Processus à nom variable, 99% des ressources!
Loserito
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
Depuis quelques temps, j'ai sur mon pc portable et sur mon pc de bureau un problème persistant au niveau des ressources systèmes.
A chaque démarrage, au bout de quelques minutes, un processus au nom étrange se lance. Je ne copie pas le nom de ce processus pour la simple et bonne raison qu'après avoir été viré un certain nombre de fois, il change tout bonnement de nom!
Il s'agit en tous cas à chaque fois d'une suite de lettres minuscules. Le dernier en date était un truc du genre "wietxcpgds". Au début il n'est pas bien génant, mais en général au bout de quelques minutes, il se met à bouffer des ressources système, et pas qu'un peu! Il arrive assez vite à 99%
Si je le supprime, il revient tout de suite, avec 0% de ressources prises, mais peu à peu il revient à 99.
En revanche si dès qu'il réapparait je le supprime (en faisant la manipulation extremement vite, en moins d'une seconde en gros), il ne revient pas, ou du moins pas avant plusieurs heures.
J'ai lancé pas mal d'anti virus et d'anti spywares (avast, spybot s&d, anti spy.info, winsos...) mais aucun ne m'a permis de supprimer cette saleté.
De plus, j'ai l'impression qu'à cause de lui je suis obligé de réinstaller systématiquement mes jeux une fois que je les ai fermés une fois!
Ainsi, j'installe baldur's gate (oui, je suis dans une période revival), je peux y jouer une fois, mais après redémarrage du pc je devrai le réinstaller pour qu'il veuille bien se lancer!
Pour warcraft 3, le jeu se lance, mais si je veux accéder à battlenet je suis obligé de réinstaller le jeu à chaque fois.
Je ne sais pas si ça a un lien, mais au cas ou je vous le précise ici, sait on jamais.
Voilà, le problème est exactement le meme sur mon pc portable qui est sous Me.
Le pc de bureau est sous XP avec les service packs à jour.
J'utilise firefox comme navigateur principal, et occasionnellement ie.
Depuis quelques temps, j'ai sur mon pc portable et sur mon pc de bureau un problème persistant au niveau des ressources systèmes.
A chaque démarrage, au bout de quelques minutes, un processus au nom étrange se lance. Je ne copie pas le nom de ce processus pour la simple et bonne raison qu'après avoir été viré un certain nombre de fois, il change tout bonnement de nom!
Il s'agit en tous cas à chaque fois d'une suite de lettres minuscules. Le dernier en date était un truc du genre "wietxcpgds". Au début il n'est pas bien génant, mais en général au bout de quelques minutes, il se met à bouffer des ressources système, et pas qu'un peu! Il arrive assez vite à 99%
Si je le supprime, il revient tout de suite, avec 0% de ressources prises, mais peu à peu il revient à 99.
En revanche si dès qu'il réapparait je le supprime (en faisant la manipulation extremement vite, en moins d'une seconde en gros), il ne revient pas, ou du moins pas avant plusieurs heures.
J'ai lancé pas mal d'anti virus et d'anti spywares (avast, spybot s&d, anti spy.info, winsos...) mais aucun ne m'a permis de supprimer cette saleté.
De plus, j'ai l'impression qu'à cause de lui je suis obligé de réinstaller systématiquement mes jeux une fois que je les ai fermés une fois!
Ainsi, j'installe baldur's gate (oui, je suis dans une période revival), je peux y jouer une fois, mais après redémarrage du pc je devrai le réinstaller pour qu'il veuille bien se lancer!
Pour warcraft 3, le jeu se lance, mais si je veux accéder à battlenet je suis obligé de réinstaller le jeu à chaque fois.
Je ne sais pas si ça a un lien, mais au cas ou je vous le précise ici, sait on jamais.
Voilà, le problème est exactement le meme sur mon pc portable qui est sous Me.
Le pc de bureau est sous XP avec les service packs à jour.
J'utilise firefox comme navigateur principal, et occasionnellement ie.
