Se connecter / S'enregistrer
Votre question

Processus iexplore se lance automatiquement

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Juillet 2010 20:24:28

Salut à tous,

donc, je rencontre depuis quelques jours ce fameux problème: 2, voir 3 processus "iexplore" se lancent automatiquement, & environ toutes les 5-10 minutes, il y a un Internet explorer qui s'ouvre, & me renvoie sur une page de pub.

Je kill les processus, et ceux-ci, bien-sûr, reviennent dans les secondes... donc ça ressemble fort à un virus.

J'ai scanné via :
Malwarebytes' Anti-Malware

Spybot - Search & Destroy

SpywareBlaster

Ad-Aware

+ quelques scans online & mon antivirus de base : Avast

le tout étant à jour... & ils ne trouvent rien d'anormal,... :whistle: 
d'où ma demande d'aide dans ce forum...

merci d'avance aux helpers pour leur aide & conseils,,

@+,,

Autres pages sur : processus iexplore lance automatiquement

15 Juillet 2010 20:29:50

Hello,


Spybot - Search & Destroy
SpywareBlaster
Ad-Aware


Tout d'abors, si tu as encore ces 3 antispy , désinstalle les tous depuis le panneau de config ! ... A part te ralentir la navigation et le systeme , il ne te seront d'aucune aide et d'aucune utilité ! ...



Infection T.Vilsel fort possible ...




Puis fait ce qui suit pour avoir un diagnostique précis de la situation :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarataine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


    16 Juillet 2010 01:16:39

    Hello,,
    merci sKe,, j'étais de soirée... je mettrai les rapports à jour dans la journée, & j'éditerai ce message en donnant les résults,,
    @+,,
    Contenus similaires
    16 Juillet 2010 01:37:37

    non,


    édite rien ! ... c'est le meilleur moyen pour que je passe à côté !


    poste le rapport demandé dans ta prochaine réponse ... merci ....
    16 Juillet 2010 01:47:54

    ça roule, le couche-tard,, ;) 
    & merci à toi, par avance... tu sembles parti pour m'aider, c'est sympa,, :) 
    juste à titre d'info, je ne suis pas complètement newbie en informatique... mais les étapes complètes que tu auras (comme à ton habitude) détaillées & qui suivront, serviront, je l'espère, pour en dépatouiller d'autres,,
    je ferai un topo demain sur les manips déjà faites,,
    bonne fin de soirée,
    l8tr,,
    16 Juillet 2010 18:25:32

    hello,


    PC pourri jusqu'à l'os ! ... :pfff: 

    j'espère que tu ne tiens pas de compte bancaire avec cet ordi ...

    Pas étonnant avec une version piraté de Windows !
    info à prendre en compte :
    http://www.commentcamarche.net/faq/sujet-2981-windows-j...
    Pour légaliser ton Windows > http://www.commentcamarche.net/faq/4550-windows-legalis...


    et de plus , quand on vois cela , on ce demande si tu ne fais pas exprès :

