Système infecté

Réponse 21 / 43

Utilisateur anonyme

salut pre_scan n'avait pas été utilisé sur le bureau comme demandé

C:\Documents and Settings\Laurence\Mes documents\Downloads\Pre_scan.exe

supprime-le , retelecharge-le , enregistre-le sur le bureau , puis relance-le , je te ferai un script avec ensuite

cathy

je l' ai téléchargé sans l' enregistrer, relancer il a tourner 1h30 rien ne s' est passé
comment l' enregistrer sur le bureau ?

cathy

le fichier bureau scf est dans le dossier bureau, je peux l' ouvrir il s' affiche sur la fenêtre...
Peux tu faire quelque chose à partir de cette fenêtre ,

cathy

j' ai bien enregistré dans le bureau le fichier pré-scan, je l' ai relancé, le rapport du scan est bien enregistré

cathy

En faisant un clic droit sur le bureau : réorganiser les icônes : afficher les icônes sur le bureau.
Ils sont tous réapparus, tout à l' air de bien fonctionner.
Pouvez-vous me dire si le système est toujours infecté ou pas
Merci

cathy

Bonjour,

Dépôt du scan

http://www.cijoint.fr/cjlink.php?file=cj201108/cijf9jvZsw.txt

en allant sur virus information de mon anti-virus je vois que l' on m' envoie encore des
BDS/Cycbot.B/726/725/724 du 4 oôut pourtant l' anti-virus que j' ai ai soit disant efficace

Réponse 22 / 43

Utilisateur anonyme

je voudrais bien lire le dernier rapport de pre_scan

Réponse 23 / 43

Utilisateur anonyme

desinstalle adobe reader 9.x

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"HP Software Update"=-
[-HKEY_CURRENT_USER\Software\Ask.com.tmp]
[-HKEY_LOCAL_MACHINE\Software\Uniblue]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1900:UDP"=-
"2869:TCP"=-
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

Réponse 24 / 43

Utilisateur anonyme

reponds avec le bouton vert stp

refaius zhpdiag , coche tout au tournevis puis heberge le rapport

cathy

j' ai fait deux fois l' analyse elle s' arrête au %65 quand je ferme la fenêtre, une autre s' ouvre disant : violation d' accès à l' adresse 004D3816 module "Zhp.Diag.exe. écriture à l'adresse 00000004
Impossible de déposer le fichier via "ci-joint"
j' essaye de nouveau

Utilisateur anonyme

ok decoche 065

cathy

je ne vois pas 065

Utilisateur anonyme

clique sur le tournevis

cathy

j' ai décoché 065, lancer la recherche, je n' est pas valider sur la touche verte car l' analyse ne passe pas

http://www.cijoint.fr/cjlink.php?file=cj201108/cij4JW91Da.txt

Réponse 25 / 43

Utilisateur anonyme

firefox => à mettre à jour
open office => à mettre à jour

=================================

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\System32\ASOROSet.bin

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

====================================

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

[HKCU\Software\Ask.com.tmp]

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

cathy

comment faire pour coller le lien ?

cathy

http://www.virustotal.com/index.html

cathy

Rapport ZhpFix

Rapport de ZHPFix 1.12.3339 par Nicolas Coolman, Update du 15/07/2011
Fichier d'export Registre : C:\ZHPExportRegistry-05-08-2011-21-15-41.txt
Run by Laurence at 05/08/2011 21:15:41
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Ask.com.tmp

========== Récapitulatif ==========
1 : Clé(s) du Registre

========== Chemin du fichier rapport ==========
C:\Program Files\ZHPFix\ZHPFixReport.txt

End of the scan in 00mn 00s

cathy

je n' ai plus rien sur mon bureau !

cathy

j' ai dû le débrancher, le rallumer, tout est revenu...

Bonne soirée

Réponse 26 / 43

Utilisateur anonyme

pour virus total c'est pas ca

cathy

Bonjour

887f0d1266c298d8ef573a60cd8c2411
Date de première vue: 05/08/2011 17:20:28 (UTC)
Date de la dernière fois: 05/08/2011 17:20:28 (UTC)
Ratio de détection: 0 / 43

Réponse 27 / 43

Utilisateur anonyme

clic sur reanalyze et :

Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

cathy

l' analyse est fini, où est le lien à coller ?