A voir également:
- Processus à nom variable, 99% des ressources!
- Indicatif 99 - Guide
- Trouver un nom avec une adresse ✓ - Forum Loisirs / Divertissements
- Nom sonnerie iphone - Forum iPhone
- Nom de compte steam exemple - Forum Jeux vidéo
- Changer nom iphone - Guide
9 réponses
salut
tu as msconfig qui te permet de pouvoir voir les differents programme qui demarre
Clique sur le menu Démarrer
Clique sur Executer
Tape msconfig
Clique sur le bouton OK
et va sur onglet demarrage
maintenant il y a les adeptes de msconfig et les antis" je ne citerais pas de nom"
je fait parti des premiers cela permet de visualiser les programmes au démarrage de la session.
tu peux alors désactiver un programme en le décochant. C'est une option très interressante pour désactiver les programmes afin de gagner en vitesse au démarrage de Windows ou pour désactiver un malware.
cela n'entraine en aucun cas le non redemarrage d'un pc car c une action reversible a tout moment tu ne supprime pas un programme tu le desactive
Avant de prendre un vaccin il faut connaitre le mal
tu as msconfig qui te permet de pouvoir voir les differents programme qui demarre
Clique sur le menu Démarrer
Clique sur Executer
Tape msconfig
Clique sur le bouton OK
et va sur onglet demarrage
maintenant il y a les adeptes de msconfig et les antis" je ne citerais pas de nom"
je fait parti des premiers cela permet de visualiser les programmes au démarrage de la session.
tu peux alors désactiver un programme en le décochant. C'est une option très interressante pour désactiver les programmes afin de gagner en vitesse au démarrage de Windows ou pour désactiver un malware.
cela n'entraine en aucun cas le non redemarrage d'un pc car c une action reversible a tout moment tu ne supprime pas un programme tu le desactive
Avant de prendre un vaccin il faut connaitre le mal
Bonsoir,
90% de risque de Vundo.
Si tu as 2 ordis, on les traite l'un après l'autre.
D'abord celui sous Xp
On commence comme ça :
Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
Accepte la license en cliquant sur le bouton "I Accept"
Ferme Hijackthis en cliquant sur la croix-rouge.
Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :
http://www.techsupportforum.com/sectools/Deckard/dss.exe
Choisis "Enregistrer" et "Bureau" comme emplacement.
Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).
Double-clique sur DSS.exe pour lancer l'outil.
S'il ne trouve pas HijackThis, clique sur Oui.
Clique sur OK à chaque fois que cela sera demandé.
L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.
Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.
90% de risque de Vundo.
Si tu as 2 ordis, on les traite l'un après l'autre.
D'abord celui sous Xp
On commence comme ça :
Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
Accepte la license en cliquant sur le bouton "I Accept"
Ferme Hijackthis en cliquant sur la croix-rouge.
Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :
http://www.techsupportforum.com/sectools/Deckard/dss.exe
Choisis "Enregistrer" et "Bureau" comme emplacement.
Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).
Double-clique sur DSS.exe pour lancer l'outil.
S'il ne trouve pas HijackThis, clique sur Oui.
Clique sur OK à chaque fois que cela sera demandé.
L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.
Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.
bon j'ai installé les deux, mais quand dss est lancé il veut pas me trouver hijackthis (avec les firewall fermés et le firewall windows désactivé, il me dit qu'il a pas pu le localiser et que je dois laisser le firewall accéder à ma demande, et si jle guide vers l'exe, il me dit que ça ne correspond pas à ce qu'il recherche). Je l'ai donc laissé utiliser son propre module.
