Infection TR/CRYPT.XPACK.GEN!!!Résolu/Fermé

Question

Bonsoir/bonjour à tous! Antivir me donne des alertes de sécurité concernant ce virus. J'ai alors tou de suite fait un scan complet avec antivir. J'utilise Windows Vista. Voici mon log antivir : Avira AntiVir Personal Report file date: 18 septembre 2008 20:51 Scanning for 1624539 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows Vista Windows version: (plain) [6.0.6000] Boot mode: Normally booted Username: SYSTEM Computer name: THE_BEAST Version information: BUILD.DAT : 8.1.0.331 16934 Bytes 2008-08-12 11:46:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 2008-07-18 12:37:57 AVSCAN.DLL : 8.1.4.0 40705 Bytes 2008-07-18 12:37:56 LUKE.DLL : 8.1.4.5 164097 Bytes 2008-07-18 12:37:57 LUKERES.DLL : 8.1.4.0 12033 Bytes 2008-07-18 12:37:57 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 19:27:15 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 2008-06-24 12:46:13 ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 2008-09-12 12:36:58 ANTIVIR3.VDF : 7.0.6.178 182784 Bytes 2008-09-18 12:35:29 Engineversion : 8.1.1.34 AEVDF.DLL : 8.1.0.5 102772 Bytes 2008-05-09 04:30:27 AESCRIPT.DLL : 8.1.0.76 319867 Bytes 2008-09-18 12:35:34 AESCN.DLL : 8.1.0.23 119156 Bytes 2008-07-17 12:34:17 AERDL.DLL : 8.1.1.2 438644 Bytes 2008-09-18 12:35:33 AEPACK.DLL : 8.1.2.1 364917 Bytes 2008-07-17 12:34:16 AEOFFICE.DLL : 8.1.0.25 196986 Bytes 2008-09-18 12:35:32 AEHEUR.DLL : 8.1.0.59 1438071 Bytes 2008-09-18 12:35:31 AEHELP.DLL : 8.1.0.15 115063 Bytes 2008-05-30 04:27:18 AEGEN.DLL : 8.1.0.36 315764 Bytes 2008-08-19 12:34:40 AEEMU.DLL : 8.1.0.7 430452 Bytes 2008-08-01 12:34:24 AECORE.DLL : 8.1.1.11 172406 Bytes 2008-09-04 12:35:00 AEBB.DLL : 8.1.0.1 53617 Bytes 2008-07-17 12:34:11 AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-18 12:37:57 AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-07-18 12:37:56 AVREP.DLL : 8.0.0.2 98344 Bytes 2008-08-01 12:34:22 AVREG.DLL : 8.0.0.1 33537 Bytes 2008-07-18 12:37:56 AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-05-09 04:30:27 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-07-18 12:37:56 SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-05-09 04:30:27 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-07-18 12:37:57 NETNT.DLL : 8.0.0.1 7937 Bytes 2008-05-09 04:30:27 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-07-18 12:37:55 RCTEXT.DLL : 8.0.52.0 86273 Bytes 2008-07-18 12:37:55 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: C:, D:, Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: 18 septembre 2008 20:51 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'TrustedInstaller.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'GoogleDesktop.exe' - '1' Module(s) have been scanned Scan process 'GoogleDesktop.exe' - '1' Module(s) have been scanned Scan process 'ehmsas.exe' - '1' Module(s) have been scanned Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned Scan process 'ehtray.exe' - '1' Module(s) have been scanned Scan process 'wmpnetwk.exe' - '1' Module(s) have been scanned Scan process 'daemon.exe' - '1' Module(s) have been scanned Scan process 'wmpnscfg.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'rundll32.exe' - '1' Module(s) have been scanned Scan process 'sprtcmd.exe' - '1' Module(s) have been scanned Scan process 'reader_sl.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'winampa.exe' - '1' Module(s) have been scanned Scan process 'GrooveMonitor.exe' - '1' Module(s) have been scanned Scan process 'OEM05Mon.exe' - '1' Module(s) have been scanned Scan process 'GoogleDesktop.exe' - '1' Module(s) have been scanned Scan process 'jusched.exe' - '1' Module(s) have been scanned Scan process 'MSASCui.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'dwm.exe' - '1' Module(s) have been scanned Scan process 'taskeng.exe' - '1' Module(s) have been scanned Scan process 'WmiPrvSE.exe' - '1' Module(s) have been scanned Scan process 'WmiPrvSE.exe' - '1' Module(s) have been scanned Scan process 'WmiPrvSE.exe' - '1' Module(s) have been scanned Scan process 'taskeng.exe' - '1' Module(s) have been scanned Scan process 'WUDFHost.exe' - '1' Module(s) have been scanned Scan process 'SearchIndexer.