Utilisateur anonyme

en haut dans ta barre d'adresse

cathy

887f0d1266c298d8ef573a60cd8c2411
Date de première vue: 05/08/2011 17:20:28 (UTC)
Date de la dernière fois: 05/08/2011 17:20:28 (UTC)
Ratio de détection: 0 / 43

cathy

http://www.virustotal.com/file-scan/report.html?id=6cd4cb530dd5e60819fb95904cb5cff5af0bb96441a9b05bb544f3085994893d-1312626553

cathy

http://pjjoint.malekal.com/files.php?id=69e139a84bl5m5d7d13w11h12g6j7r5g5m13s15i15q10f10k13l14d5r14n11

en enlevant 065 et 066

Réponse 28 / 43

Utilisateur anonyme

attends tu as carrement debranché du secteur pour le faire repartir ?

cathy

oui après l' analyse avec ZhpFix je n' avais plus rien sur le bureau à part internet, alors j' ai dû débranché le secteur, le l' ai rebranché, redémarrer, et les icônes sont revenus.

Réponse 29 / 43

Utilisateur anonyme

le fait de le debrancher comme ca a annulé les manips car elles ne sont pas prises en compte

tu aurais pu cramer ton alimentation et ne plus jamais pouvoir demarrer

cathy

comme les icônes ne revenaient pas, inquiète, j' ai débranché le secteur, je ne savais pas que j' aurais pu endommager l' alimentation,. Je dois refaire la manip de ZhpFix ?

cathy

dois-je refaire la manip de ZhhFix ? et si tout disparaît de nouveau je fais quoi ?

Réponse 30 / 43

Utilisateur anonyme

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

[HKCU\Software\Ask.com.tmp]
EmptyTemp
EmptyFlash
FirewallRAZ

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

cathy

Rapport de ZHPFix 1.12.3339 par Nicolas Coolman, Update du 15/07/2011
Fichier d'export Registre :
Run by Laurence at 08/08/2011 14:00:27
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Ask.com.tmp

========== Valeur(s) du Registre ==========
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 1
SUPPRIME Flash Cookies: 9

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 7
SUPPRIME Flash Cookies: 3

========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)

========== Chemin du fichier rapport ==========
C:\Program Files\ZHPFix\ZHPFixReport.txt

End of the scan in 00mn 00s

Réponse 31 / 43

Utilisateur anonyme

ok que nous reste-t-il comme souci ?

cathy

Si tu penses que tout est règle je t 'en remercie infiniment
Dis moi si ce que je t 'envoie est normal !!! c' est blackdoor server qui reviennent tout le temps ?

BDS/Floder.mt Backdoor Server Level 3 Aug 8, 2011 Jun 20, 2011
2 BDS/Cycbot.I Backdoor Server Level 3 Aug 8, 2011 Jun 15, 2011
3 BDS/Cycbot.B.736 Backdoor Server Level 3 Aug 8, 2011 Nov 26, 2010
4 BDS/Cycbot.B.734 Backdoor Server Level 3 Aug 8, 2011 Nov 26, 2010
5 BDS/Cycbot.B.733 Backdoor Server Level 3 Aug 8, 2011 Nov 26, 2010
6 BDS/Cycbot.B.732 Backdoor Server Level 3 Aug 5, 2011 Nov 26, 2010
7 BDS/Cycbot.B.731 Backdoor Server Level 3 Aug 5, 2011 Nov 26, 2010
8 BDS/Cycbot.B.730 Backdoor Server Level 3 Aug 5, 2011 Nov 26, 2010
9 BDS/Cycbot.B.729 Backdoor Server

Réponse 32 / 43

Utilisateur anonyme

à quel endroit ?

cathy

quand je fais un scan avec mon antivus "avira control center" je vais sur information virus et voilà ce que je découvre et ça reviens tout le temps, j' ai même les descriptions complètes..
qu' en penses-tu ?

cathy

existe t-il un logiciel, anti-virus à télécharger gratuitement pour éviter cela ?
mon système serait-il pirater ?

