C:\windows\system32\mswinvks.exe
altroquando
-
moment de grace Messages postés 30049 Statut Contributeur sécurité -
moment de grace Messages postés 30049 Statut Contributeur sécurité -
Bonjour,
A chaque fois que j'allume mon PC, j'ai une fenetre qui s'ouvre disant "impossible de trouver le fichier C:\windows\system32\mswinvks.exe...etc" et je n'arrive pas à l'enlever...Quelqu'un peut me dire quels scans je dois effectuer et comment faire pour l'enlever?
Merci beaucoup pour votre aide!
26 réponses
bonjour
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
ok
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\mswinvks.exe
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\AutoKMS.job
[HKCU\Software\FissaSearch]
[HKCU\Software\OfferBox]
[HKCU\Software\Spointer]
[HKCU\Software\freeTVRadio]
O69 - SBI: SearchScopes [HKCU] {b41306c6-96d0-442a-bcc4-b0f621e82ce9} [DefaultScope] - (Fissa) - https://fissa.com/
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
_________
2)
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
Double clic sur le raccourci UsbFix présent sur le bureau .
Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.
Si un message te demande de redémarrer l'ordinateur fais le ...
Au redémarrage, le fix se relance... laisses l'opération s'effectuer.
Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php
Il est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
_____________
3)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\mswinvks.exe
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\AutoKMS.job
[HKCU\Software\FissaSearch]
[HKCU\Software\OfferBox]
[HKCU\Software\Spointer]
[HKCU\Software\freeTVRadio]
O69 - SBI: SearchScopes [HKCU] {b41306c6-96d0-442a-bcc4-b0f621e82ce9} [DefaultScope] - (Fissa) - https://fissa.com/
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
_________
2)
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
Double clic sur le raccourci UsbFix présent sur le bureau .
Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.
Si un message te demande de redémarrer l'ordinateur fais le ...
Au redémarrage, le fix se relance... laisses l'opération s'effectuer.
Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php
Il est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
_____________
3)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
Alors pour l'instant j'ai fait le point 1, dont voici le rapport :
Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-04-03-2011-11.43.00.txt
Run by Caroline at 04/03/2011 11.43.00
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Registry Key ==========
HKCU\Software\FissaSearch => Registry Key removed successfully
HKCU\Software\OfferBox => Registry Key removed successfully
HKCU\Software\Spointer => Registry Key removed successfully
HKCU\Software\freeTVRadio => Registry Key removed successfully
O69 - SBI: SearchScopes [HKCU] {b41306c6-96d0-442a-bcc4-b0f621e82ce9} [DefaultScope] - (Fissa) - https://fissa.com/ => Registry Key removed successfully
========== Registry Data ==========
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\mswinvks.exe => Registry key value data removed successfully
========== File ==========
c:\windows\tasks\autokms.job => Quarantined and Deleted successfully
========== Sommario ==========
5 : Registry Key
1 : Registry Data
1 : File
End of the scan
Le problème c'est que je viens de m'apercevoir que je ne trouve plus "Program files" sur mon ordi, ce n'est pas possible que ça disparaisse comme ça??? Meme en faisant une recherche, il ne trouve rien (uniquement "downloaded program files")...
(à savoir que ce matin pour résoudre un autre problème de résolution d'écran j'ai téléchargé un driver pour ma carte graphique et maintenant je me retrouve avec un dossier nVidia dans C:...à la place de Program files??? Je ne comprends pas).
Je continue tout de meme les points 2 et 3? Merci encore...
Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-04-03-2011-11.43.00.txt
Run by Caroline at 04/03/2011 11.43.00
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Registry Key ==========
HKCU\Software\FissaSearch => Registry Key removed successfully
HKCU\Software\OfferBox => Registry Key removed successfully
HKCU\Software\Spointer => Registry Key removed successfully
HKCU\Software\freeTVRadio => Registry Key removed successfully
O69 - SBI: SearchScopes [HKCU] {b41306c6-96d0-442a-bcc4-b0f621e82ce9} [DefaultScope] - (Fissa) - https://fissa.com/ => Registry Key removed successfully
========== Registry Data ==========
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\mswinvks.exe => Registry key value data removed successfully
========== File ==========
c:\windows\tasks\autokms.job => Quarantined and Deleted successfully
========== Sommario ==========
5 : Registry Key
1 : Registry Data
1 : File
End of the scan
Le problème c'est que je viens de m'apercevoir que je ne trouve plus "Program files" sur mon ordi, ce n'est pas possible que ça disparaisse comme ça??? Meme en faisant une recherche, il ne trouve rien (uniquement "downloaded program files")...
(à savoir que ce matin pour résoudre un autre problème de résolution d'écran j'ai téléchargé un driver pour ma carte graphique et maintenant je me retrouve avec un dossier nVidia dans C:...à la place de Program files??? Je ne comprends pas).
Je continue tout de meme les points 2 et 3? Merci encore...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai redémarré mais je n'ai toujours pas Program Files...ça m'inquiète...d'où ça peut venir? Je dois peut-etre désinstaller le driver de ce matin (qui d'ailleurs n'a rien amélioré) avant de continuer ?
(désolée pour toutes mes questions...)
(désolée pour toutes mes questions...)