    Citation :
    D:\Backup\MesDocs\Downloads\HDD Regenerator 1.71\HDD Regenerator 1.71\CRACK HDD Regenerator v1.71\HDD Regenerator.exe
    D:\Backup\MesDocs\Downloads\HDD Regenerator 1.71\HDD Regenerator 1.71\CRACK HDD Regenerator v1.71\hddreg.exe
    D:\Downloads\OneManBand\One Man Band v7.1\crack\omb.exe
    D:\Récup 2\Divers\HTML dictionary\soft\Ultraedit 13.20a\keygen.exe
    D:\Utils\Maintenance\Disque Dur\hddregeneratorv1.51crackdevotion\HDD.Regenerator.v1.51-DVT\DVT\HDD Regenerator.exe
    D:\Utils\Maintenance\Disque Dur\hddregeneratorv1.51crackdevotion\HDD.Regenerator.v1.51-DVT\DVT\key.txt
    D:\Utils\Maintenance\Disque Dur\hddregeneratorv1.51crackdevotion\HDD.Regenerator.v1.51-DVT\dvt.nfo
    D:\Utils\Maintenance\Disque Dur\hddregeneratorv1.51crackdevotion\HDD.Regenerator.v1.51-DVT\file_id.diz
    D:\Utils\Maintenance\Disque Dur\hddregeneratorv1.51crackdevotion.zip
    D:\Utils\Maintenance\Disque Dur\partitionmagicv8.0frenchcracksupergege\Crack.exe
    D:\Utils\Maintenance\Disque Dur\partitionmagicv8.0frenchcracksupergege.zip
    D:\Utils\Old\Adobe.Photoshop.Cs.V.8.01.(Version.Originale.Française).-.Fonctionnel.-.14.Jan.2004\crack\tw10122.dat
    D:\Utils\Old\Adobe.Photoshop.Cs.V.8.01.(Version.Originale.Française).-.Fonctionnel.-.14.Jan.2004\Setup\Adobe Photoshop CS- FRancais-le-bon\crack\tw10122.dat
    D:\Utils\Old\Adobe.Photoshop.Cs.V.8.01.(Version.Originale.Française).-.Fonctionnel.-.14.Jan.2004\Setup\crack\tw10122.dat
    D:\Utils\Old\Canal+\Divers\CriCrack_0803.zip
    D:\Utils\Old\Clone CD v5.0.2.2\Old\clonecdv5.0.2.2crack.zip
    D:\Utils\Old\Clone CD v5.0.2.2\Old\clonecdv5.0.2.2cracksnd\CloneCD.exe
    D:\Utils\Old\Clone CD v5.0.2.2\Old\clonecdv5.0.2.2cracksnd.zip
    D:\Utils\Old\Clone CD v5.0.2.2\Old\Cracked\CloneCD.exe
    D:\Utils\Old\Clone CD v5.0.2.2\slysoftclonecdv5.2.1.1regfileyag\crack\CloneCD.reg
    D:\Utils\Old\Clone CD v5.0.2.2\slysoftclonecdv5.2.1.1_crack\CloneCD.reg
    D:\Utils\Old\Conversion\WMA en MP3\dBPowerAMP Music Converter 11.5\crack\crack.exe
    D:\Utils\Old\Conversion\WMA en MP3\dBPowerAMP Music Converter 11.5\crack\Replace_BMP.zip
    D:\Utils\Old\Crack_for_WinRar_3.30.exe
    E:\Récup\Hacking Tools\Newbie Cracking Tutorials.rar
    J:\Adobe Collection\keygen CS5.rar
    J:\Adobe Collection\keygen.exe
    J:\Adobe Photoshop CS- FRancais-le-bon\crack\tw10122.dat
    J:\Divers\HTML dictionary\soft\Ultraedit 13.20a\keygen.exe
    J:\Downloads\FlashFXP 3.6.0 (Build 1240)\Crack & Serial\FlashFXP.exe
    J:\Downloads\IK.Multimedia.T-RackS.Deluxe.v.3.1.1.VST.RTAS.Incl.KeyGen-DYNAMiCS\KeyGen.exe
    J:\Downloads\IK.Multimedia.T-RackS.Deluxe.v.3.1.1.VST.RTAS.Incl.KeyGen-DYNAMiCS\T-RackS 3 Deluxe\Install T-RackS 3 Deluxe.exe
    J:\Jeux\Syberia\vol. I\syberia1.0crackinferno.zip


    -> je te conseille FORTEMENT de virer toutes ces merdes ! ... la plus part des infections de ton PC viennent de là !




    bref, on va essayer de te sortir de cette mouise ...


    Commence par ceci dans l'ordre :


    1- vire ces deux saloperies depuis le panneau de config / "ajout et supp de prg" :

    SpyHunter
    Spyware Cease v6.4.0


    se sont des fakes ! ( faux log de sécurité / arnaque )
    > http://forums.malwarebytes.org/index.php?showtopic=4764...
    > http://assiste.com.free.fr/p/craptheque/spyhunter.html


    ==========================

    2- Les logiciels d'émulation de CD ( comme Daemon Tools ) peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    > http://www.jpshortstuff.247fixes.com/Defogger.exe>
    * Lance le .
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande
    * Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