Réponse 33 / 43

Utilisateur anonyme

je veux dire il les trouve où ces trucs-là ?

cathy

il les trouve sur "virus information" sur la fenêtre du scan de mon anti-virus

Utilisateur anonyme

à quel endroit dans le pc ?
dans quel dossier ?

cathy

Nom: BDS/Cycbot.B.733
La date de la découverte: 26/11/2010
Type: Serveur porte dérobée
En circulation: Oui
Infections signalées Faible
Potentiel de distribution: Faible
Potentiel de destruction: Moyen
Taille du fichier: 194.560 Octets
Somme de contrôle MD5: 2D08A711035F3C2367949E662B6FE7ED
Version VDF: 7.10.06.147
Version IVDF: 7.10.14.108 - vendredi 26 novembre 2010

Général Méthode de propagation:
* Il ne possède pas de propre routine de propagation

Les alias:
* TrendMicro: BKDR_CYCBOT.SMIB
* Bitdefender: Backdoor.Cycbot.G
* Microsoft: Backdoor:Win32/Cycbot.B

Plateformes / Systèmes d'exploitation:
* Windows 2000
* Windows XP
* Windows 2003
* Windows Vista
* Windows 7

Effets secondaires:
* Il facilite l'accès non autorisé à l'ordinateur
* Il crée des fichiers
* Il modifie des registres
* Il vole de l'information

Fichiers Il s'autocopie dans les emplacements suivants:
* %APPDATA%\dwm.exe
* %TEMPDIR%\csrss.exe

Le fichier suivant est créé:

- %APPDATA%\%valeurs hexa%.%valeurs hexa% Contient des paramètres employé par le malware

Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
* "Shell"="explorer.exe,%APPDATA%\dwm.exe"

La clé de registre suivante est ajoutée:

- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
* "ProxyServer"="http=127.0.0.1:%nombre%"

Les clés de registre suivantes sont changées:

Il réduit les réglages de sécurité d'Internet Explorer

- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
La nouvelle valeur:
* "MigrateProxy"=dword:00000001
* "ProxyEnable"=dword:00000001
* "ProxyOverride"=-
* "AutoConfigURL"=-

- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
L'ancienne valeur:
* "load"=""
La nouvelle valeur:
* "load"="%TEMPDIR%\csrss.exe"

Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
* AVG
* Avast
* Avira
* Dr.Web
* Kaspersky
* McAfee
* ESET NOD32
* Norton
* BitDefender

Porte dérobée Les ports suivants sont ouverts:

- %le fichier exécuté% sur un port TCP aléatoire afin de fonctionner comme serveur proxy.
- %le fichier exécuté% sur un port TCP aléatoire afin de fournir de capacités de porte dérobée