Je dois peut-etre désinstaller le driver de ce matin
tu parles de quoi ?
evites de faire des manips en parallèle qui pourraient fausser les résultats des outils
si rien ne s"y oppose continue avec usbfix et mbam stp
tu parles de quoi ?
evites de faire des manips en parallèle qui pourraient fausser les résultats des outils
si rien ne s"y oppose continue avec usbfix et mbam stp
Je disais que comme un j'ai autre problème de résolution d'écran qui apparait à chaque fois que j'allume mon ordi, j'ai installé un driver ce matin pour ma carte graphique pensant résoudre le problème...et rien n'a changé à part le fait que je ne trouve plus Program Files donc je me demandais où était le problème...
D'autre part, quand je clique sur usbfix.exe pour l'installer, j'ai une fenetre qui s'ouvre avec plusieurs menus "research", "deletion" etc...C'est normal? (j'aimerais coller une image pour te montrer mais je ne sais meme pas comment on fait)...
ça devient compliqué!
D'autre part, quand je clique sur usbfix.exe pour l'installer, j'ai une fenetre qui s'ouvre avec plusieurs menus "research", "deletion" etc...C'est normal? (j'aimerais coller une image pour te montrer mais je ne sais meme pas comment on fait)...
ça devient compliqué!
Voici pour usbfix; je passe à l'autre étape :
############################## | UsbFix 7.041 | [Deletion]
User: Caroline (Administrator) # BOBBY [ ]
Updated 24/02/2011 by TeamXscript
Started at 13:39:49 | 04/03/2011
Website: http://www.teamxscript.org
Submit your sample : http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Home Edition (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall: Enabled
Antivirus: AVG Anti-Virus Free 9.0 [Enabled | Updated]
RAM -> 1023 Mb
C:\ (%systemdrive%) -> Fixed drive # 44 Gb (17 Mb free - 40%) [] # FAT32
D:\ -> Fixed drive # 29 Gb (23 Mb free - 78%) [] # FAT32
E:\ -> CD-ROM
H:\ -> Removable drive # 492 Mb (492 Mb free - 100%) [USB DRIVE] # FAT
I:\ -> Removable drive # 4 Gb (4 Mb free - 100%) [PATRIOT] # FAT32
J:\ -> Removable drive # 2 Gb (2 Mb free - 100%) [] # FAT
################## | Files # Infected Folders |
################## | Registry |
################## | Mountpoints2 |
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{26a06a82-f60c-11de-8ffb-00166fae7b53}
################## | Listing |
[09/11/2009 - 21:51:58 | D ] C:\$AVG
[09/01/2010 - 11:57:36 | D ] C:\FOUND.000
[04/03/2011 - 10:34:52 | D ] C:\NVIDIA
[04/03/2011 - 12:16:06 | ASH | 1610612736] C:\pagefile.sys
[19/11/2010 - 03:53:18 | N | 122] C:\mbam-error.txt
[05/01/2011 - 13:56:22 | RHD ] C:\MSOCache
[19/09/2005 - 19:17:40 | N | 524288] C:\A6VA.bin
[25/09/2005 - 19:55:24 | N | 524288] C:\A6VC.bin
[12/03/2006 - 23:44:38 | N | 524288] C:\A6VM.bin
[25/05/2006 - 19:53:04 | N | 4] C:\A6V.60
[24/06/2009 - 20:31:56 | D ] C:\WINDOWS
[19/08/2004 - 14:00:00 | N | 4952] C:\Bootfont.bin
[01/08/2010 - 17:27:42 | N | 251600] C:\ntldr
[19/08/2004 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[15/09/2004 - 10:57:14 | N | 14] C:\XPHI_SP2.ITY
[20/09/2005 - 20:22:54 | N | 49] C:\RECOVERY.DAT
[24/06/2009 - 20:36:10 | D ] C:\SUPPORT
[24/06/2009 - 20:36:10 | D ] C:\VALUEADD
[16/12/2009 - 18:48:42 | N | 211] C:\boot.ini
[24/06/2009 - 20:36:38 | D ] C:\Documents and Settings
[24/06/2009 - 20:43:38 | D ] C:\Programmi
[24/06/2009 - 20:44:40 | N | 0] C:\CONFIG.SYS
[24/06/2009 - 20:44:40 | N | 0] C:\AUTOEXEC.BAT
[24/06/2009 - 20:44:40 | N | 0] C:\IO.SYS
[24/06/2009 - 20:44:40 | N | 0] C:\MSDOS.SYS
[24/06/2009 - 20:48:58 | SHD ] C:\System Volume Information
[04/03/2011 - 12:16:08 | ASH | 1073074176] C:\hiberfil.sys
[04/03/2011 - 10:58:52 | N | 512] C:\PhysicalDisk0_MBR.bin
[04/03/2011 - 12:03:48 | D ] C:\UsbFix
[04/03/2011 - 13:39:40 | N | 1011] C:\UsbFix.txt
[04/03/2011 - 13:25:26 | RASHD ] C:\Autorun.inf
[04/03/2011 - 13:25:30 | N | 342127] C:\UsbFix_Upload_Me_BOBBY.zip
[04/03/2011 - 11:43:02 | N | 23664] C:\ZHPExportRegistry-04-03-2011-11.43.00.txt
[24/06/2009 - 21:04:44 | N | 86] C:\setup.log
[24/06/2009 - 21:13:04 | N | 9] C:\Finish.log
[24/06/2009 - 21:13:56 | SHD ] C:\Recycled
[09/11/2009 - 22:46:48 | D ] D:\$AVG
[24/06/2009 - 20:55:32 | SHD ] D:\System Volume Information
[14/02/2011 - 16:54:58 | N | 2269015804] D:\Des.Hommes.et.des.Dieux.ts
[14/02/2011 - 15:11:02 | D ] D:\The Way Back (2011)(now in Bios)(DivX)(Nl subs) TBS
[14/02/2011 - 17:31:16 | N | 734635444] D:\Cabeza de Vaca (Nicolas Echavarria 1990) Dvdrip Divx5.avi
[15/02/2011 - 13:20:16 | N | 732954624] D:\[DivX ITA-ENG] I giorni del cielo.avi