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'sprtsvc.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'PnkBstrA.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'aawservice.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'rundll32.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'SLsvc.exe' - '1' Module(s) have been scanned Scan process 'audiodg.exe' - '0' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'nvvsvc.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'lsm.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'wininit.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 60 processes with 60 modules were scanned Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Master boot sector HD1 [INFO] No virus was found! [WARNING] System error [21]: Le périphérique n'est pas prêt. [INFO] Please restart the search with Administrator rights Master boot sector HD2 [INFO] No virus was found! [WARNING] System error [21]: Le périphérique n'est pas prêt. [INFO] Please restart the search with Administrator rights Master boot sector HD3 [INFO] No virus was found! [WARNING] System error [21]: Le périphérique n'est pas prêt. [INFO] Please restart the search with Administrator rights Master boot sector HD4 [INFO] No virus was found! [WARNING] System error [21]: Le périphérique n'est pas prêt. [INFO] Please restart the search with Administrator rights Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'D:\' [INFO] No virus was found! Starting to scan the registry. The registry was scanned ( '46' files ). Starting the file scan: Begin scan in 'C:\' C:\hiberfil.sys [WARNING] The file could not be opened! C:\pagefile.sys [WARNING] The file could not be opened! C:\$Recycle.Bin\S-1-5-21-4275956218-1293401881-2654416023-1000\$RZJCRL0.5\modules\d2loader\loader.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was deleted! C:\Program Files\Diablo 2\Diablo II.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4933fae1.qua'! C:\Users\Benny\Desktop\Setup D2\D2Loader_v1.11b_(Dec_29_2006).zip [0] Archive type: ZIP --> D2Loader-1.11b.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '491efec1.qua'! C:\Users\Benny\Documents\Mes fichiers reçus\hacks-d2loader-d2loader_v1.12_(Jun_18_2008).zip [0] Archive type: ZIP --> D2Loader-1.12.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4935ff0d.qua'! C:\Windows\System32\drivers\sptd.sys [WARNING] The file could not be opened! Begin scan in 'D:\' End of the scan: 18 septembre 2008 21:33 Used time: 41:42 Minute(s) The scan has been done completely. 19258 Scanning directories 405495 Files were scanned 4 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 1 files were deleted 0 files were repaired 3 files were moved to quarantine 0 files were renamed 3 Files cannot be scanned 405488 Files not concerned 2002 Archives were scanned 7 Warnings 4 Notes Et voici HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:38:00, on 2008-09-18 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16711) Boot mode: Normal Running processes: C:\Windows\system32 askeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\Windows\OEM05Mon.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Dell Support Center\bin\sprtcmd.exe C:\Windows\System32 undll32.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\program files\avira\antivir personaledition classic\avcenter.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Windows\system32\conime.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Windows\System32 otepad.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [ECenter] C:\Dell\E-Center\EULALauncher.exe O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe" O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s O4 - HKLM\..\Run: [OEM05Mon.exe] C:\Windows\OEM05Mon.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU') O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/res[...]NPUpldfr-ca.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/Drive[...]/sysreqlab2.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32 vvsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