Voilà ce que le scan me donne:
-- HijackThis Clone ------------------------------------------------------------
Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-05-27 23:26:55
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ianhdbzyd.exe
C:\WINDOWS\system32\sstray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\FarStone\VirtualDrive\VHD\RDTask.exe
C:\Program Files\NETGEAR\WPN111\WPN111.exe
C:\Program Files\Trend Micro\HijackThis\dss.exe
C:\Program Files\Mozilla Firefox\firefox.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/toolbar/ie8/sidebar.html
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {EFD96083-D714-F6C7-42E0-A58F7520299B} - C:\WINDOWS\system32\vyxktfwe.dll (file missing)
O4 - HKLM\..\Run: [BGNewsAgent] C:\Program Files\BullGuard\bgnewsag.exe
O4 - HKLM\..\Run: [msnsyslog] C:\WINDOWS\msnlogm.exe
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\system32\ianhdbzyd.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RAMDrive] "C:\Program Files\FarStone\VirtualDrive\VHD\RDTask.exe"
O4 - HKLM\..\Run: [VirtualDrive] "C:\Program Files\FarStone\VirtualDrive\VDTask.exe" /AutoRestore
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools\daemon.exe -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [JavaCore] C:\Program Files\\JavaCore\\JavaCore.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Qtlvr] "C:\Documents and Settings\Loserinho\Application Data\?ymantec\regsvr32.exe" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [JavaCore] C:\Program Files\\JavaCore\\JavaCore.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Qtlvr] "C:\Documents and Settings\Loserinho\Application Data\?ymantec\regsvr32.exe" (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = C:\Program Files\NETGEAR\WPN111\wpn111.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing)
O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: C:\WINDOWS\system32\nwprovau.dll
O16 - DPF: ppctlcab () - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} () - http://codecs.microsoft.com/codecs/i386/wmv9dmo.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\PKMCDO.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\10\OWC10.DLL
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BullGuard Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\BullGuard\BullGuard Communicator\xcommsvr.exe
Voilà ce que le scan me donne:
-- HijackThis Clone ------------------------------------------------------------
Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-05-27 23:26:55
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ianhdbzyd.exe
C:\WINDOWS\system32\sstray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\FarStone\VirtualDrive\VHD\RDTask.exe
C:\Program Files\NETGEAR\WPN111\WPN111.exe
C:\Program Files\Trend Micro\HijackThis\dss.exe
C:\Program Files\Mozilla Firefox\firefox.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/toolbar/ie8/sidebar.html
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {EFD96083-D714-F6C7-42E0-A58F7520299B} - C:\WINDOWS\system32\vyxktfwe.dll (file missing)
O4 - HKLM\..\Run: [BGNewsAgent] C:\Program Files\BullGuard\bgnewsag.exe
O4 - HKLM\..\Run: [msnsyslog] C:\WINDOWS\msnlogm.exe
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\system32\ianhdbzyd.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RAMDrive] "C:\Program Files\FarStone\VirtualDrive\VHD\RDTask.exe"
O4 - HKLM\..\Run: [VirtualDrive] "C:\Program Files\FarStone\VirtualDrive\VDTask.exe" /AutoRestore
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools\daemon.exe -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [JavaCore] C:\Program Files\\JavaCore\\JavaCore.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Qtlvr] "C:\Documents and Settings\Loserinho\Application Data\?ymantec\regsvr32.exe" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [JavaCore] C:\Program Files\\JavaCore\\JavaCore.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Qtlvr] "C:\Documents and Settings\Loserinho\Application Data\?ymantec\regsvr32.exe" (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = C:\Program Files\NETGEAR\WPN111\wpn111.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing)
O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: C:\WINDOWS\system32\nwprovau.dll
O16 - DPF: ppctlcab () - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} () - http://codecs.microsoft.com/codecs/i386/wmv9dmo.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\PKMCDO.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\10\OWC10.DLL
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BullGuard Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\BullGuard\BullGuard Communicator\xcommsvr.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
très infecté.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\ianhdbzyd.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
Fais la même choses avec C:\mtqabunuz.exe
Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.
Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
très infecté.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\ianhdbzyd.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
Fais la même choses avec C:\mtqabunuz.exe
Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.
Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
alors, le processus a encore changé de nom!