[04/03/2011 - 13:25:26 | RASHD ] D:\Autorun.inf
[16/10/2010 - 21:40:34 | D ] D:\U2_AchtungBaby_1991_FLAC
[01/11/2010 - 23:53:30 | N | 918511109] D:\12 - Emile Louis, Les Disparues de l'Yonne (11-08-2005).mkv
[07/11/2010 - 22:59:08 | D ] D:\ELECTRIC SIX - Fire
[17/10/2010 - 21:36:26 | N | 729569677] D:\10 - Nadir Sedrati, le dépeceur du canal (08-05-2005).mkv
[24/06/2009 - 21:13:56 | SHD ] D:\Recycled
[04/03/2011 - 13:25:28 | RASHD ] H:\Autorun.inf
[25/09/2009 - 17:06:36 | RSHD ] H:\RECYCLER
[04/03/2011 - 13:25:28 | RASHD ] I:\Autorun.inf
[04/03/2011 - 13:25:28 | RASHD ] J:\Autorun.inf
################## | Vaccin |
C:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
H:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
I:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
J:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
################## | E.O.F |
############################## | UsbFix 7.041 | [Deletion]
User: Caroline (Administrator) # BOBBY [ ]
Updated 24/02/2011 by TeamXscript
Started at 13:39:49 | 04/03/2011
Website: http://www.teamxscript.org
Submit your sample : http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Home Edition (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall: Enabled
Antivirus: AVG Anti-Virus Free 9.0 [Enabled | Updated]
RAM -> 1023 Mb
C:\ (%systemdrive%) -> Fixed drive # 44 Gb (17 Mb free - 40%) [] # FAT32
D:\ -> Fixed drive # 29 Gb (23 Mb free - 78%) [] # FAT32
E:\ -> CD-ROM
H:\ -> Removable drive # 492 Mb (492 Mb free - 100%) [USB DRIVE] # FAT
I:\ -> Removable drive # 4 Gb (4 Mb free - 100%) [PATRIOT] # FAT32
J:\ -> Removable drive # 2 Gb (2 Mb free - 100%) [] # FAT
################## | Files # Infected Folders |
################## | Registry |
################## | Mountpoints2 |
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{26a06a82-f60c-11de-8ffb-00166fae7b53}
################## | Listing |
[09/11/2009 - 21:51:58 | D ] C:\$AVG
[09/01/2010 - 11:57:36 | D ] C:\FOUND.000
[04/03/2011 - 10:34:52 | D ] C:\NVIDIA
[04/03/2011 - 12:16:06 | ASH | 1610612736] C:\pagefile.sys
[19/11/2010 - 03:53:18 | N | 122] C:\mbam-error.txt
[05/01/2011 - 13:56:22 | RHD ] C:\MSOCache
[19/09/2005 - 19:17:40 | N | 524288] C:\A6VA.bin
[25/09/2005 - 19:55:24 | N | 524288] C:\A6VC.bin
[12/03/2006 - 23:44:38 | N | 524288] C:\A6VM.bin
[25/05/2006 - 19:53:04 | N | 4] C:\A6V.60
[24/06/2009 - 20:31:56 | D ] C:\WINDOWS
[19/08/2004 - 14:00:00 | N | 4952] C:\Bootfont.bin
[01/08/2010 - 17:27:42 | N | 251600] C:\ntldr
[19/08/2004 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[15/09/2004 - 10:57:14 | N | 14] C:\XPHI_SP2.ITY
[20/09/2005 - 20:22:54 | N | 49] C:\RECOVERY.DAT
[24/06/2009 - 20:36:10 | D ] C:\SUPPORT
[24/06/2009 - 20:36:10 | D ] C:\VALUEADD
[16/12/2009 - 18:48:42 | N | 211] C:\boot.ini
[24/06/2009 - 20:36:38 | D ] C:\Documents and Settings
[24/06/2009 - 20:43:38 | D ] C:\Programmi
[24/06/2009 - 20:44:40 | N | 0] C:\CONFIG.SYS
[24/06/2009 - 20:44:40 | N | 0] C:\AUTOEXEC.BAT
[24/06/2009 - 20:44:40 | N | 0] C:\IO.SYS
[24/06/2009 - 20:44:40 | N | 0] C:\MSDOS.SYS
[24/06/2009 - 20:48:58 | SHD ] C:\System Volume Information
[04/03/2011 - 12:16:08 | ASH | 1073074176] C:\hiberfil.sys
[04/03/2011 - 10:58:52 | N | 512] C:\PhysicalDisk0_MBR.bin
[04/03/2011 - 12:03:48 | D ] C:\UsbFix
[04/03/2011 - 13:39:40 | N | 1011] C:\UsbFix.txt
[04/03/2011 - 13:25:26 | RASHD ] C:\Autorun.inf
[04/03/2011 - 13:25:30 | N | 342127] C:\UsbFix_Upload_Me_BOBBY.zip
[04/03/2011 - 11:43:02 | N | 23664] C:\ZHPExportRegistry-04-03-2011-11.43.00.txt
[24/06/2009 - 21:04:44 | N | 86] C:\setup.log
[24/06/2009 - 21:13:04 | N | 9] C:\Finish.log
[24/06/2009 - 21:13:56 | SHD ] C:\Recycled
[09/11/2009 - 22:46:48 | D ] D:\$AVG
[24/06/2009 - 20:55:32 | SHD ] D:\System Volume Information
[14/02/2011 - 16:54:58 | N | 2269015804] D:\Des.Hommes.et.des.Dieux.ts
[14/02/2011 - 15:11:02 | D ] D:\The Way Back (2011)(now in Bios)(DivX)(Nl subs) TBS
[14/02/2011 - 17:31:16 | N | 734635444] D:\Cabeza de Vaca (Nicolas Echavarria 1990) Dvdrip Divx5.avi
[15/02/2011 - 13:20:16 | N | 732954624] D:\[DivX ITA-ENG] I giorni del cielo.avi
[04/03/2011 - 13:25:26 | RASHD ] D:\Autorun.inf
[16/10/2010 - 21:40:34 | D ] D:\U2_AchtungBaby_1991_FLAC
[01/11/2010 - 23:53:30 | N | 918511109] D:\12 - Emile Louis, Les Disparues de l'Yonne (11-08-2005).mkv
[07/11/2010 - 22:59:08 | D ] D:\ELECTRIC SIX - Fire
[17/10/2010 - 21:36:26 | N | 729569677] D:\10 - Nadir Sedrati, le dépeceur du canal (08-05-2005).mkv