Serveur de contact:
Tous les suivants:
* http://**********zyleafdesign.com/blog/images/share/facebook.png
* http://**********zyleafdesign.com/blog/images/share/stumble.png
* http://**********ssecureonline.com/blog/images/3521.jpg
* http://**********ssecureonline.com/blog/images/3522.jpg
* http://**********ssecureonline.com/blog/images/3523.jpg
* http://**********usho.com/wp-content/uploads/2010/09/web-20-what-is-300x251.jpg
* http://**********ewhoisdb.com/blog/images/3521.jpg
* http://**********ewhoisdb.com/blog/images/3522.jpg
* http://**********ewhoisdb.com/blog/images/3523.jpg
* http://**********vatar.com/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be1
* http://**********vatar.com/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be2
* http://**********enherbalteaonline.com/images/greenherbalteagirlholdingcup250.gif
* http://**********enherbalteaonline.com/images/greenherbalteagirlholdingcup350.gif
* http://**********lthylifenow.com/templates/7348/images/header_logo.jpg
* http://**********lthylifenow.com/templates/7349/images/header_logo.jpg
* http://**********midioz.com/blog/images/3521.jpg
* http://**********midioz.com/blog/images/3522.jpg
* http://**********midioz.com/blog/images/3523.jpg
* http://**********landandbarrett.com/images/footer/account.gif
* http://**********landandbarrett.com/images/footer/account.jpg
* http://**********anesegreenteaonline.com/assets/images/greentea-cha-1.gif
* http://**********anesegreenteaonline.com/assets/images/greentea-cha-2.gif
* http://**********derjoys.com/blog/images/3521.jpg
* http://**********derjoys.com/blog/images/3522.jpg
* http://**********derjoys.com/blog/images/3523.jpg
* http://**********oroskopia.com/blog/images/3521.jpg
* http://**********oroskopia.com/blog/images/3522.jpg
* http://**********oroskopia.com/blog/images/3523.jpg
* http://**********tpropaganda.net/blog/pics/3321.jpg
* http://**********tpropaganda.net/blog/pics/3322.jpg
* http://**********ldbaccess.com/blog/images/3521.jpg
* http://**********ldbaccess.com/blog/images/3522.jpg
* http://**********ldbaccess.com/blog/images/3523.jpg
* http://**********iadryvers.com/blog/images/3521.jpg
* http://**********iadryvers.com/blog/images/3522.jpg
* http://**********iadryvers.com/blog/images/3523.jpg
* http://**********kiwals.com/blog/images/3521.jpg
* http://**********kiwals.com/blog/images/3522.jpg
* http://**********kiwals.com/blog/images/3523.jpg
* http://**********ochrom.at/polytheism/pictures/TanzenderShiva.jpg
* http://**********ionsautoelectric.com/images/50-217-1_F_1_.jpg
* http://**********ionsautoelectric.com/images/50-217-1_F_2_.jpg
* http://**********inebizdirectory.com/images/PowerHideBanner.gif
* http://**********inebizdirectory.com/images/PowerShowBanner.gif
* http://**********inedatingsecretfriends.com/images/im133.jpg
* http://**********inedatingsecretfriends.com/images/im134.jpg
* http://**********ineinstitute.com/g7/images/logo.jpg
* http://**********ineinstitute.com/g7/images/logo2.jpg
* http://**********ineinstitute.com/g7/images/logo3.jpg
* http://**********ineinstitute.com/g7/images/logo4.jpg
* http://**********helpsme.com/blog/images/3521.jpg
* http://**********helpsme.com/blog/images/3522.jpg
* http://**********helpsme.com/blog/images/3523.jpg
* http://**********repolists.com/blog/images/3521.jpg
* http://**********repolists.com/blog/images/3522.jpg
* http://**********repolists.com/blog/images/3523.jpg
* http://**********k.com/img/icons/facebook.png
* http://**********k.com/img/icons/twitter.png
* http://**********lsoftwaredevelopment.com/WindowsLiveWriter/web-2_0_thumb_1.gif
* http://**********bukaclubonline.com/blog/images/3521.jpg
* http://**********bukaclubonline.com/blog/images/3522.jpg
* http://**********bukaclubonline.com/blog/images/3523.jpg
* http://**********kersonline.com/blog/images/3521.jpg
* http://**********kersonline.com/blog/images/3522.jpg
* http://**********kersonline.com/blog/images/3523.jpg
* http://**********programmingshool.com/blog/images/3521.jpg
* http://**********programmingshool.com/blog/images/3522.jpg
* http://**********programmingshool.com/blog/images/3523.jpg
* http://**********rentclist.com/blog/images/3521.jpg
* http://**********rentclist.com/blog/images/3522.jpg
* http://**********rentclist.com/blog/images/3523.jpg

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
* Crée de fichiers de journalisation.
* URL consultées

Capacités d'accès à distance:
* Visiter un site web

Vol d'informations - il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
* .2mdn.; .abmr.; .adtechus.; .aol.; .atdmt.; .atwola.;
.autodatadirect.; .bing.net; .dartsearch.; .doubleclick.; .ggpht.;
.google; .ivwbox.; .mapquestapi.; .microsoft.; .opera.; .tacoda.;
.thawte.; .tlowdb.; .truveo.; .virtualearth.; .wsod.; .yimg.com;
.ypcdn.; /complete/search; /gen_204; /images; /imglanding; ?query=;
amazon.; aol/search; aolcdn.; aolsvc.; bing.com; bing.com/search;
blogger; brightcove.com; doubleclick.; ebay.; err069; facebook.;
flickr; google-analytics.; google.; googlesyndication.;
googleusercontent.; gstatic.; http%3A##; imdb.; mapq.st; msn;
scorecardresearch.com; search.aol.; search.yahoo.com/search;
searcht2.aol.; start=; start=0; suche.aol.; twitter.; wikimedia.;
wikipedia.; yahoo.; yahoo.com; youtube.; ytimg.