Désormais il s'agit de iywvdxtcz.exe
Fichier iywvdxtcz.exe reçu le 2008.05.28 00:04:24 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 29/32 (90.63%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.28.0 2008.05.27 Win32/Virut.D
AntiVir 7.8.0.19 2008.05.27 W32/Virut.R
Authentium 5.1.0.4 2008.05.27 W32/Virut.10392
Avast 4.8.1195.0 2008.05.27 Win32:Rbot-FRX
AVG 7.5.0.516 2008.05.27 BackDoor.RBot.JG
BitDefender 7.2 2008.05.28 Win32.Virtob.4.Gen
CAT-QuickHeal 9.50 2008.05.26 Backdoor.Rbot.itx
ClamAV 0.92.1 2008.05.27 W32.Virut.Gen.C-55
DrWeb 4.44.0.09170 2008.05.27 Win32.Virut.5
eSafe 7.0.15.0 2008.05.27 Win32.Virut.gen
eTrust-Vet 31.4.5826 2008.05.27 Win32/Virut.10392
Ewido 4.0 2008.05.27 -
F-Prot 4.4.4.56 2008.05.27 W32/Virut.10392
F-Secure 6.70.13260.0 2008.05.27 W32/Virut.O
Fortinet 3.14.0.0 2008.05.27 W32/Virut.F
GData 2.0.7306.1023 2008.05.27 Virus.Win32.Virut.n
Ikarus T3.1.1.26.0 2008.05.27 Backdoor.Win32.SdBot.UF
Kaspersky 7.0.0.125 2008.05.27 Virus.Win32.Virut.n
McAfee 5304 2008.05.27 W32/Virut.gen
Microsoft None 2008.05.27 -
NOD32v2 3136 2008.05.27 Win32/Virut.NAK
Norman 5.80.02 2008.05.27 W32/Virut.O
Panda 9.0.0.4 2008.05.27 W32/Virutas.gen
Prevx1 V2 2008.05.28 Malicious Software
Rising 20.46.12.00 2008.05.27 Win32.Virut.GEN
Sophos 4.29.0 2008.05.27 W32/Vetor-A
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.27 W32.IRCbot
TheHacker 6.2.92.321 2008.05.27 W32/Virut.gen2
VBA32 3.12.6.6 2008.05.27 Virus.Win32.Virut.f
VirusBuster 4.3.26:9 2008.05.27 Win32.Virut.Gen
Webwasher-Gateway 6.6.2 2008.05.27 Win32.Virut.R
Information additionnelle
File size: 116224 bytes
MD5...: 34ba00d85a6375d1c7f7def730bad493
SHA1..: ab9faa112bb25e4712ba622ff574e1bda7c34907
SHA256: 3e9e2a0fda65b8f35a267f9cb8b3bd161ce03deee595ba206278ad310d86cd37
SHA512: 76257ba7a19acca3c785e500841501e712a1e913c3d17879ff072049118eba6f
7b6fcfd68a9d15f80dd802ee3e3f231cc6b6a2f1c0f49867620f199fd4b4e072
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x4c7689
timedatestamp.....: 0xa0a0a0a0L (invalid)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb6000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xb7000 0x11000 0x10800 7.91 7a98a16dffd5fd04edcd6b09b8d6b5eb
.rsrc 0xc8000 0x10000 0xba00 3.87 951d77d1fe0de0827cce2757e3f2a731
( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> PSAPI.DLL: GetModuleFileNameExA
> SHELL32.dll: ShellExecuteA
> USER32.dll: wsprintfA
> VERSION.dll: VerQueryValueA
> WININET.dll: InternetGetConnectedStateEx
> WS2_32.dll: -
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=9F85E69900E14FDDC6EB01D1C5D826008E9C3657
De meme, mtqabunuz.exe a disparu! A la place, j'ai pagdxsivw.exe
Fichier pagdxsivw.exe reçu le 2008.05.28 00:08:30 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 29/32 (90.63%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.28.0 2008.05.27 Win32/Virut.D
AntiVir 7.8.0.19 2008.05.27 W32/Virut.R