Destrio5 · Answer

Salut,

---> Désactive l'UAC le temps de la désinfection :
http://www.commentcamarche.net/faq/sujet 13213 desactiver l uac de windows vista

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

bennyman · Answer

Voici mon log de ComboFix. J'ai bien pris soin de déconnecter internet et de désactiva Antivir.

ComboFix 08-09-16.05 - Benny 2008-09-18 22:21:43.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6000.0.1252.1.1036.18.2271 [GMT -4:00]
Lancé depuis: C:\Users\Benny\Desktop\ComboFix.exe
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Users\Benny\AppData\Local\Microsoft\Windows\Temporary Internet Files\ijjistarter_verinfo.dat

.
(((((((((((((((((((((((((((((   Fichiers créés du 2008-08-19 au 2008-09-19  ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-19 01:06	---------	d-----w	C:\Program Files\Trend Micro
2008-09-19 01:03	---------	d-----w	C:\Program Files\Diablo 2
2008-09-19 00:50	---------	d-----w	C:\Program Files\Steam
2008-09-19 00:50	---------	d-----w	C:\Program Files\Common Files\Steam
2008-09-14 08:56	---------	d-----w	C:\ProgramData\Spybot - Search & Destroy
2008-09-14 08:55	---------	d-----w	C:\Program Files\Spybot - Search & Destroy
2008-09-10 07:02	---------	d-----w	C:\ProgramData\Microsoft Help
2008-09-08 01:17	137,656	----a-w	C:\Windows\system32\drivers\PnkBstrK.sys
2008-09-08 01:17	111,928	----a-w	C:\Windows\System32\PnkBstrB.exe
2008-08-15 07:10	---------	d-----w	C:\Program Files\Windows Mail
2008-08-06 23:49	---------	d--h--r	C:\Users\Benny\AppData\Roaming\SecuROM
2008-08-06 22:46	---------	d-----w	C:\Program Files\EA GAMES
2008-08-04 07:44	---------	d-----w	C:\Users\Benny\AppData\Roaming\LimeWire
2008-08-04 05:14	---------	d-----w	C:\Program Files\YouTube Downloader
2008-08-03 22:41	---------	d-----w	C:\Users\Benny\AppData\Roaming\mIRC
2008-08-03 17:07	---------	d-----w	C:\Program Files\mIRC
2008-07-31 03:34	537,600	----a-w	C:\Windows\AppPatch\AcLayers.dll
2008-07-31 03:34	449,536	----a-w	C:\Windows\AppPatch\AcSpecfc.dll
2008-07-31 03:34	28,160	----a-w	C:\Windows\System32\Apphlpdm.dll
2008-07-31 03:34	2,144,256	----a-w	C:\Windows\AppPatch\AcGenral.dll
2008-07-31 03:34	173,056	----a-w	C:\Windows\AppPatch\AcXtrnal.dll
2008-07-31 03:34	1,686,528	----a-w	C:\Windows\System32\gameux.dll
2008-07-30 23:47	4,247,552	----a-w	C:\Windows\System32\GameUXLegacyGDFs.dll
2008-07-30 23:32	2,560	----a-w	C:\Windows\AppPatch\AcRes.dll
2008-07-28 07:22	---------	d-----w	C:\Users\Benny\AppData\Roaming\Ventrilo
2008-07-28 05:47	---------	d-----w	C:\Program Files\Ventrilo
2008-07-28 05:46	---------	d-----w	C:\Program Files\Common Files\Wise Installation Wizard
2008-07-20 22:38	21,840	----atw	C:\Windows\System32\SIntfNT.dll
2008-07-20 22:38	17,212	----atw	C:\Windows\System32\SIntf32.dll
2008-07-20 22:38	12,067	----atw	C:\Windows\System32\SIntf16.dll
2008-07-20 22:28	2,829	----a-w	C:\Windows\DIIUnin.pif
2008-07-20 22:28	102,400	----a-w	C:\Windows\DIIUnin.exe
2008-07-20 22:02	---------	d-----w	C:\Program Files\Sun
2008-07-20 22:02	---------	d-----w	C:\Program Files\Java
2008-07-19 05:10	53,448	----a-w	C:\Windows\System32\wuauclt.exe
2008-07-19 05:10	45,768	----a-w	C:\Windows\System32\wups2.dll
2008-07-19 05:10	36,552	----a-w	C:\Windows\System32\wups.dll
2008-07-19 05:09	563,912	----a-w	C:\Windows\System32\wuapi.dll
2008-07-19 05:09	1,811,656	----a-w	C:\Windows\System32\wuaueng.dll
2008-07-19 03:44	83,456	----a-w	C:\Windows\System32\wudriver.dll
2008-07-19 03:44	1,524,736	----a-w	C:\Windows\System32\wucltux.dll
2008-07-19 02:08	163,904	----a-w	C:\Windows\System32\wuwebv.dll
2008-07-19 00:44	31,232	----a-w	C:\Windows\System32\wuapp.exe
2008-07-15 23:48	2,048	----a-w	C:\Windows\System32	zres.dll
2008-07-09 07:11	174	--sha-w	C:\Program Files\desktop.ini
2008-06-27 03:54	826,368	----a-w	C:\Windows\System32\wininet.dll
2008-06-27 03:54	56,320	----a-w	C:\Windows\System32\iesetup.dll
2008-06-27 03:54	52,736	----a-w	C:\Windows\AppPatch\iebrshim.dll
2008-06-27 03:54	26,624	----a-w	C:\Windows\System32\ieUnatt.exe
2008-06-26 00:34	7,964,672	----a-w	C:\Windows\System32\NlsLexicons0024.dll
2008-06-26 00:33	9,892,864	----a-w	C:\Windows\System32\NlsLexicons000a.dll
2008-06-19 03:25	61,440	----a-w	C:\Windows\System32\winipsec.dll
2008-06-19 03:25	361,984	----a-w	C:\Windows\System32\IPSECSVC.DLL
2008-06-19 03:25	28,672	----a-w	C:\Windows\System32\FwRemoteSvr.dll
2008-06-19 03:25	272,896	----a-w	C:\Windows\System32\polstore.dll
2008-04-10 22:20	268	----a-w	C:\Users\Benny\AppData\Roaming\wklnhst.dat
2008-04-04 23:08	22,328	----a-w	C:\Users\Benny\AppData\Roaming\PnkBstrK.sys
2008-04-03 03:29	76	--sh--r	C:\Windows\CT4CET.bin
.