L'injection du code viral dans d'autres processus Tous les processus suivants:
* wmiprvse.exe
* svchost.exe

Informations divers Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
* IsDebuggerPresent

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
* UPX

cathy

Description insérée par Andrei Ilie le lundi 8 août 2011
Description mise à jour par Andrei Ilie le lundi 8 août 2011

Retour .
.
.
.

cathy

Nom: BDS/Floder.mt
La date de la découverte: 20/06/2011
Type: Serveur porte dérobée
En circulation: Oui
Infections signalées Faible
Potentiel de distribution: Faible
Potentiel de destruction: Moyen
Taille du fichier: 152.064 Octets
Somme de contrôle MD5: 2C172284DD0CD1D31C7F7C93E95C727C
Version VDF: 7.11.10.37 - lundi 20 juin 2011
Version IVDF: 7.11.10.37 - lundi 20 juin 2011

Général Méthode de propagation:
* Il ne possède pas de propre routine de propagation

Les alias:
* Symantec: W32.Pilleuz
* TrendMicro: TROJ_SPNR.02FS11
* Microsoft: Worm:Win32/Dorkbot.I

Plateformes / Systèmes d'exploitation:
* Windows 2000
* Windows XP
* Windows 2003
* Windows Vista
* Windows 7

Effets secondaires:
* Il facilite l'accès non autorisé à l'ordinateur
* Il crée des fichiers
* Il modifie des registres

Fichiers Il s'autocopie dans l'emplacement suivant:
* %APPDATA%\%chaîne de caractères aléatoire%.exe

Il supprime sa propre copie, exécutée initialement

Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
* "%chaîne de caractères aléatoire%"="%APPDATA%\%chaîne de caractères aléatoire%.exe"

La clé de registre suivante est ajoutée:

- [HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
Internet Settings]
* "ProxyEnable"=dword:00000000

La clé de registre suivante est changée:

- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
La nouvelle valeur:
* "MigrateProxy"=dword:00000001
* "ProxyEnable"=dword:00000000
* "ProxyServer"=-
* "ProxyOverride"=-
* "AutoConfigURL"=-

IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: **********.yourwebfind.com
Port: 5101
Le mot de passe du serveur: hax0r

Serveur: **********.drwhox.com
Port: 5101
Le mot de passe du serveur: hax0r

Serveur: **********.babypin.net
Port: 5101
Le mot de passe du serveur: hax0r

Serveur: **********.beecitysearch.com
Port: 5101
Le mot de passe du serveur: hax0r

Serveur: **********.mdmads.com
Port: 5101
Le mot de passe du serveur: hax0r

- Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
* Utilisateur courant
* Information sur le système d'exploitation Windows

- Ensuite il a la capacité d'opérer des actions tel que:
* Joindre le canal IRC
* Quitter la canal IRC
* Opérer un attaque DDoS

L'injection du code viral dans d'autres processus - Il s'injecte dans les processus en tant que fil distant.

Tous les processus suivants:
* explorer.exe
* svchost.exe
* winlogon.exe

Informations divers Accède à des ressources Internet :
* http://api.wipmania.com

Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
* IsDebuggerPresent

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Description insérée par Andrei Ilie le lundi 8 août 2011
Description mise à jour par Andrei Ilie le lundi 8 août 2011

Retour .
.
.
.

Réponse 34 / 43

Utilisateur anonyme

ca ne repond pas à ma question

cathy

je ne comprends pas, je te l' ai dis où je trouvais ces informations
sur le scan de mon antivirus je clique sur "information virus"

cathy

au mois de juin je suis allée sur un site voir des photos, dans la barre de navigation un rond rouge s' est affiché, depuis ce jour on m' envoie des virus en pagaille

cathy

Bonjour

le problème est-il résolu ?