    =========================

    3- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    O4 - HKLM\..\Run: [SpywareCease.exe] . (.QW Computer - Spyware Cease Antispyware Program.) -- C:\Program Files\Spyware Cease\SpywareCease.exe
    O4 - HKLM\..\Run: [SCHelper.exe] . (.QW Computer - Spyware Cease Helper.) -- C:\Program Files\Spyware Cease\SCHelper.exe
    O43 - CFD:Common File Directory ----D- C:\Program Files\Spybot - Search & Destroy
    O43 - CFD:Common File Directory ----D- C:\Program Files\Spyware Cease
    O43 - CFD:Common File Directory ----D- C:\Program Files\SpywareBlaster
    O43 - CFD:Common File Directory ----D- C:\Program Files\Enigma Software Group
    O44 - LFC:[MD5.447356AA9EBC41DD5E03AD381E19B9D0] - 16/07/2010 - 16:18:42 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\scud.udf [42]
    O44 - LFC:[MD5.CBD3A6FD0CC383FC506371EBE1A1F266] - 16/07/2010 - 16:18:24 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\drivers\RKHit.sys [34736]
    O47 - AAKE:Key Export SP - "C:\Documents and Settings\Guibs\Mes documents\svn_ufo\ufo_ded.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Documents and Settings\Guibs\Mes documents\svn_ufo\ufo_ded.exe
    O58 - SDL:[MD5.CBD3A6FD0CC383FC506371EBE1A1F266] - 08/07/2009 - 09:20:02 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\RKHit.sys
    O64 - Services: CurCS - C:\WINDOWS\system32\drivers\RKHit.sys - RkHit (RkHit) .(.Pas de propriétaire - Pas de description.) - LEGACY_RKHIT
    O64 - Services: CurCS - C:\PROGRA~1\Enigma Software Group\SpyHunter\SH4Service.exe - SpyHunter 4 Service (SpyHunter 4 Service) .(.Enigma Software Group USA, LLC. - Service scanner interface.) - LEGACY_SPYHUNTER_4_SERVICE
    [HKCU\Software\BitDefender]
    [HKCU\Software\Lavasoft]
    [HKCU\Software\Spyware Cease]
    [HKLM\Software\EnigmaSoftwareGroup]
    [HKLM\Software\Lavasoft]
    [HKLM\Software\Trad-FR]



    > Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ============================

    4- Télécharge bootkit_remover :
    > http://www.esagelab.com/files/bootkit_remover.rar

  • Extrait le contenu de l'archive sur ton bureau .
  • ! Désactive ton antivirus et ferme toutes applications en cours !
  • Lance l'outil.
  • Une fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...


    note :
    pour copier/coller cette fenêtre, cliquer droit sur la fenêtre DOS / choisir "sélectionné tout"



    Un fois le rapport sélectionné, il faut taper de suite sur [entrée] et le rapport est directement "copier" ....

    Il suffit ensuite de le "coller" sur le forum ...
    16 Juillet 2010 19:07:02

    re, Ske,,

    Citation :
    PC pourri jusqu'à l'os ! ...
    < bah,, je teste pas mal de trucs, c'est exact... ^^

    Citation :
    j'espère que tu ne tiens pas de compte bancaire avec cet ordi ...
    < non ! :) 

    Citation :
    Pas étonnant avec une version piraté de Windows !
    < j'avoue, j'avoue... :sweat: 

    bon, concernant nos manips,, voici les résults :

    1- SpyHunter < supprimé
    Spyware Cease v6.4.0 < supprimé


    2- Defogger (désactive les lecteurs virtuels) < fait !

    3- ZHPFix:
    Citation :
    Rapport de ZHPFix v1.12.3121 par Nicolas Coolman, Update du 14/07/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-16-07-2010-18-48-04.txt
    Run by Guibs at 16/07/2010 18:48:04
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    ========== Clé du Registre ==========
    O64 - Services: CurCS - C:\WINDOWS\system32\drivers\RKHit.sys - RkHit (RkHit) .(.Pas de propriétaire - Pas de description.) - LEGACY_RKHIT => Clé supprimée avec succès
    O64 - Services: CurCS - C:\PROGRA~1\Enigma Software Group\SpyHunter\SH4Service.exe - SpyHunter 4 Service (SpyHunter 4 Service) .(.Enigma Software Group USA, LLC. - Service scanner interface.) - LEGACY_SPYHUNTER_4_SERVICE => Clé absente
    HKCU\Software\BitDefender => Clé supprimée avec succès
    HKCU\Software\Lavasoft => Clé supprimée avec succès
    HKCU\Software\Spyware Cease => Clé absente
    HKLM\Software\EnigmaSoftwareGroup => Clé supprimée avec succès
    HKLM\Software\Lavasoft => Clé supprimée avec succès
    HKLM\Software\Trad-FR => Clé supprimée avec succès