(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellSupportCenter"="C:\Program Files\Dell Support Center\bin\sprtcmd.exe" [2008-02-13 202544]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-26 68856]
"Steam"="C:\Program Files\Steam\Steam.exe" [2008-07-05 1271032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ECenter"="C:\Dell\E-Center\EULALauncher.exe" [2008-01-18 17920]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2007-09-25 141848]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2007-09-25 154136]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2007-09-25 129560]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-03-26 1838592]
"dscactivate"="C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-02-13 16384]
"DELL Webcam Manager"="C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]
"OEM05Mon.exe"="C:\Windows\OEM05Mon.exe" [2007-05-08 36864]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-04-01 36352]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"DellSupportCenter"="C:\Program Files\Dell Support Center\bin\sprtcmd.exe" [2008-02-13 202544]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-05-16 13535776]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-05-16 92704]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{A440DD20-EE14-45E8-84F8-068A29D096BC}"= UDP:C:\Program Files\Common Files\McAfee\MNA\McNASvc.exe:McAfee Network Agent
"{9E449B69-37B7-42A0-9E11-F873D77E7BA3}"= TCP:C:\Program Files\Common Files\McAfee\MNA\McNASvc.exe:McAfee Network Agent
"{88F4FF35-FB26-4798-9966-943443496B79}"= UDP:C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:Crysis_32
"{E70FFB7F-D4E1-4120-8F16-235D1088F029}"= TCP:C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:Crysis_32
"{B1FDCB30-A6E0-4236-9F8C-D8827BED34F9}"= UDP:C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32
"{50453C5B-EB2C-4D3B-A7ED-39D5B8FE0FF8}"= TCP:C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32
"{1562890D-09B2-41D8-975B-D5F94C6E5A1A}"= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{9FEC18EB-44BB-4063-A470-8C279855CA08}"= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{77D3976E-FB7D-4BF3-8C5B-3ED466EB102D}"= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{E2FE66E9-9D79-4D82-B116-304924B5C1AD}"= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{4231675A-2DBC-4D83-8C2E-C75A94FF0AD1}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{4596F414-BC7C-4A61-9A51-87CF65485FF9}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{78DD5A35-1D74-4175-B4FD-5FCA1954711E}"= UDP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{363E676F-9098-49ED-AF66-0A2E4EC6A066}"= TCP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{46B6CF1F-A89B-48FD-A9CF-1AB6BF74422D}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{A62791F2-11F6-4A39-8500-D1B75486FC28}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{9BE0D28E-765A-4F63-A1B0-3AC8FF8B8926}C:\program files\electronic arts\need for speed carbon\nfsc.exe"= UDP:C:\program files\electronic arts
eed for speed carbon
fsc.exe:NFSC
"UDP Query User{8A596A00-F254-47E6-99AB-6751BF6279AC}C:\program files\electronic arts\need for speed carbon\nfsc.exe"= TCP:C:\program files\electronic arts
eed for speed carbon
fsc.exe:NFSC
"{C1C63ED6-7FA0-4513-9BFC-FA06A249B5F7}"= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{527C4592-1A23-4137-AA1A-817D93D7AC4C}"= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{DA97B3C8-F9EF-4036-BC56-91E49BCEDF23}"= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{58924DB6-C1AA-4ECC-9834-7D1ECB56FA3A}"= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{F2795195-A0AF-42A6-9727-2702F9BF0E2C}"= UDP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{4A4EBF7E-0B35-4492-A09D-5FC54515B218}"= TCP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"TCP Query User{75E3565B-9A20-4B96-BE13-5C7DF460F1C0}C:\program files\electronic arts\crytek\crysis\bin32\crysis.exe"= UDP:C:\program files\electronic arts\crytek\crysis\bin32\crysis.exe:Crysis
