed by any VT Community member. Be the first one to comment on it! 
VirusTotal Team 
Add your comment... Remember that when you write comments as an anonymous user they receive the lowest possible reputation. So if you have not signed in yet don't forget to do so. How to markup your comments? 

You can add basic styles to your comments using the following accepted bbcode tags:

[b]text/b -- bold
[i]text/i -- italics
[u]text/u -- underline
[s]text/s -- strikethrough
[code]text/code -- preformatted text

You can also address comments to particular users using the "@" twitter-like mode. By prepending a "#" symbol to a word you can add custom tags to your comment, tags that can then be searched for. 
 
Goodware Malware Spam attachment/link 
P2P download Propagating via IM Network worm 
Drive-by-download 



Anonymous limit exceeded: anonymous users can only make one comment per file or URL, either sign in or register in order to continue making reviews on this item. Note that anonymous user discrimination is based on IP addresses, hence, it may be possible that another user behind your same proxy or NAT connection already made a review. 

Preview commentEdit comment Post comment Posting comment...  
Comment successfully posted 





 

ATTENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. 
VirusTotal © Hispasec Sistemas - Blog - Twitter - Contact: info@virustotal.com- Terms of Service & Privacy Policy

miquemique · Answer

ANALYSE DU 3ème LIEN


VT Community Sign in ? My account ? Sign out Signing out...   Languages ?  

VirusTotal's website has changed, we need new translations, do you feel like helping the community?
info@virustotal.com
Sign in to VT CommunitySafety ratings and user comments (disinfection, in-the-wild locations, reverse engineering reports, etc.) on malware and URLs, free and easy.
email  
password  
  Keep me logged in 
 Sign in Signing in, please wait...   
 Login failed, please try again  
Forgot your password?  Create an account 

Edit my profile
View my profile
Inbox
 
  Virustotal is a service that analyzes suspicious files and URLs and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information... 

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware. 
File name: ggsemc.sys
Submission date: 2010-09-14 15:22:46 (UTC)
Current status: queued queued analysing finished


Result: 0/ 43 (0.0%)
 VT Community

not reviewed
 Safety score: -  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.09.13.00 2010.09.13 - 
AntiVir 8.2.4.52 2010.09.14 - 
Antiy-AVL 2.0.3.7 2010.09.14 - 
Authentium 5.2.0.5 2010.09.14 - 
Avast 4.8.1351.0 2010.09.14 - 
Avast5 5.0.594.0 2010.09.14 - 
AVG 9.0.0.851 2010.09.14 - 
BitDefender 7.2 2010.09.14 - 
CAT-QuickHeal 11.00 2010.09.14 - 
ClamAV 0.96.2.0-git 2010.09.14 - 
Comodo 6073 2010.09.14 - 
DrWeb 5.0.2.03300 2010.09.14 - 
Emsisoft 5.0.0.37 2010.09.14 - 
eSafe 7.0.17.0 2010.09.14 - 
eTrust-Vet 36.1.7854 2010.09.14 - 
F-Prot 4.6.1.107 2010.09.13 - 
F-Secure 9.0.15370.0 2010.09.14 - 
Fortinet 4.1.143.0 2010.09.13 - 
GData 21 2010.09.14 - 
Ikarus T3.1.1.88.0 2010.09.14 - 
Jiangmin 13.0.900 2010.09.14 - 
K7AntiVirus 9.63.2512 2010.09.14 - 
Kaspersky 7.0.0.125 2010.09.14 - 
McAfee 5.400.0.1158 2010.09.14 - 
McAfee-GW-Edition 2010.1B 2010.09.14 - 
Microsoft 1.6103 2010.09.14 - 
NOD32 5450 2010.09.14 - 
Norman 6.06.06 2010.09.14 - 
nProtect 2010-09-14.01 2010.09.14 - 
Panda 10.0.2.7 2010.09.14 - 
PCTools 7.0.3.5 2010.09.14 - 
Prevx 3.0 2010.09.14 - 
Rising 22.65.01.04 2010.09.14 - 
Sophos 4.57.0 2010.09.14 - 
Sunbelt 6874 2010.09.14 - 
SUPERAntiSpyware 4.40.0.1006 2010.09.14 - 
Symantec 20101.1.1.7 2010.09.14 - 
TheHacker 6.7.0.0.017 2010.09.14 - 
TrendMicro 9.120.0.1004 2010.09.14 - 
TrendMicro-HouseCall 9.120.0.1004 2010.09.14 - 
VBA32 3.12.14.0 2010.09.14 - 
ViRobot 2010.8.25.4006 2010.09.14 - 
VirusBuster 12.65.6.0 2010.09.14 - 
Additional informationShow all  
MD5   : c73de35960ca75c5ab4ae636b127c64e 
SHA1  : a99a2762003dc5044da9cb445f11a5e0008bd553 
SHA256: 0c22eecd64cc06ab820ed6a2e76fbc7ab072379fd14837cf95ba3ef105abb745 
ssdeep: 384:AyZ0MrtCewuzsMZUc2gh6zBhYJLWd6jVo4lNbPR:AyZjM1a1h6zBsLAmXvbPR 
File size : 25512 bytes 
First seen: 2009-06-30 23:34:04 
Last seen : 2010-09-14 15:22:46 
TrID: 
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
sigcheck: 
publisher....: Sony Ericsson Mobile Communications
copyright....: Copyright (c) 2007-2009 Sony Ericsson Mobile Communications
product......: Gordon_s Gate
description..: SEMC USB Flash Driver
original name: ggsemc.sys
internal name: ggsemc.sys
file version.: 2.2.0.5
comments.....: n/a
signers......: Sony Ericsson Mobile Communications AB
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 9:13 AM 4/6/2009
verified.....: -
 