Authentium 5.1.0.4 2008.05.27 W32/Virut.10392
Avast 4.8.1195.0 2008.05.27 Win32:Rbot-FRX
AVG 7.5.0.516 2008.05.27 BackDoor.RBot.JG
BitDefender 7.2 2008.05.28 Win32.Virtob.4.Gen
CAT-QuickHeal 9.50 2008.05.26 Backdoor.Rbot.itx
ClamAV 0.92.1 2008.05.27 W32.Virut.Gen.C-55
DrWeb 4.44.0.09170 2008.05.27 Win32.Virut.5
eSafe 7.0.15.0 2008.05.27 Win32.Virut.gen
eTrust-Vet 31.4.5826 2008.05.27 Win32/Virut.10392
Ewido 4.0 2008.05.27 -
F-Prot 4.4.4.56 2008.05.27 W32/Virut.10392
F-Secure 6.70.13260.0 2008.05.27 W32/Virut.O
Fortinet 3.14.0.0 2008.05.27 W32/Virut.F
GData 2.0.7306.1023 2008.05.27 Virus.Win32.Virut.n
Ikarus T3.1.1.26.0 2008.05.27 Backdoor.Win32.SdBot.UF
Kaspersky 7.0.0.125 2008.05.27 Virus.Win32.Virut.n
McAfee 5304 2008.05.27 W32/Virut.gen
Microsoft None 2008.05.27 -
NOD32v2 3136 2008.05.27 Win32/Virut.NAK
Norman 5.80.02 2008.05.27 W32/Virut.O
Panda 9.0.0.4 2008.05.27 W32/Virutas.gen
Prevx1 V2 2008.05.28 Malicious Software
Rising 20.46.12.00 2008.05.27 Win32.Virut.GEN
Sophos 4.29.0 2008.05.27 W32/Vetor-A
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.27 W32.IRCbot
TheHacker 6.2.92.321 2008.05.27 W32/Virut.gen2
VBA32 3.12.6.6 2008.05.27 Virus.Win32.Virut.f
VirusBuster 4.3.26:9 2008.05.27 Win32.Virut.Gen
Webwasher-Gateway 6.6.2 2008.05.27 Win32.Virut.R
Information additionnelle
File size: 116224 bytes
MD5...: 34ba00d85a6375d1c7f7def730bad493
SHA1..: ab9faa112bb25e4712ba622ff574e1bda7c34907
SHA256: 3e9e2a0fda65b8f35a267f9cb8b3bd161ce03deee595ba206278ad310d86cd37
SHA512: 76257ba7a19acca3c785e500841501e712a1e913c3d17879ff072049118eba6f
7b6fcfd68a9d15f80dd802ee3e3f231cc6b6a2f1c0f49867620f199fd4b4e072
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x4c7689
timedatestamp.....: 0xa0a0a0a0L (invalid)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb6000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xb7000 0x11000 0x10800 7.91 7a98a16dffd5fd04edcd6b09b8d6b5eb
.rsrc 0xc8000 0x10000 0xba00 3.87 951d77d1fe0de0827cce2757e3f2a731
( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> PSAPI.DLL: GetModuleFileNameExA
> SHELL32.dll: ShellExecuteA
> USER32.dll: wsprintfA
> VERSION.dll: VerQueryValueA
> WININET.dll: InternetGetConnectedStateEx
> WS2_32.dll: -
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=9F85E69900E14FDDC6EB01D1C5D826008E9C3657
Bref, c'est la mewde, chuis bien infecté :D
Désormais il s'agit de iywvdxtcz.exe
Fichier iywvdxtcz.exe reçu le 2008.05.28 00:04:24 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 29/32 (90.63%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.28.0 2008.05.27 Win32/Virut.D
AntiVir 7.8.0.19 2008.05.27 W32/Virut.R
Authentium 5.1.0.4 2008.05.27 W32/Virut.10392
Avast 4.8.1195.0 2008.05.27 Win32:Rbot-FRX
AVG 7.5.0.516 2008.05.27 BackDoor.RBot.JG
BitDefender 7.2 2008.05.28 Win32.Virtob.4.Gen
CAT-QuickHeal 9.50 2008.05.26 Backdoor.Rbot.itx