"UDP Query User{638196BB-2CE3-418B-9CBB-A98B854CDA8A}C:\program files\electronic arts\crytek\crysis\bin32\crysis.exe"= TCP:C:\program files\electronic arts\crytek\crysis\bin32\crysis.exe:Crysis
"TCP Query User{D7DD2220-DE6C-409F-B53C-E6D39B957908}C:\program files\limewire\limewire.exe"= UDP:C:\program files\limewire\limewire.exe:LimeWire
"UDP Query User{9F5325E1-7BEB-4A72-8E8D-9C11CD2B893B}C:\program files\limewire\limewire.exe"= TCP:C:\program files\limewire\limewire.exe:LimeWire
"TCP Query User{87C2CBD5-A186-419A-9621-0421BCBE6722}C:\program files\stepmania cvs\program\stepmania.exe"= UDP:C:\program files\stepmania cvs\program\stepmania.exe:StepMania
"UDP Query User{E648727D-FF6C-43BC-8B1E-2AE374443370}C:\program files\stepmania cvs\program\stepmania.exe"= TCP:C:\program files\stepmania cvs\program\stepmania.exe:StepMania
"TCP Query User{C679A784-D317-43B9-8303-CD3A592E809A}C:\ijji\english\gunbound revolution\gunbound.gme"= UDP:C:\ijji\english\gunbound revolution\gunbound.gme:GunBound
"UDP Query User{5EC622D6-F520-4280-A46C-66F3927D97AC}C:\ijji\english\gunbound revolution\gunbound.gme"= TCP:C:\ijji\english\gunbound revolution\gunbound.gme:GunBound
"TCP Query User{5A01F1A4-CABE-470A-8B5C-9C90112B6077}C:\kav\kis7.0\french\setup.exe"= UDP:C:\kav\kis7.0\french\setup.exe:Programme d'installation de Kaspersky Internet Security 7.0
"UDP Query User{F34DEB29-8DF6-4C45-9903-31D09A5A3648}C:\kav\kis7.0\french\setup.exe"= TCP:C:\kav\kis7.0\french\setup.exe:Programme d'installation de Kaspersky Internet Security 7.0
"TCP Query User{4F41D018-D3BA-49E7-B295-0C380B3ABBC4}C:\program files\mirc\mirc.exe"= UDP:C:\program files\mirc\mirc.exe:mIRC
"UDP Query User{B3E1621D-483F-4FDA-8ED6-6F1213B42CC4}C:\program files\mirc\mirc.exe"= TCP:C:\program files\mirc\mirc.exe:mIRC
"TCP Query User{38ACEC84-0E99-4E0C-BC7A-25580249FD70}C:\users\benny\desktop\redvex_3.2_2-25-08\redvex 3.2 2-25-08\rv-2.exe"= UDP:C:\users\benny\desktopedvex_3.2_2-25-08edvex 3.2 2-25-08v-2.exe:rv-2.exe
"UDP Query User{37529011-3D8F-47FB-A32D-D3AF2A27676E}C:\users\benny\desktop\redvex_3.2_2-25-08\redvex 3.2 2-25-08\rv-2.exe"= TCP:C:\users\benny\desktopedvex_3.2_2-25-08edvex 3.2 2-25-08v-2.exe:rv-2.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R3 OEM05Afx;Provides a software interface to control audio effects of OEM005 camera.;C:\Windows\system32\Drivers\OEM05Afx.sys [2007-06-07 141376]
R3 OEM05Vfx;Creative Camera OEM005 Video VFX Driver;C:\Windows\system32\DRIVERS\OEM05Vfx.sys [2007-03-05 7424]
R3 OEM05Vid;Creative Camera OEM005 Driver;C:\Windows\system32\DRIVERS\OEM05Vid.sys [2007-07-19 235616]
R3 RLDesignVirtualAudioCableWdm;Live! Cam Virtual;C:\Windows\system32\DRIVERS\livecamv.sys [2007-01-15 31616]
S3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\Windows\system32\DRIVERS\AN983.sys [2005-01-13 39040]
S3 Steam Client Service;Steam Client Service;C:\Program Files\Common Files\Steam\SteamService.exe [2008-09-17 92656]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a27bab3-fb69-11dc-970a-806e6f6e6963}]
\shell\AutoRun\command - E:\Autorun.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.ca/
O8 -: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-18 22:23:51
Windows 6.0.6000  NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-09-18 22:25:00
ComboFix-quarantined-files.txt  2008-09-19 02:24:57