[24/06/2009 - 21:13:56 | SHD ] D:\Recycled
[04/03/2011 - 13:25:28 | RASHD ] H:\Autorun.inf
[25/09/2009 - 17:06:36 | RSHD ] H:\RECYCLER
[04/03/2011 - 13:25:28 | RASHD ] I:\Autorun.inf
[04/03/2011 - 13:25:28 | RASHD ] J:\Autorun.inf
################## | Vaccin |
C:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
H:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
I:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
J:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
################## | E.O.F |
Et pour le 3 (il n'a rien détecté) :
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Versione database: 5950
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
04/03/2011 13.58.36
mbam-log-2011-03-04 (13-58-36).txt
Tipo di scansione: Scansione veloce
Elementi esaminati: 152765
Tempo trascorso: 4 minuti, 39 secondi
Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0
Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)
Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)
Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)
Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)
Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)
Cartelle infette:
(Non sono stati rilevati elementi nocivi)
File infetti:
(Non sono stati rilevati elementi nocivi)
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Versione database: 5950
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
04/03/2011 13.58.36
mbam-log-2011-03-04 (13-58-36).txt
Tipo di scansione: Scansione veloce
Elementi esaminati: 152765
Tempo trascorso: 4 minuti, 39 secondi
Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0
Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)
Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)
Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)
Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)
Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)
Cartelle infette:
(Non sono stati rilevati elementi nocivi)
File infetti:
(Non sono stati rilevati elementi nocivi)
Fais un nouveau rapport ZHPdiag stp
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
C:\WINDOWS\is-R18O4.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Copie le lien de Virus Total dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
C:\WINDOWS\is-R18O4.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Copie le lien de Virus Total dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
J'ai eu ça :
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5: c88c64609de58fa3d8637c4866c7c6bb
Date first seen: 2010-12-21 18:45:01 (UTC)
Date last seen: 2011-03-04 17:53:07 (UTC)
Detection ratio: 0/43
What do you wish to do?
et j'ai donc fait "view last report", qui donne ça (je n'ai pas eu de lien et le nom du fichier est différent, pourtant j'ai bien mis celui que tu m'as demandé):
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
is-NI480.exe
Submission date:
2011-03-04 17:53:07 (UTC)
Current status:
finished
Result:
0 /43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.03.05.00 2011.03.04 -
AntiVir 7.11.4.67 2011.03.04 -
Antiy-AVL 2.0.3.7 2011.03.04 -
Avast 4.8.1351.0 2011.02.23 -
Avast5 5.0.677.0 2011.03.04 -
AVG 10.0.0.1190 2011.03.04 -
BitDefender 7.2 2011.03.04 -
CAT-QuickHeal 11.00 2011.03.04 -
ClamAV 0.96.4.0 2011.03.04 -
Commtouch 5.2.11.5 2011.03.04 -
Comodo 7870 2011.03.04 -
DrWeb 5.0.2.03300 2011.03.04 -
Emsisoft 5.1.0.2 2011.03.04 -
eSafe 7.0.17.0 2011.03.03 -
eTrust-Vet 36.1.8197 2011.03.04 -
F-Prot 4.6.2.117 2011.03.04 -
F-Secure 9.0.16440.0 2011.03.04 -
Fortinet 4.2.254.0 2011.03.04 -
GData 21 2011.03.04 -
Ikarus T3.1.1.97.0 2011.03.04 -
Jiangmin 13.0.900 2011.03.04 -
K7AntiVirus 9.91.4026 2011.03.04 -
Kaspersky 7.0.0.125 2011.03.04 -
McAfee 5.400.0.1158 2011.03.04 -
McAfee-GW-Edition 2010.1C 2011.03.04 -
Microsoft 1.6603 2011.03.04 -
NOD32 5926 2011.03.04 -
Norman 6.07.03 2011.03.04 -
nProtect 2011-02-10.01 2011.02.15 -
Panda 10.0.3.5 2011.03.04 -
PCTools 7.0.3.5 2011.03.04 -
Prevx 3.0 2011.03.04 -
Rising 23.47.04.05 2011.03.04 -
Sophos 4.63.0 2011.03.04 -
SUPERAntiSpyware 4.40.0.1006 2011.03.04 -
Symantec 20101.3.0.103 2011.03.04 -
TheHacker 6.7.0.1.144 2011.03.04 -
TrendMicro 9.200.0.1012 2011.03.04 -
TrendMicro-HouseCall 9.200.0.1012 2011.03.04 -
VBA32 3.12.14.3 2011.03.04 -
VIPRE 8600 2011.03.04 -
ViRobot 2011.3.4.4340 2011.03.04 -
VirusBuster 13.6.235.0 2011.03.04 -
Additional information
Show all
MD5 : c88c64609de58fa3d8637c4866c7c6bb
SHA1 : b1484070813fe2910385ab92167199d5784ea3ef