Réponse 35 / 43

Utilisateur anonyme

bonjour je t'ai demandé sur quels fichiers ces infections étaient trouvées

cathy

Bonjour

Je ne sais pas sur quels fichiers ils se trouvent, je sais seulement que j' ai trouvé ces informations sur la fenêtre du scan de mon anti-virus

cathy

et aujourd' hui

1 BDS/Ruskill.db.1 Backdoor Server Level 3 Aug 9, 2011 Jun 3, 2011
2 BDS/Gbot.grx.2 Backdoor Server Level 3 Aug 9, 2011 Jun 1, 2011

cathy

ça serait le fichier "luke filewalker" ?

cathy

antivir desktop

cathy

fichier Dat

Réponse 36 / 43

Utilisateur anonyme

▶ Télécharge ici : USBFIX sur ton bureau

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

▶ choisi l option Suppression

▶ UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

cathy

Réponse 37 / 43

Utilisateur anonyme

manque un bout ^^

cathy

cathy

l' ordinateur se met en veille tout seul toute les 2 minutes alors que je l' ai règlé toute les 5 minutes

Réponse 38 / 43

Utilisateur anonyme

heu ....y'a que ca dans le rapport ?

cathy

je crois qu' il a arrêté son analyse a 70% comme la fenêtre s' est fermé, j' ai cru que c' était terminé !

cathy

Réponse 39 / 43

Utilisateur anonyme

inscris-toi sur commentcamarche , tu pourras le mettre entier

ca doit etre à cause des url qui sont au debut du rapport

CATTHYy Messages postés 2 Date d'inscription Statut Membre Dernière intervention

CATTHYy Messages postés 2 Date d'inscription Statut Membre Dernière intervention

Bonjour,

dernière trouvaille

Dans Last update de mon anti-virus
Search engine : V8.02.06.28, 05/08/2011
Virus definition file v7.11.13.02, 09/08:2011

Réponse 40 / 43

Utilisateur anonyme

re

fais un scan complet avec antivir et poste le rapport voir ?

CATTHYy

je fais le scan avec antivir de mon Anti-virus ?

Utilisateur anonyme

??????

CATTHYy

voilà le scan

Avira AntiVir Personal
Report file date: mercredi 10 août 2011 13:46

Scanning for 3353393 virus strains and unwanted programs.

The program is running as an unrestricted full version.
Online services are available:

Licensee : Avira AntiVir Personal - Free Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows XP
Windows version : (Service Pack 3) [5.1.2600]
Boot mode : Normally booted
Username : SYSTEM
Computer name : COMPAQ-E