Avant-CF: Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
AprŠs-CF: 185,991,938,048 octets libres

185	--- E O F ---	2008-09-17 05:10:13

Destrio5 · Answer

- Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer)

- En bas à droite, clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche, clique sur J'accepte

- Accepte les Contrôles ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport

- Pour t'aider à utiliser le scan en ligne :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

- Lis ceci en cas de problème d'installation du Contrôle ActiveX :
http://cybersecurite.xooit.com/t123-Les-controles-ActiveX.htm

bennyman · Answer

http://img295.imageshack.us/img295/3802/scanho4.jpg

Pas eu l'option pour sauvegarder le rapport...

Mais le scan n'a rien trouvé de malicieux..

Destrio5 · Answer

J'avais pas fait gaffe que tu avais Vista car normalement Vista n'est pas compatible avec le scan en ligne Kaspersky.

bennyman · Answer

Le scan a fonctionné, mais pas le rapport..

Y-a-t-il une autre étape?

Destrio5 · Answer

- Crée un fichier Bloc-notes avec le texte qui se trouve ci-dessous (copie/colle): 



Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a27bab3-fb69-11dc-970a-806e6f6e6963}] 



- Enregistre ce fichier dans : Bureau
- Nom du fichier : fix.reg
- Type : tous les fichiers !!
- Clique sur Enregistrer
- Quitte le Bloc-notes

Utilisation du fichier : fix.reg :
Double-clique sur le fichier (Bureau) / Accepte l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valide le message disant que la fusion est terminée.

bennyman · Answer

Ok c'est fait, quel était le but de cette manip?

Et quelle est la prochaine?

Merci encore de ton aide :)

Destrio5 · Answer

Refais un scan avec Antivir.

bennyman · Answer

C'est fait, je l'ai fait en mode sans échec, et le rapport est négatif! Aucune détections.


J'ai une question: 

l'on m'a dit que ComboFix était une vrai tronconneuse et qu'il fallait utiliser ce programe qu'en dernier recours.