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x2704
timedatestamp....: 0x49D3216F (Wed Apr 01 08:10:23 2009)
machinetype......: 0x14c (I386)

[[ 6 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x480, 0x2854, 0x2880, 6.13, df6259321197f7f61fb3a81678be5dc2
.rdata, 0x2D00, 0x674, 0x680, 4.03, ed9bc6d3bc608fab7cf2c2db1c789172
.data, 0x3380, 0x8CC, 0x900, 0.21, 47b16b46939879dafc8af58be7687d48
INIT, 0x3C80, 0x34C, 0x380, 5.12, a0f5359fa070425dd46d487cd104944a
.rsrc, 0x4000, 0x3B0, 0x400, 3.11, d8b1278bf7b49a3255502b7bf6476196
.reloc, 0x4400, 0x51E, 0x580, 5.28, a00777232a0c28546e3962987078c366

[[ 4 import(s) ]]
ntoskrnl.exe: ObfDereferenceObject, ObReferenceObjectByHandle, IoOpenDeviceRegistryKey, ZwQueryValueKey, ZwOpenKey, RtlInitUnicodeString, memcpy, ZwFlushKey, ObQueryNameString, ZwCreateKey, _snwprintf, wcsncmp, KeTickCount, KeBugCheckEx, _wcsupr, wcsstr, wcschr, wcsncpy, ZwClose, RtlCopyUnicodeString, RtlUnwind, memset, ZwSetValueKey, KeInitializeEvent
HAL.dll: ExAcquireFastMutex, ExReleaseFastMutex
USBD.SYS: _USBD_ParseConfigurationDescriptorEx@28
WDFLDR.SYS: WdfVersionUnbind, WdfVersionBind
 


VT Community

0
This file has never been reviewed by any VT Community member. Be the first one to comment on it! 
VirusTotal Team 
Add your comment... Remember that when you write comments as an anonymous user they receive the lowest possible reputation. So if you have not signed in yet don't forget to do so. How to markup your comments? 

You can add basic styles to your comments using the following accepted bbcode tags:

[b]text/b -- bold
[i]text/i -- italics
[u]text/u -- underline
[s]text/s -- strikethrough
[code]text/code -- preformatted text

You can also address comments to particular users using the "@" twitter-like mode. By prepending a "#" symbol to a word you can add custom tags to your comment, tags that can then be searched for. 
 
Goodware Malware Spam attachment/link 
P2P download Propagating via IM Network worm 
Drive-by-download 



Anonymous limit exceeded: anonymous users can only make one comment per file or URL, either sign in or register in order to continue making reviews on this item. Note that anonymous user discrimination is based on IP addresses, hence, it may be possible that another user behind your same proxy or NAT connection already made a review. 

Preview commentEdit comment Post comment Posting comment...  
Comment successfully posted 





 

ATTENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. 
VirusTotal © Hispasec Sistemas - Blog - Twitter - Contact: info@virustotal.com- Terms of Service & Privacy Policy

hubertaaz · Answer

Bien, je te confirme donc que les fichiers Sony Ericsson sont sains ;-)

Est ce un virus ?

69 réponses

Discussions similaires

Newsletters