SHA256: b4eba70378b8cc9bd5bdd1531be59463a710b5a07be8ce74e9e53564680fa839
ssdeep: 12288:wRObekMtkfohrPUs37uzHnA6zg5cItMpAHERI/rNkQRwW/6FXzb0ZDExychg:aObekYkf
ohrP337uzHnA6cHiiHEVVg6C
File size : 709456 bytes
First seen: 2010-12-21 18:45:01
Last seen : 2011-03-04 17:53:07
Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
TrID:
Windows OCX File (86.8%)
Win32 Executable Delphi generic (10.3%)
Generic Win/DOS Executable (1.4%)
DOS Executable Generic (1.4%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: Setup/Uninstall
original name: n/a
internal name: n/a
file version.: 51.52.0.0
comments.....: n/a
signers......: Malwarebytes Corporation
VeriSign Class 3 Code Signing 2009-2 CA
Class 3 Public Primary Certification Authority
signing date.: 1:08 AM 12/21/2010
verified.....: -
PEiD: -
PEInfo: PE structure information
[[ basic data ]]
entrypointaddress: 0x9706C
timedatestamp....: 0x2A425E19 (Fri Jun 19 22:22:17 1992)
machinetype......: 0x14C (Intel I386)
[[ 8 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
CODE, 0x1000, 0x962AC, 0x96400, 6.6, 9712797e1b30ae0a6af42950ea811046
DATA, 0x98000, 0x1098, 0x1200, 4.32, 3b2d2e6d75cfa74a9bbd4b3f9cefe527
BSS, 0x9A000, 0x14AC, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e
.idata, 0x9C000, 0x25A4, 0x2600, 5.03, ae6941eb6076de24634829aa5a7aa16f
.tls, 0x9F000, 0x8, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e
.rdata, 0xA0000, 0x18, 0x200, 0.19, 93b7fd2e23d45a502cf114b2fa0c97c6
.reloc, 0xA1000, 0x88E0, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e
.rsrc, 0xAA000, 0x11C00, 0x11C00, 4.95, eb538d5cb37e688cb6f63591efa360f0
[[ 11 import(s) ]]
advapi32.dll: RegSetValueExA, RegQueryValueExA, RegQueryInfoKeyA, RegOpenKeyExA, RegEnumValueA, RegEnumKeyExA, RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegCloseKey, OpenThreadToken, OpenProcessToken, LookupPrivilegeValueA, GetUserNameA, GetTokenInformation, FreeSid, EqualSid, AllocateAndInitializeSid, AdjustTokenPrivileges
comctl32.dll: ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Destroy, ImageList_Create, InitCommonControls
comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA
gdi32.dll: UnrealizeObject, TextOutA, StretchDIBits, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RoundRect, RestoreDC, RemoveFontResourceA, Rectangle, RectVisible, RealizePalette, Polyline, Pie, PatBlt, MoveToEx, LineTo, LineDDA, IntersectClipRect, GetWindowOrgEx, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetDeviceCaps, GetDIBits, GetCurrentPositionEx, GetClipBox, GetBitmapBits, ExtFloodFill, ExcludeClipRect, EnumFontsA, Ellipse, DeleteObject, DeleteDC, CreateSolidBrush, CreateRectRgn, CreatePenIndirect, CreatePalette, CreateFontIndirectA, CreateDIBitmap, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, Chord, BitBlt, Arc, AddFontResourceA
kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetSystemTime, GetFileType, ExitProcess, CreateFileA, CloseHandle, lstrcmpA, WriteProfileStringA, WritePrivateProfileStringA, WriteFile, WaitForSingleObject, VirtualFree, VirtualAlloc, UnmapViewOfFile, TransactNamedPipe, TerminateThread, TerminateProcess, Sleep, SizeofResource, SetNamedPipeHandleState, SetLastError, SetFileTime, SetFilePointer, SetFileAttributesA, SetErrorMode, SetEndOfFile, SetCurrentDirectoryA, RemoveDirectoryA, ReleaseMutex, ReadFile, QueryPerformanceCounter, OpenProcess, OpenMutexA, MultiByteToWideChar, MulDiv, MoveFileExA, MoveFileA, MapViewOfFile, LockResource, LocalFree, LocalFileTimeToFileTime, LoadResource, LoadLibraryExA, LoadLibraryA, IsDBCSLeadByte, IsBadWritePtr, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetWindowsDirectoryA, GetVersionExA, GetVersion, GetUserDefaultLangID, GetTickCount, GetSystemTimeAsFileTime, GetSystemInfo, GetSystemDirectoryA, GetSystemDefaultLCID, GetShortPathNameA, GetProfileStringA, GetProcAddress, GetPrivateProfileStringA, GetOverlappedResult, GetModuleHandleA, GetModuleFileNameA, GetLogicalDrives, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetDriveTypeA, GetDiskFreeSpaceA, GetCurrentThreadId, GetCurrentThread, GetCurrentProcessId, GetCurrentProcess, GetCurrentDirectoryA, GetComputerNameA, GetCommandLineA, GetACP, FreeResource, InterlockedExchange, FreeLibrary, FormatMessageA, FlushFileBuffers, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, DeviceIoControl, DeleteFileA, CreateThread, CreateProcessA, CreateNamedPipeA, CreateMutexA, CreateFileMappingA, CreateFileA, CreateEventA, CreateDirectoryA, CopyFileA, CompareStringA, CompareFileTime, CloseHandle