Plusieurs plantages de PC ont été causés par Combo.

Pour ma part, tout semble rouler nickel, seulement quelques problèmes :

http://img48.imageshack.us/img48/1224/hmmlk8.jpg

L'interface de mon gestionnaire semble avoir changé..je n'ai plus accès aux autres onglets...Peut-être est-ce dû à la Tronçonneuse? (Combofix)

Je semble aussi avoir perdu mes comptes dans le jeu call of duty 4, tout a été supprimé..bizarre.

Destrio5 · Answer

Pour le gestionnaire des tâches, double-clique dessus et les onglets reviendront.

ComboFix n'a pas supprimé tes sauvegardes.

bennyman · Answer

J'ai exactement le même problème que cet utilisateur.

Il provient du ficher d2loader moi aussi..

http://www.commentcamarche.net/forum/affich 8497974 trojan tr crypt xpack gen

Peut-être un faut positif?

Parce que ça fait longtemps que j'utilise ce programme, sans aucune détection...

totobetourne · Answer

excusez moi de la parenthese.

oubli important. c etait a faire au tout debut.

pour vista si infection.

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

http://www.laboratoire-microsoft.org/tips-23933-desactiver-uac-vista.html 



je te conseillerai aussi cela.

Ensuite,
*Rends toi sur ce site :

https://www.virustotal.com/gui/

*Clique sur "Parcourir" et cherche ce fichier : C:\Windows\OEM05Mon.exe 
*Un rapport va s'élaborer ligne à ligne.
*Attends la fin. Il doit comprendre la taille du fichier envoyé.
*Sauvegarde le rapport avec le bloc-note.
*Copie le dans ta réponse.
*Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Reanalyse" le fichier maintena

bennyman · Answer

L'uAC était déjà désactivé.

Voici pour virustotal: 

Fichier OEM05Mon.exe reçu le 2008.09.19 23:59:20 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 1/36 (2.78%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 4.
L'heure estimée de démarrage est entre 52 et 75 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.9.19.2 2008.09.19 - 
AntiVir 7.8.1.34 2008.09.19 - 
Authentium 5.1.0.4 2008.09.19 - 
Avast 4.8.1195.0 2008.09.19 - 
AVG 8.0.0.161 2008.09.19 - 
BitDefender 7.2 2008.09.19 - 
CAT-QuickHeal 9.50 2008.09.19 - 
ClamAV 0.93.1 2008.09.19 - 
DrWeb 4.44.0.09170 2008.09.19 - 
eSafe 7.0.17.0 2008.09.18 - 
eTrust-Vet 31.6.6095 2008.09.19 - 
Ewido 4.0 2008.09.19 - 
F-Prot 4.4.4.56 2008.09.19 - 
F-Secure 8.0.14332.0 2008.09.19 - 
Fortinet 3.113.0.0 2008.09.19 - 
GData 19 2008.09.19 - 
Ikarus T3.1.1.34.0 2008.09.19 - 
K7AntiVirus 7.10.464 2008.09.19 - 
Kaspersky 7.0.0.125 2008.09.19 - 
McAfee 5388 2008.09.19 - 
Microsoft 1.3903 2008.09.19 - 
NOD32v2 3457 2008.09.19 - 
Norman 5.80.02 2008.09.19 - 
Panda 9.0.0.4 2008.09.19 - 
PCTools 4.4.2.0 2008.09.19 - 
Prevx1 V2 2008.09.20 Suspicious 
Rising 20.62.42.00 2008.09.19 - 
Sophos 4.33.0 2008.09.19 - 
Sunbelt 3.1.1651.1 2008.09.19 - 
Symantec 10 2008.09.19 - 
TheHacker 6.3.0.9.087 2008.09.18 - 
TrendMicro 8.700.0.1004 2008.09.19 - 
VBA32 3.12.8.5 2008.09.19 - 
ViRobot 2008.9.19.1383 2008.09.19 - 
VirusBuster 4.5.11.0 2008.09.19 - 
Webwasher-Gateway 6.6.2 2008.09.19 - 
Information additionnelle 
File size: 36864 bytes 
MD5...: 924df421b6c94d2bfffdd22ccdcb3753 
SHA1..: 95d80cd70ef6e27542cb1ff4f47cf0e052598e7f 
SHA256: 5e333167f85cfd4e285416ec426b17c9a00eb93ddeee70989f57b9dc4bd9a48c 
SHA512: 8a81157415583dc4b81eed3eea45a8ea8ae553f7b73d5de32379ce7618e1f5b3
d3a441e1b633ecb324f6282c79b0018ccfb38712baebf020738998afebe55f2d 
PEiD..: - 
TrID..: File type identification
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402dae
timedatestamp.....: 0x4641239a (Wed May 09 01:27:54 2007)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2014 0x3000 4.66 556bb6533b1b5c33ef339ae765c87dc1
.rdata 0x4000 0x95a 0x1000 3.43 284adec0e6fb19a0f901ffd5d0bd29dd
.data 0x5000 0x1d4 0x1000 0.95 e3aff20c2eabba8387f4814ff62827e1
.sxdata 0x6000 0x4 0x1000 0.00 e0f6821e0906d569a9a3e873c22c4d70
PAGECONS 0x7000 0x10 0x1000 0.05 b108dd9efebe4d7ac76987fad2d0aa36
.rsrc 0x8000 0x3b0 0x1000 0.94 e2f31381cd3ca9d7815379a2765cdfd2