Version information:
BUILD.DAT : 10.2.0.696 35934 Bytes 29/06/2011 17:32:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 25/07/2011 18:10:20
AVSCAN.DLL : 10.0.5.0 47464 Bytes 25/07/2011 18:10:20
LUKE.DLL : 10.3.0.5 45416 Bytes 25/07/2011 18:10:20
LUKERES.DLL : 10.0.0.1 12648 Bytes 10/02/2010 22:40:49
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 25/07/2011 18:10:21
AVREG.DLL : 10.3.0.9 88833 Bytes 25/07/2011 18:10:21
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 20:36:50
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 09:34:10
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 09:34:10
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 09:34:10
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07/07/2011 09:34:10
VBASE006.VDF : 7.11.10.252 2048 Bytes 07/07/2011 09:34:10
VBASE007.VDF : 7.11.10.253 2048 Bytes 07/07/2011 09:34:10
VBASE008.VDF : 7.11.10.254 2048 Bytes 07/07/2011 09:34:10
VBASE009.VDF : 7.11.10.255 2048 Bytes 07/07/2011 09:34:10
VBASE010.VDF : 7.11.11.0 2048 Bytes 07/07/2011 09:34:10
VBASE011.VDF : 7.11.11.1 2048 Bytes 07/07/2011 09:34:10
VBASE012.VDF : 7.11.11.2 2048 Bytes 07/07/2011 09:34:10
VBASE013.VDF : 7.11.11.75 688128 Bytes 12/07/2011 09:34:10
VBASE014.VDF : 7.11.11.104 978944 Bytes 13/07/2011 09:34:11
VBASE015.VDF : 7.11.11.137 655360 Bytes 14/07/2011 09:34:11
VBASE016.VDF : 7.11.11.184 699392 Bytes 18/07/2011 18:10:18
VBASE017.VDF : 7.11.11.214 414208 Bytes 19/07/2011 18:10:18
VBASE018.VDF : 7.11.11.242 772096 Bytes 20/07/2011 18:10:18
VBASE019.VDF : 7.11.12.3 1291776 Bytes 20/07/2011 18:10:18
VBASE020.VDF : 7.11.12.30 844288 Bytes 21/07/2011 18:10:19
VBASE021.VDF : 7.11.12.67 149504 Bytes 24/07/2011 18:10:19
VBASE022.VDF : 7.11.12.93 195072 Bytes 25/07/2011 18:10:19
VBASE023.VDF : 7.11.12.113 150528 Bytes 26/07/2011 17:51:58
VBASE024.VDF : 7.11.12.152 182784 Bytes 28/07/2011 12:30:46
VBASE025.VDF : 7.11.12.181 117760 Bytes 01/08/2011 20:37:15
VBASE026.VDF : 7.11.12.205 148480 Bytes 03/08/2011 19:38:25
VBASE027.VDF : 7.11.12.229 252928 Bytes 05/08/2011 19:39:03
VBASE028.VDF : 7.11.12.243 134656 Bytes 08/08/2011 07:29:28
VBASE029.VDF : 7.11.12.244 2048 Bytes 08/08/2011 07:29:28
VBASE030.VDF : 7.11.12.245 2048 Bytes 08/08/2011 07:29:28
VBASE031.VDF : 7.11.13.5 90112 Bytes 10/08/2011 09:36:03
Engineversion : 8.2.6.28
AEVDF.DLL : 8.1.2.1 106868 Bytes 17/08/2010 12:38:53
AESCRIPT.DLL : 8.1.3.74 1622393 Bytes 05/08/2011 13:58:39
AESCN.DLL : 8.1.7.2 127349 Bytes 30/01/2011 20:37:23
AESBX.DLL : 8.2.1.34 323957 Bytes 15/07/2011 09:34:11
AERDL.DLL : 8.1.9.13 639349 Bytes 15/07/2011 09:34:11
AEPACK.DLL : 8.2.9.5 676214 Bytes 15/07/2011 09:34:11
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 28/07/2011 16:41:20
AEHEUR.DLL : 8.1.2.151 3584374 Bytes 05/08/2011 13:58:21
AEHELP.DLL : 8.1.17.7 254327 Bytes 28/07/2011 16:40:19
AEGEN.DLL : 8.1.5.7 401778 Bytes 05/08/2011 13:57:11
AEEMU.DLL : 8.1.3.0 393589 Bytes 30/01/2011 20:37:10
AECORE.DLL : 8.1.22.4 196983 Bytes 15/07/2011 09:34:11
AEBB.DLL : 8.1.1.0 53618 Bytes 17/08/2010 12:38:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21/04/2011 05:53:36
AVPREF.DLL : 10.0.3.2 44904 Bytes 25/07/2011 18:10:19
AVREP.DLL : 10.0.0.10 174120 Bytes 25/07/2011 18:10:21
AVARKT.DLL : 10.0.26.1 255336 Bytes 25/07/2011 18:10:19
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 25/07/2011 18:10:19
SQLITE3.DLL : 3.6.19.0 355688 Bytes 20/07/2011 14:40:24
AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 25/07/2011 18:10:18
RCTEXT.DLL : 10.0.64.0 97640 Bytes 25/07/2011 18:10:18

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Logging.............................: Default
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:,
Process scan........................: on
Extended process scan...............: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: Advanced

Start of the scan: mercredi 10 août 2011 13:46

Starting search for hidden objects.