    ========== Valeur du Registre ==========
    O4 - HKLM\..\Run: [SpywareCease.exe] . (.QW Computer - Spyware Cease Antispyware Program.) -- C:\Program Files\Spyware Cease\SpywareCease.exe => Valeur absente
    O4 - HKLM\..\Run: [SCHelper.exe] . (.QW Computer - Spyware Cease Helper.) -- C:\Program Files\Spyware Cease\SCHelper.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\Documents and Settings\Guibs\Mes documents\svn_ufo\ufo_ded.exe" [Enabled] .(.) (.not file.) -- C:\Documents and Settings\Guibs\Mes documents\svn_ufo\ufo_ded.exe => Valeur supprimée avec succès

    ========== Dossier ==========
    C:\Program Files\Spybot - Search & Destroy => Supprimé et mis en quarantaine
    C:\Program Files\Spyware Cease => Dossier absent
    C:\Program Files\SpywareBlaster => Supprimé et mis en quarantaine
    C:\Program Files\Enigma Software Group => Supprimé et mis en quarantaine

    ========== Fichier ==========
    c:\windows\system32\scud.udf => Supprimé et mis en quarantaine
    c:\windows\system32\drivers\rkhit.sys => Supprimé et mis en quarantaine


    ========== Récapitulatif ==========
    8 : Clé du Registre
    3 : Valeur du Registre
    4 : Dossier
    2 : Fichier


    End of the scan


    ----------
    4- bootkit_remover :
    Citation :

    Bootkit Remover version 1.0.0.1
    (c) 2009 eSage Lab
    www.esagelab.com

    \\.\C: -> \\.\PhysicalDrive0
    MD5: 3e01b1df25d85e1dbe804df0324d13a2
    \\.\D: -> \\.\PhysicalDrive0
    \\.\E: -> \\.\PhysicalDrive0
    \\.\J: -> \\.\PhysicalDrive1
    MD5: 3e01b1df25d85e1dbe804df0324d13a2

    Size Device Name MBR Status
    --------------------------------------------
    186 GB \\.\PhysicalDrive0 Unknown boot code
    465 GB \\.\PhysicalDrive1 Unknown boot code

    Unknown boot code has been found on some of your physical disks.
    To inspect the boot code manually, dump the master boot sector:
    remover.exe dump <device_name> [output_file]
    To disinfect the master boot sector, use the following command:
    remover.exe fix <device_name>


    Press any key to quit...


    voili, voilou... le coup du "Unkwnown boot code", c'est grave, doc ? :??:  pas sûr que ça ait un rapport, mais pour info j'utilise un dual-boot, (linux+windows) avec l'utilitaire Grub.

    j'attends la suite des consignes/manips,

    & merci encore pour ton aide,
    16 Juillet 2010 19:18:00

    re,


    Citation :
    mais pour info j'utilise un dual-boot, (linux+windows) avec l'utilitaire Grub




    ok ! ... quelle taille la partition linux exactement ? ...


    16 Juillet 2010 19:33:23

    le dd interne du laptop est de 160GB, j'ai mis environ 100GB pour windows & 60Gb pour Linux..

    l'autre lecteur 465 GB \\.\PhysicalDrive1 Unknown boot code est un dd externe usb
    16 Juillet 2010 20:10:08

    oki...


    la partition Linux ne ressort pas avec BootKit Remover ( ce qui parait logique ... )


    donc laisse bien tout branché tel que et fait ce qui suit dans l'ordre :



    1- Créer un doc texte sur ton bureau :

  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    @ECHO OFF
    START remover.exe fix \\.\PhysicalDrive0
    START remover.exe fix \\.\PhysicalDrive1
    EXIT



  • Sauvegarde le document sur ton bureau :
    Va sur "fichier"/"enregistrer sous" :
    -> Nom du fichier, tu tapes : fix.bat
    Type de fichier, tu choisis : "tous les fichiers"
    -> clique sur "enregistrer"
    ( le .bat à la fin est important )

    ! Désactive ton antivirus et ferme toutes applications en cours !

  • Double clique sur fix.bat > ça doit ouvrir une fenêtre noir qui va se refermer.

  • Une fois finit, une nouvelle fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...


    Note :
    si après avoir lancer fix.bat, une fenêtre apparait avec le message suivant :
    Its strongly recommended to reboot immediately after the disinfection
    Otherwise the malicious boot code can be restored by the trojan etc...