( 7 imports ) 
> KERNEL32.dll: Sleep, IsBadReadPtr, HeapFree, CreateFileA, DuplicateHandle, GetCurrentThread, GetCurrentProcess, lstrcatA, HeapAlloc, GetProcessHeap, GetTickCount, lstrcmpiA, lstrcpyA, lstrlenA, WaitForSingleObject, Process32Next, Process32First, CreateToolhelp32Snapshot, WaitForMultipleObjects, CreateMutexA, GetWindowsDirectoryA, GetFullPathNameA, GetModuleFileNameA, GetVersionExA, GetExitCodeProcess, CreateProcessA, ResetEvent, SetEvent, CreateEventA, GetLastError, OpenProcess, CloseHandle, GetStartupInfoA
> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, exit, _initterm, _cexit, _XcptFilter, _exit, _c_exit, _beginthread, _endthread, __getmainargs, _acmdln, __setusermatherr
> SHLWAPI.dll: StrStrIA
> SETUPAPI.dll: SetupDiEnumDeviceInterfaces, SetupDiGetDeviceRegistryPropertyA, SetupDiGetClassDevsExA, SetupDiEnumDeviceInfo, SetupDiGetClassDevsA, SetupDiDestroyDeviceInfoList, SetupDiGetDeviceInterfaceDetailA, SetupDiOpenDevRegKey
> USER32.dll: PostQuitMessage, GetWindowLongA, DispatchMessageA, TranslateMessage, IsDialogMessageA, IsWindow, GetMessageA, CreateDialogParamA, BroadcastSystemMessageA, RegisterWindowMessageA, DestroyWindow, PostMessageA, SetWindowLongA
> ADVAPI32.dll: RegCloseKey, RegSetValueExA, RegDeleteValueA, RegOpenKeyExA, RegQueryValueExA
> ksproxy.ax: KsSynchronousDeviceControl

( 0 exports ) 
 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=FD17F7CC0030E108906400A182BC7F00C65FF3F1

bennyman · Answer

De toute façon, je suis pas mal sûr qu'il s'agit d'un faut positif..

Destrio5 · Answer

On dirait que oui.

bennyman · Answer

Le seul problème....c'est que Avira n'arrête pas avec ses maudites alertes lorsqeue je veux utiliser le fichier...

comment arrêter cela?

bennyman · Answer

Après une MAJ sournoise de Antivir, le tout est rentré dans l'ordre!

Merci de votre aide, il s'agissait bel et bien d'un faux positif!

Destrio5 · Answer

Et voilà ;)

Infection TR/CRYPT.XPACK.GEN!!!

19 réponses

Discussions similaires

Newsletters