The scan of running processes will be started
Scan process 'rsmsink.exe' - '28' Module(s) have been scanned
Scan process 'avscan.exe' - '70' Module(s) have been scanned
Scan process 'avcenter.exe' - '63' Module(s) have been scanned
Scan process 'msdtc.exe' - '40' Module(s) have been scanned
Scan process 'dllhost.exe' - '60' Module(s) have been scanned
Scan process 'dllhost.exe' - '45' Module(s) have been scanned
Scan process 'vssvc.exe' - '48' Module(s) have been scanned
Scan process 'chrome.exe' - '63' Module(s) have been scanned
Scan process 'chrome.exe' - '42' Module(s) have been scanned
Scan process 'chrome.exe' - '42' Module(s) have been scanned
Scan process 'chrome.exe' - '66' Module(s) have been scanned
Scan process 'NMIndexingService.exe' - '38' Module(s) have been scanned
Scan process 'hpqSTE08.exe' - '71' Module(s) have been scanned
Scan process 'NMIndexStoreSvr.exe' - '72' Module(s) have been scanned
Scan process 'hpqtra08.exe' - '66' Module(s) have been scanned
Scan process 'GoogleCrashHandler.exe' - '31' Module(s) have been scanned
Scan process 'ctfmon.exe' - '25' Module(s) have been scanned
Scan process 'NMBgMonitor.exe' - '44' Module(s) have been scanned
Scan process 'mbamgui.exe' - '26' Module(s) have been scanned
Scan process 'avgnt.exe' - '45' Module(s) have been scanned
Scan process 'RUNDLL32.EXE' - '30' Module(s) have been scanned
Scan process 'Explorer.EXE' - '84' Module(s) have been scanned
Scan process 'alg.exe' - '33' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '15' Module(s) have been scanned
Scan process 'svchost.exe' - '38' Module(s) have been scanned
Scan process 'WLanCfgG.exe' - '45' Module(s) have been scanned
Scan process 'WLService.exe' - '10' Module(s) have been scanned
Scan process 'avshadow.exe' - '26' Module(s) have been scanned
Scan process 'mbamservice.exe' - '35' Module(s) have been scanned
Scan process 'jqs.exe' - '85' Module(s) have been scanned
Scan process 'mscorsvw.exe' - '28' Module(s) have been scanned
Scan process 'avguard.exe' - '55' Module(s) have been scanned
Scan process 'svchost.exe' - '34' Module(s) have been scanned
Scan process 'sched.exe' - '46' Module(s) have been scanned
Scan process 'spoolsv.exe' - '61' Module(s) have been scanned
Scan process 'svchost.exe' - '51' Module(s) have been scanned
Scan process 'svchost.exe' - '38' Module(s) have been scanned
Scan process 'svchost.exe' - '34' Module(s) have been scanned
Scan process 'svchost.exe' - '32' Module(s) have been scanned
Scan process 'svchost.exe' - '168' Module(s) have been scanned
Scan process 'svchost.exe' - '40' Module(s) have been scanned
Scan process 'svchost.exe' - '51' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '39' Module(s) have been scanned
Scan process 'lsass.exe' - '58' Module(s) have been scanned
Scan process 'services.exe' - '27' Module(s) have been scanned
Scan process 'winlogon.exe' - '67' Module(s) have been scanned
Scan process 'csrss.exe' - '14' Module(s) have been scanned
Scan process 'smss.exe' - '2' Module(s) have been scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
Master boot sector HD2
[INFO] No virus was found!
Master boot sector HD3
[INFO] No virus was found!
Master boot sector HD4
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '479' files ).

Starting the file scan:

Begin scan in 'C:\'

End of the scan: mercredi 10 août 2011 14:25
Used time: 38:29 Minute(s)

The scan has been done completely.

4385 Scanned directories
224133 Files were scanned
0 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
0 Files were moved to quarantine
0 Files were renamed
0 Files cannot be scanned
224133 Files not concerned
2440 Archives were scanned
0 Warnings
0 Notes
320064 Objects were scanned with rootkit scan
0 Hidden objects were found

Système infecté

43 réponses

Votre réponse

Discussions similaires