ClamAV 0.92.1 2008.05.27 W32.Virut.Gen.C-55
DrWeb 4.44.0.09170 2008.05.27 Win32.Virut.5
eSafe 7.0.15.0 2008.05.27 Win32.Virut.gen
eTrust-Vet 31.4.5826 2008.05.27 Win32/Virut.10392
Ewido 4.0 2008.05.27 -
F-Prot 4.4.4.56 2008.05.27 W32/Virut.10392
F-Secure 6.70.13260.0 2008.05.27 W32/Virut.O
Fortinet 3.14.0.0 2008.05.27 W32/Virut.F
GData 2.0.7306.1023 2008.05.27 Virus.Win32.Virut.n
Ikarus T3.1.1.26.0 2008.05.27 Backdoor.Win32.SdBot.UF
Kaspersky 7.0.0.125 2008.05.27 Virus.Win32.Virut.n
McAfee 5304 2008.05.27 W32/Virut.gen
Microsoft None 2008.05.27 -
NOD32v2 3136 2008.05.27 Win32/Virut.NAK
Norman 5.80.02 2008.05.27 W32/Virut.O
Panda 9.0.0.4 2008.05.27 W32/Virutas.gen
Prevx1 V2 2008.05.28 Malicious Software
Rising 20.46.12.00 2008.05.27 Win32.Virut.GEN
Sophos 4.29.0 2008.05.27 W32/Vetor-A
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.27 W32.IRCbot
TheHacker 6.2.92.321 2008.05.27 W32/Virut.gen2
VBA32 3.12.6.6 2008.05.27 Virus.Win32.Virut.f
VirusBuster 4.3.26:9 2008.05.27 Win32.Virut.Gen
Webwasher-Gateway 6.6.2 2008.05.27 Win32.Virut.R
Information additionnelle
File size: 116224 bytes
MD5...: 34ba00d85a6375d1c7f7def730bad493
SHA1..: ab9faa112bb25e4712ba622ff574e1bda7c34907
SHA256: 3e9e2a0fda65b8f35a267f9cb8b3bd161ce03deee595ba206278ad310d86cd37
SHA512: 76257ba7a19acca3c785e500841501e712a1e913c3d17879ff072049118eba6f
7b6fcfd68a9d15f80dd802ee3e3f231cc6b6a2f1c0f49867620f199fd4b4e072
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x4c7689
timedatestamp.....: 0xa0a0a0a0L (invalid)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb6000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xb7000 0x11000 0x10800 7.91 7a98a16dffd5fd04edcd6b09b8d6b5eb
.rsrc 0xc8000 0x10000 0xba00 3.87 951d77d1fe0de0827cce2757e3f2a731
( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> PSAPI.DLL: GetModuleFileNameExA
> SHELL32.dll: ShellExecuteA
> USER32.dll: wsprintfA
> VERSION.dll: VerQueryValueA
> WININET.dll: InternetGetConnectedStateEx
> WS2_32.dll: -
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=9F85E69900E14FDDC6EB01D1C5D826008E9C3657
De meme, mtqabunuz.exe a disparu! A la place, j'ai pagdxsivw.exe
Fichier pagdxsivw.exe reçu le 2008.05.28 00:08:30 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 29/32 (90.63%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.28.0 2008.05.27 Win32/Virut.D
AntiVir 7.8.0.19 2008.05.27 W32/Virut.R
Authentium 5.1.0.4 2008.05.27 W32/Virut.10392
Avast 4.8.1195.0 2008.05.27 Win32:Rbot-FRX
AVG 7.5.0.516 2008.05.27 BackDoor.RBot.JG
BitDefender 7.2 2008.05.28 Win32.Virtob.4.Gen
CAT-QuickHeal 9.50 2008.05.26 Backdoor.Rbot.itx
ClamAV 0.92.1 2008.05.27 W32.Virut.Gen.C-55
DrWeb 4.44.0.09170 2008.05.27 Win32.Virut.5
eSafe 7.0.15.0 2008.05.27 Win32.Virut.gen
eTrust-Vet 31.4.5826 2008.05.27 Win32/Virut.10392
Ewido 4.0 2008.05.27 -
F-Prot 4.4.4.56 2008.05.27 W32/Virut.10392
F-Secure 6.70.13260.0 2008.05.27 W32/Virut.O