mpr.dll: WNetOpenEnumA, WNetGetUniversalNameA, WNetGetConnectionA, WNetEnumResourceA, WNetCloseEnum
ole32.dll: CoTaskMemFree, CLSIDFromProgID, CoCreateInstance, CoFreeUnusedLibraries, CoUninitialize, CoInitialize, IsEqualGUID, CoDisconnectObject
oleaut32.dll: SafeArrayPutElement, SafeArrayCreate, VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen, GetActiveObject, RegisterTypeLib, LoadTypeLib, SysFreeString
shell32.dll: ShellExecuteExA, ShellExecuteA, SHGetFileInfoA, ExtractIconA, SHChangeNotify, SHBrowseForFolder, SHGetPathFromIDList, SHGetMalloc
user32.dll: MessageBoxA, WindowFromPoint, WinHelpA, WaitMessage, WaitForInputIdle, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowOwnedPopups, ShowCursor, SetWindowRgn, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongW, SetWindowLongA, SetTimer, SetScrollPos, SetScrollInfo, SetRectEmpty, SetRect, SetPropA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetCapture, SetActiveWindow, SendNotifyMessageA, SendMessageTimeoutA, SendMessageW, SendMessageA, ScrollWindowEx, ScrollWindow, ScreenToClient, ReplyMessage, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClassA, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharBuffA, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRgn, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetSystemMetrics, GetSystemMenu, GetSysColor, GetSubMenu, GetScrollPos, GetPropA, GetParent, GetWindow, GetMessagePos, GetMessageA, GetMenuStringA, GetMenuState, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassInfoW, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, ExitWindowsEx, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableMenuItem, DrawTextW, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreateWindowExA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcW, CallWindowProcA, CallNextHookEx, BringWindowToTop, BeginPaint, AppendMenuA, CharPrevA, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemBuffA, AdjustWindowRectEx
version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
ExifTool:
-
Symantec reputation:Suspicious.Insight
VT Community
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5: c88c64609de58fa3d8637c4866c7c6bb
Date first seen: 2010-12-21 18:45:01 (UTC)
Date last seen: 2011-03-04 17:53:07 (UTC)
Detection ratio: 0/43
What do you wish to do?
et j'ai donc fait "view last report", qui donne ça (je n'ai pas eu de lien et le nom du fichier est différent, pourtant j'ai bien mis celui que tu m'as demandé):
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
is-NI480.exe
Submission date:
2011-03-04 17:53:07 (UTC)
Current status:
finished
Result:
0 /43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.03.05.00 2011.03.04 -
AntiVir 7.11.4.67 2011.03.04 -
Antiy-AVL 2.0.3.7 2011.03.04 -
Avast 4.8.1351.0 2011.02.23 -
Avast5 5.0.677.0 2011.03.04 -
AVG 10.0.0.1190 2011.03.04 -
BitDefender 7.2 2011.03.04 -
CAT-QuickHeal 11.00 2011.03.04 -
ClamAV 0.96.4.0 2011.03.04 -
Commtouch 5.2.11.5 2011.03.04 -
Comodo 7870 2011.03.04 -
DrWeb 5.0.2.03300 2011.03.04 -
Emsisoft 5.1.0.2 2011.03.04 -
eSafe 7.0.17.0 2011.03.03 -
eTrust-Vet 36.1.8197 2011.03.04 -
F-Prot 4.6.2.117 2011.03.04 -
F-Secure 9.0.16440.0 2011.03.04 -
Fortinet 4.2.254.0 2011.03.04 -
GData 21 2011.03.04 -
Ikarus T3.1.1.97.0 2011.03.04 -
Jiangmin 13.0.900 2011.03.04 -
K7AntiVirus 9.91.4026 2011.03.04 -
Kaspersky 7.0.0.125 2011.03.04 -
McAfee 5.400.0.1158 2011.03.04 -
McAfee-GW-Edition 2010.1C 2011.03.04 -
Microsoft 1.6603 2011.03.04 -
NOD32 5926 2011.03.04 -
Norman 6.07.03 2011.03.04 -
nProtect 2011-02-10.01 2011.02.15 -
Panda 10.0.3.5 2011.03.04 -
PCTools 7.0.3.5 2011.03.04 -
Prevx 3.0 2011.03.04 -
Rising 23.47.04.05 2011.03.04 -
Sophos 4.63.0 2011.03.04 -
SUPERAntiSpyware 4.40.0.1006 2011.03.04 -
Symantec 20101.3.0.103 2011.03.04 -
TheHacker 6.7.0.1.144 2011.03.04 -
TrendMicro 9.200.0.1012 2011.03.04 -
TrendMicro-HouseCall 9.200.0.1012 2011.03.04 -
VBA32 3.12.14.3 2011.03.04 -
VIPRE 8600 2011.03.04 -
ViRobot 2011.3.4.4340 2011.03.04 -
VirusBuster 13.6.235.0 2011.03.04 -
Additional information
Show all
MD5 : c88c64609de58fa3d8637c4866c7c6bb
SHA1 : b1484070813fe2910385ab92167199d5784ea3ef
SHA256: b4eba70378b8cc9bd5bdd1531be59463a710b5a07be8ce74e9e53564680fa839
ssdeep: 12288:wRObekMtkfohrPUs37uzHnA6zg5cItMpAHERI/rNkQRwW/6FXzb0ZDExychg:aObekYkf
ohrP337uzHnA6cHiiHEVVg6C
File size : 709456 bytes
First seen: 2010-12-21 18:45:01
Last seen : 2011-03-04 17:53:07
Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
TrID:
Windows OCX File (86.8%)
Win32 Executable Delphi generic (10.3%)
Generic Win/DOS Executable (1.4%)
DOS Executable Generic (1.4%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: Setup/Uninstall
original name: n/a
internal name: n/a
file version.: 51.52.0.0
comments.....: n/a
signers......: Malwarebytes Corporation
VeriSign Class 3 Code Signing 2009-2 CA
Class 3 Public Primary Certification Authority
signing date.: 1:08 AM 12/21/2010
verified.....: -
PEiD: -
PEInfo: PE structure information
[[ basic data ]]
entrypointaddress: 0x9706C
timedatestamp....: 0x2A425E19 (Fri Jun 19 22:22:17 1992)
machinetype......: 0x14C (Intel I386)
[[ 8 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
CODE, 0x1000, 0x962AC, 0x96400, 6.6, 9712797e1b30ae0a6af42950ea811046
DATA, 0x98000, 0x1098, 0x1200, 4.32, 3b2d2e6d75cfa74a9bbd4b3f9cefe527
BSS, 0x9A000, 0x14AC, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e
.idata, 0x9C000, 0x25A4, 0x2600, 5.03, ae6941eb6076de24634829aa5a7aa16f
.tls, 0x9F000, 0x8, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e
.rdata, 0xA0000, 0x18, 0x200, 0.19, 93b7fd2e23d45a502cf114b2fa0c97c6
.reloc, 0xA1000, 0x88E0, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e
.rsrc, 0xAA000, 0x11C00, 0x11C00, 4.95, eb538d5cb37e688cb6f63591efa360f0
[[ 11 import(s) ]]
advapi32.dll: RegSetValueExA, RegQueryValueExA, RegQueryInfoKeyA, RegOpenKeyExA, RegEnumValueA, RegEnumKeyExA, RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegCloseKey, OpenThreadToken, OpenProcessToken, LookupPrivilegeValueA, GetUserNameA, GetTokenInformation, FreeSid, EqualSid, AllocateAndInitializeSid, AdjustTokenPrivileges
comctl32.dll: ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Destroy, ImageList_Create, InitCommonControls
comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA
gdi32.dll: UnrealizeObject, TextOutA, StretchDIBits, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RoundRect, RestoreDC, RemoveFontResourceA, Rectangle, RectVisible, RealizePalette, Polyline, Pie, PatBlt, MoveToEx, LineTo, LineDDA, IntersectClipRect, GetWindowOrgEx, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetDeviceCaps, GetDIBits, GetCurrentPositionEx, GetClipBox, GetBitmapBits, ExtFloodFill, ExcludeClipRect, EnumFontsA, Ellipse, DeleteObject, DeleteDC, CreateSolidBrush, CreateRectRgn, CreatePenIndirect, CreatePalette, CreateFontIndirectA, CreateDIBitmap, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, Chord, BitBlt, Arc, AddFontResourceA
kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetSystemTime, GetFileType, ExitProcess, CreateFileA, CloseHandle, lstrcmpA, WriteProfileStringA, WritePrivateProfileStringA, WriteFile, WaitForSingleObject, VirtualFree, VirtualAlloc, UnmapViewOfFile, TransactNamedPipe, TerminateThread, TerminateProcess, Sleep, SizeofResource, SetNamedPipeHandleState, SetLastError, SetFileTime, SetFilePointer, SetFileAttributesA, SetErrorMode, SetEndOfFile, SetCurrentDirectoryA, RemoveDirectoryA, ReleaseMutex, ReadFile, QueryPerformanceCounter, OpenProcess, OpenMutexA, MultiByteToWideChar, MulDiv, MoveFileExA, MoveFileA, MapViewOfFile, LockResource, LocalFree, LocalFileTimeToFileTime, LoadResource, LoadLibraryExA, LoadLibraryA, IsDBCSLeadByte, IsBadWritePtr, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetWindowsDirectoryA, GetVersionExA, GetVersion, GetUserDefaultLangID, GetTickCount, GetSystemTimeAsFileTime, GetSystemInfo, GetSystemDirectoryA, GetSystemDefaultLCID, GetShortPathNameA, GetProfileStringA, GetProcAddress, GetPrivateProfileStringA, GetOverlappedResult, GetModuleHandleA, GetModuleFileNameA, GetLogicalDrives, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetDriveTypeA, GetDiskFreeSpaceA, GetCurrentThreadId, GetCurrentThread, GetCurrentProcessId, GetCurrentProcess, GetCurrentDirectoryA, GetComputerNameA, GetCommandLineA, GetACP, FreeResource, InterlockedExchange, FreeLibrary, FormatMessageA, FlushFileBuffers, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, DeviceIoControl, DeleteFileA, CreateThread, CreateProcessA, CreateNamedPipeA, CreateMutexA, CreateFileMappingA, CreateFileA, CreateEventA, CreateDirectoryA, CopyFileA, CompareStringA, CompareFileTime, CloseHandle
mpr.dll: WNetOpenEnumA, WNetGetUniversalNameA, WNetGetConnectionA, WNetEnumResourceA, WNetCloseEnum
ole32.dll: CoTaskMemFree, CLSIDFromProgID, CoCreateInstance, CoFreeUnusedLibraries, CoUninitialize, CoInitialize, IsEqualGUID, CoDisconnectObject