    > clique sur [Yes] afin que l'outil redémarre le PC et qu'il puisse terminer le nettoyage .


    ==========================

    2- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    16 Juillet 2010 21:30:17

    bon ...



    on continue .... dans l'ordre :



    1- reboot le PC une nouvelle fois !



    ==========================

    2- ! Désactive ton antivirus et ferme toutes applications en cours !

  • Relance bootkit_remover
  • Une fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...


    ==========================

    3- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe pour lancer l'installation .

    • Une fois l'outil installé, double clique sur le raccourci pour le lancer .

    • Au menu principal clique directement sur le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    ===========================

    4- Utilise Malwarebytes ainsi ,

    mets le à jour ! ( onglet "mise à jour" . recommence jusqu'à ce qu'il n'y est plus de maj disponible )


    * utilisation:

    ! Déconnecte toi et ferme toutes applications en cours !

    * Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


    =========================

    5- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    16 Juillet 2010 22:46:23

    1- bootkit_remover :

    Citation :
    Bootkit Remover version 1.0.0.1
    (c) 2009 eSage Lab
    www.esagelab.com

    \\.\C: -> \\.\PhysicalDrive0
    MD5: 6def5ffcbcdbdb4082f1015625e597bd
    \\.\D: -> \\.\PhysicalDrive0
    \\.\E: -> \\.\PhysicalDrive0
    \\.\G: -> \\.\PhysicalDrive1
    MD5: 6def5ffcbcdbdb4082f1015625e597bd

    Size Device Name MBR Status
    --------------------------------------------
    186 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
    465 GB \\.\PhysicalDrive1 OK (DOS/Win32 Boot code found)


    Press any key to quit...

    Au passage, & pour info, le Bootkit Remover a dû toucher au MBR en restaurant une valeur par défaut,... du coup, plus d'accès pour le moment à ma partition Linux (mais pas de probleme, je ré-installerai Grub,, :)  )

    2- Ad-remover :
    Comme résult, il m'affichait 1 clé à effacer ( "HKCU\Software\PopCap" )
    Citation :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 23/06/10 à 19:20
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:52:23 le 16/07/2010, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    Guibs@GUIBS-3331953E9 ( )

    ============== ACTION(S) ==============



    (!) -- Fichiers temporaires supprimés.


    0,Clé supprimée: HKCU\Software\PopCap


    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.6 (fr)] **

    -- C:\Documents and Settings\Guibs\Application Data\Mozilla\FireFox\Profiles\o2jmnu90.default\Prefs.js --
    browser.download.dir, D:\\Downloads
    browser.download.lastDir, J:\\Antivirus_désinfection
    browser.startup.homepage_override.mstone, rv:1.9.2.6

    ========================================

    ** Internet Explorer Version [8.0.6001.18702] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Enable Browser Extensions: no
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 16/07/2010 (496 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 16/07/2010 (1950 Octet(s))
    C:\Ad-Report-SCAN[2].txt - 16/07/2010 (2006 Octet(s))

    Fin à: 21:54:24, 16/07/2010

    ============== E.O.F ==============


    Il m'a demandé de redémarrer,... & au démarrage suivant, les processus "iexplore" avaient disparu... (clap clap !! ;)  )

    j'ai quand même suivi la suite des procédures énoncées, à savoir :


    3- Malwarebytes :
    Citation :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4320

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    16/07/2010 22:15:15
    mbam-log-2010-07-16 (22-15-15).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 133185
    Temps écoulé: 13 minute(s), 10 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RkHit (Rogue.SpywareCease) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    il m'a donc également trouvé une sale bestiole: "Rogue.SpywareCease"

    4- ZHPDiag
    nouveau rapport & nouveau lien :

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijNdbKKw8.txt

    voilou... sauf si tu tiens à vérifier d'autres choses, tout semble bon pour le moment... :D 

    & si c'est OK pour toi, je vais quand même attendre quelques jours avant de crier "victoire totale"... je mettrai alors le sujet comme "résolu",

    merci encore pour ton aide,, much appreciated here,, ;) 
    16 Juillet 2010 23:15:53

    Hop là,


    on n'a pas finit le boulot ! ... je te dirais quant tout sera Ok !!! ... :pt1cable: 