Fortinet 3.14.0.0 2008.05.27 W32/Virut.F
GData 2.0.7306.1023 2008.05.27 Virus.Win32.Virut.n
Ikarus T3.1.1.26.0 2008.05.27 Backdoor.Win32.SdBot.UF
Kaspersky 7.0.0.125 2008.05.27 Virus.Win32.Virut.n
McAfee 5304 2008.05.27 W32/Virut.gen
Microsoft None 2008.05.27 -
NOD32v2 3136 2008.05.27 Win32/Virut.NAK
Norman 5.80.02 2008.05.27 W32/Virut.O
Panda 9.0.0.4 2008.05.27 W32/Virutas.gen
Prevx1 V2 2008.05.28 Malicious Software
Rising 20.46.12.00 2008.05.27 Win32.Virut.GEN
Sophos 4.29.0 2008.05.27 W32/Vetor-A
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.27 W32.IRCbot
TheHacker 6.2.92.321 2008.05.27 W32/Virut.gen2
VBA32 3.12.6.6 2008.05.27 Virus.Win32.Virut.f
VirusBuster 4.3.26:9 2008.05.27 Win32.Virut.Gen
Webwasher-Gateway 6.6.2 2008.05.27 Win32.Virut.R
Information additionnelle
File size: 116224 bytes
MD5...: 34ba00d85a6375d1c7f7def730bad493
SHA1..: ab9faa112bb25e4712ba622ff574e1bda7c34907
SHA256: 3e9e2a0fda65b8f35a267f9cb8b3bd161ce03deee595ba206278ad310d86cd37
SHA512: 76257ba7a19acca3c785e500841501e712a1e913c3d17879ff072049118eba6f
7b6fcfd68a9d15f80dd802ee3e3f231cc6b6a2f1c0f49867620f199fd4b4e072
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x4c7689
timedatestamp.....: 0xa0a0a0a0L (invalid)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb6000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xb7000 0x11000 0x10800 7.91 7a98a16dffd5fd04edcd6b09b8d6b5eb
.rsrc 0xc8000 0x10000 0xba00 3.87 951d77d1fe0de0827cce2757e3f2a731
( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> PSAPI.DLL: GetModuleFileNameExA
> SHELL32.dll: ShellExecuteA
> USER32.dll: wsprintfA
> VERSION.dll: VerQueryValueA
> WININET.dll: InternetGetConnectedStateEx
> WS2_32.dll: -
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=9F85E69900E14FDDC6EB01D1C5D826008E9C3657
Bref, c'est la mewde, chuis bien infecté :D
Re,
pas une bonne nouvelle du tout !!
Une saleté qui s'attaque aux exe.
Tu as le CD de Windows avec la clé de 25 caractères caractères ?
Mets à jour la base virale de Kaspersky, démarre en mode sans échec et scanne toutes tes partitions avec Kaspersky.
Poste le rapport.
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
pas une bonne nouvelle du tout !!
Une saleté qui s'attaque aux exe.
Tu as le CD de Windows avec la clé de 25 caractères caractères ?
Mets à jour la base virale de Kaspersky, démarre en mode sans échec et scanne toutes tes partitions avec Kaspersky.
Poste le rapport.
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
Kaspersky n'a pas voulu s'installer à cause d'antivir et de bullguard. J'ai viré antivir, mais bullguard, impossible de le jarter!
J'ai donc installé AVG, qui detecte le virus que j'ai (enfin, le rootkit).
J'ai lancé un scan hier soir en mode normal, il m'a trouvé plein de saloperies mais n'était pas encore fini quand je suis parti ce matin. Je verrai ce qu'il me dira ce soir.