oleaut32.dll: SafeArrayPutElement, SafeArrayCreate, VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen, GetActiveObject, RegisterTypeLib, LoadTypeLib, SysFreeString
shell32.dll: ShellExecuteExA, ShellExecuteA, SHGetFileInfoA, ExtractIconA, SHChangeNotify, SHBrowseForFolder, SHGetPathFromIDList, SHGetMalloc
user32.dll: MessageBoxA, WindowFromPoint, WinHelpA, WaitMessage, WaitForInputIdle, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowOwnedPopups, ShowCursor, SetWindowRgn, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongW, SetWindowLongA, SetTimer, SetScrollPos, SetScrollInfo, SetRectEmpty, SetRect, SetPropA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetCapture, SetActiveWindow, SendNotifyMessageA, SendMessageTimeoutA, SendMessageW, SendMessageA, ScrollWindowEx, ScrollWindow, ScreenToClient, ReplyMessage, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClassA, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharBuffA, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRgn, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetSystemMetrics, GetSystemMenu, GetSysColor, GetSubMenu, GetScrollPos, GetPropA, GetParent, GetWindow, GetMessagePos, GetMessageA, GetMenuStringA, GetMenuState, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassInfoW, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, ExitWindowsEx, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableMenuItem, DrawTextW, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreateWindowExA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcW, CallWindowProcA, CallNextHookEx, BringWindowToTop, BeginPaint, AppendMenuA, CharPrevA, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemBuffA, AdjustWindowRectEx
version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
ExifTool:
-
Symantec reputation:Suspicious.Insight
VT Community
ok
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\AutoKMSDaily.job
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
___________
2)
redemarre le pc et dis si il y a encore des soucis
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\AutoKMSDaily.job
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
___________
2)
redemarre le pc et dis si il y a encore des soucis
Me revoilà...
Voici le rapport :
Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre :
Run by Caroline at 05/03/2011 17.49.14
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== File ==========
c:\windows\tasks\autokmsdaily.job => Quarantined and Deleted successfully
========== Sommario ==========
1 : File
End of the scan
Voici le rapport :
Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre :
Run by Caroline at 05/03/2011 17.49.14
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== File ==========
c:\windows\tasks\autokmsdaily.job => Quarantined and Deleted successfully
========== Sommario ==========
1 : File
End of the scan
Je viens de rallumer l'ordi et effectivement le message a disparu!
Par contre, il est beaucoup plus lent au démarrage...j'ai toujours mes problèmes de résolution d'écran et j'ai perdu le dossier "Program files"...Je peux te demander de m'aider pour ces problèmes là aussi ou j'en demande trop?
Merci beaucoup encore pour ta disponibilité.
Par contre, il est beaucoup plus lent au démarrage...j'ai toujours mes problèmes de résolution d'écran et j'ai perdu le dossier "Program files"...Je peux te demander de m'aider pour ces problèmes là aussi ou j'en demande trop?
Merci beaucoup encore pour ta disponibilité.
c'est pas banal
c'est quoi le soucis de résolution ?
_______
*Cliquez sur Démarrer / Exécuter.
*Saisissez et validez la commande suivante en respectant l'espace entre la commande et son argument :
sfc /scannow
c'est quoi le soucis de résolution ?
_______
*Cliquez sur Démarrer / Exécuter.
*Saisissez et validez la commande suivante en respectant l'espace entre la commande et son argument :
sfc /scannow
A chaque fois que j'allume mon ordi (ou que je le débranche pour le rebrancher ailleurs), il se met toujours en basse résolution et je dois remettre à chaque fois la résolution normale. J'ai installé un driver hier pour ma carte graphique pensant résoudre le problème, mais rien n'y fait et l'ordi est devenu beaucoup plus lent au démarrage...(je me demandais si je pouvais revenir à un point de restauration antérieur à l'installation du driver et recommencer toutes les étapes que tu m'as données pour enlever le malvare...)
Merci!
Merci!