    Citation :
    Au passage, & pour info, le Bootkit Remover a dû toucher au MBR en restaurant une valeur par défaut,...



    je sais bien ! ... car les fameux processus "iexplore" viennent d'une infection qui se loge dans le mrb ! ... pas d'autre solution pour nettoyer ... :p 



    autre chose > System drive C: has 3 GB (9%) free of 29 GB
    la partition systeme à trop peu d'espace libre pour que Windows tourne correctement ! ... faut faire de la place de ce côté là et ramener ce % à un minimun de 20% d'espace libre .


    vire ce crack stp > C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
    regarde la signature numérique MD5 de cette merde > http://www.virustotal.com/analisis/b10e5f71b950f2cc74e1...





    Puis fait ce qui suit dans l'ordre ( Si le dernier rapport est clean , on pourra finaliser ) :


    ( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert :

    !! ferme tes autres applications en cours !!


    A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

    > Là tu décoches la case devant ZHPDiag !


    > Enfin clique en bas sur "Nettoyer" .


    Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

    -> Copie/colle le contenu de ce rapport pour analyse ...

    ( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )

    Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !



    B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

    Au message de confirmation , clique sur "Ok" .


    Puis ferme ZHPFix ...


    ======================================

    2- Refais un coup de CCleaner ( registre compris ) .


    ======================================

    3- Télécharge et installe le logiciel HijackThis :

    ici http://www.trendsecure.com/portal/en-US/_download/HJTIn...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    > Clique sur le setup pour lancer l'installe :
    * laisse toi guider et ne modifie pas les paramètres d'installation .
    * A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .

    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    C:\program files\Trend Micro\HijackThis\HijackThis.exe .

    ( ne fais pas de scan pour le moment )


    ======================================

    4- Important :
    Purge de la restauration système
    *Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    *Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ décoche la case désactiver la restauration, appliquer, OK
    --->Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->"systeme"->" restauration système " ).


    ======================================

    5- Fais ce scan en ligne pour vérifier :

    ( ne rien faire d'autre avec le PC durant le scan ! )

    Fais un scan en ligne avec " Panda " :

    > http://www.pandasecurity.com/homeusers/solutions/active...
    ( clique sur "scan your PC now" )

    tuto :
    http://www.malekal.com/scan_Av_en_ligne.php#mozTocId237...


    poste moi le rapport obtenu pour analyse ...
    17 Juillet 2010 00:25:31

    Okay, no problemo, on continue alors,, :p 

    & c'est moche pour le MBR... la sale bête...
    >> ptite question au passage: comment se prévenir d'une nouvelle attaque de ce type ?

    sinon,,

    a) System drive C: 12GB de libre après gros nettoyage de printemps,,

    b) concernant le crack:
    c'est un émulateur de dongle, une clé virtuelle de protection, en quelque sorte.
    Le système de protection du soft que j'utilise fait un check en permanence de la présence du dongle, & vu que c'est un soft qui m'est "vital", je ne pense pas l'effacer,, sorry...
    mais je ne pense pas que le crack perturbe windows,,

    ( & je sais à quoi correspond 1 MD5 (encryption), mais quand tu parles de la signature numérique MD5 d'un .exe,... hmm... mes compétences en info ne vont pas si loin ! ^^ )

    pour ce qui est du reste :

    1- ZHPFix
    il y avait 2 entrées : Ad-Remover & ZHPDiag
    (j'ai juste décoché ZHPDiag, comme indiqué)
    Citation :

    Rapport de ZHPFix v1.12.3121 par Nicolas Coolman, Update du 14/07/2010
    Fichier d'export Registre :
    Run by Guibs at 16/07/2010 23:53:28
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    ========== Dossier ==========
    C:\Program Files\Ad-remover => Supprimé et mis en quarantaine

    ========== Logiciel ==========
    O63 - Logiciel: Ad-Remover By C_XX => Logiciel supprimé avec succès


    ========== Récapitulatif ==========
    1 : Dossier
    1 : Logiciel


    End of the scan


    du coup, il m'a viré Ad-R... normal, doc ? :sarcastic: 

    2- CCleaner < tout est clean

    3- HijackThis < installé

    4- Purge de la restauration système < fait !