Je lancerai un scan en mode sans échec en revenant.
C'est grave si j'utilise AVG et pas kaspersky?
J'ai donc installé AVG, qui detecte le virus que j'ai (enfin, le rootkit).
J'ai lancé un scan hier soir en mode normal, il m'a trouvé plein de saloperies mais n'était pas encore fini quand je suis parti ce matin. Je verrai ce qu'il me dira ce soir.
Je lancerai un scan en mode sans échec en revenant.
C'est grave si j'utilise AVG et pas kaspersky?
Bonjour,
AVG antivirus ou AVG antispyware ?
la gravité, on le verra au résultat;
Kaspersky est capable de réparer une grande partie des fichiers infectés par Virus.Win32.Virut.n .
AVg antispy ne devrait pas faire grand chose.
AVG antivirus, je ne sais pas.
___________
Je voudrais que tu m'expliques comment Antivir (qui n'est pas dans le rapport Hijackthis) empêche l'installation de Kaspersky (que le même rapport montre installé).
Une explication est que tu as déposé la même demande sur un autre forum (ou un autre topic) et que on t'y ait incité à installer antivir.
Si c'est le cas, je voudrais la référence, à la fois parce que on ne pourra pas aboutir comme ça ( 2 stratégies de désinfection) et parce que j'aurais peut être besoin d'échanger avec mon confrère.
AVG antivirus ou AVG antispyware ?
la gravité, on le verra au résultat;
Kaspersky est capable de réparer une grande partie des fichiers infectés par Virus.Win32.Virut.n .
AVg antispy ne devrait pas faire grand chose.
AVG antivirus, je ne sais pas.
___________
Je voudrais que tu m'expliques comment Antivir (qui n'est pas dans le rapport Hijackthis) empêche l'installation de Kaspersky (que le même rapport montre installé).
Une explication est que tu as déposé la même demande sur un autre forum (ou un autre topic) et que on t'y ait incité à installer antivir.
Si c'est le cas, je voudrais la référence, à la fois parce que on ne pourra pas aboutir comme ça ( 2 stratégies de désinfection) et parce que j'aurais peut être besoin d'échanger avec mon confrère.
Je plaide coupable, j'ai installé moi meme antivir en voyant qu'il était capable de détecter et éventuellement de réparer mon bidule.
Mais je l'ai désinstallé, et c'est bullguard qui m'empeche d'installer kaspersky. Quant au fait que ce dernier apparaisse installé, ça doit etre pcq je l'ai installé y'a trèèèèèèèèèèès longtemps et que la désinstallation a du etre faite n'importe comment (j'ai laissé mon pc à un membre de ma famille pendant quelques temps).
Pour le scan, c'est AVG antivirus qui s'en charge en ce moment, mais c'est extraordinairement long! je sais pas si c'est normal ou si le virus ralentit à mort le scan, pcq là ça fait 17h qu'il est dessus, et il a pas encore fini mon c: qui fait 9go, et derrière il lui reste environ 50go de fichiers divers sur mes autres partitions!!!
Mais je l'ai désinstallé, et c'est bullguard qui m'empeche d'installer kaspersky. Quant au fait que ce dernier apparaisse installé, ça doit etre pcq je l'ai installé y'a trèèèèèèèèèèès longtemps et que la désinstallation a du etre faite n'importe comment (j'ai laissé mon pc à un membre de ma famille pendant quelques temps).
Pour le scan, c'est AVG antivirus qui s'en charge en ce moment, mais c'est extraordinairement long! je sais pas si c'est normal ou si le virus ralentit à mort le scan, pcq là ça fait 17h qu'il est dessus, et il a pas encore fini mon c: qui fait 9go, et derrière il lui reste environ 50go de fichiers divers sur mes autres partitions!!!
J'arrivais à le lancer au début, et j'avais essayé d'empecher le processus de se lancer. Le pb c'est que comme il change de nom à chaque fois, bah il se lançait sous un nom différent :(