    5- scan en ligne avec " Panda " :
    examen complet en cours... il a déjà trouvé 7 "vulnerabilities " & il n'est qu'à 6% du scan...
    je posterai les résults une fois le scan fini, d'ici une bonne 1/2 heure environ,,...
    [edit]
    euh... il stagne à 6%... je pense qu'il en a pour + d'1 heure... du coup je posterai peut-être le rapport demain,,
    ++
    19 Juillet 2010 18:03:08

    Holà,,

    donc voici le rapport obtenu,... rien de bien méchant, je pense,,
    Citation :

    ;***********************************************************************************************************************************************************************************
    ANALYSIS: 2010-07-19 11:19:15
    PROTECTIONS: 1
    MALWARE: 2
    SUSPECTS: 7
    ;***********************************************************************************************************************************************************************************
    PROTECTIONS
    Description Version Active Updated
    ;===================================================================================================================================================================================
    avast! Antivirus 5.0.83886674 Yes Yes
    ;===================================================================================================================================================================================
    MALWARE
    Id Description Type Active Severity Disinfectable Disinfected Location
    ;===================================================================================================================================================================================
    00394117 Trj/Ofuscated.gen Virus/Trojan No 0 Yes No c:\system volume information\_restore{714a5ee0-b822-43e3-a19b-bc006ecb5afd}\rp1\a0000062.exe
    03898892 Generic Malware Virus/Trojan No 0 Yes No g:\divers\tomcat\tomcat-5.5.15\webapps\webapps\css\halflife\half-life keymaker.exe
    ;===================================================================================================================================================================================
    SUSPECTS
    Sent Location
    ;===================================================================================================================================================================================
    No d:\steinberg\steinberg wave lab 5.00\steinberg wavelab v5.00a build 221 setup.exe
    No d:\steinberg wave lab 5.00\steinberg wavelab v5.00a build 221 setup.exe
    No d:\utils\antivirus\regcuresetup_rw.exe
    No d:\utils\antivirus\regcuresetup_rw.exe[regcure.exe]
    No e:\récup\hacking tools\newbie cracking tutorials.rar[newbie cracking tutorials\crackme.exe]
    No e:\récup\hacking tools\w32ds893.rar[w32ds893[1]\w32dis11a.exe]
    No g:\divers\html dictionary\soft\ultraedit 13.20a\keygen.exe
    ;===================================================================================================================================================================================
    VULNERABILITIES
    Id Severity Description
    ;===================================================================================================================================================================================
    221290 HIGH MS10-035
    221289 HIGH MS10-034
    221287 HIGH MS10-032
    219830 HIGH MS10-029
    219822 HIGH MS10-021
    219821 HIGH MS10-020
    219647 HIGH MS10-018
    ;===================================================================================================================================================================================



    @+,,
    19 Juillet 2010 20:37:24

    re,


    Citation :
    rien de bien méchant, je pense



    ça c'est ton avis ! ...



    donc fait ceci tout d'abors :


    Rends toi sur ce site :

    http://www.virustotal.com/

  • Clique sur "parcourir" et va jusqu'au fichier suivant :

    g:\divers\tomcat\tomcat-5.5.15\webapps\webapps\css\halflife\half-life keymaker.exe

  • Clique sur Send File ( = " Envoyer le fichier " ).

    -> Un rapport va s'élaborer ligne à ligne.

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

  • Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

  • Copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ...

    Petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    Fais de même pour :

    g:\divers\html dictionary\soft\ultraedit 13.20a\keygen.exe


    Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

    21 Juillet 2010 17:25:51

    Re,,

    & voilou les 2 rapports,
    Citation :

    ===============

    Fichier keygen.exe reçu le 2010.07.20 00:57:50 (UTC)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
    Résultat: 6/42 (14.29%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 1.
    L'heure estimée de démarrage est entre 46 et 66 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Formaté
    Impression des résultats Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    a-squared 5.0.0.34 2010.07.19 Virus.Win32.Trojan!IK
    AhnLab-V3 2010.07.20.00 2010.07.19 -
    AntiVir 8.2.4.12 2010.07.19 -
    Antiy-AVL 2.0.3.7 2010.07.15 -
    Authentium 5.2.0.5 2010.07.20 -
    Avast 4.8.1351.0 2010.07.19 -
    Avast5 5.0.332.0 2010.07.19 -
    AVG 9.0.0.836 2010.07.19 -
    BitDefender 7.2 2010.07.20 -
    CAT-QuickHeal 11.00 2010.07.19 -
    ClamAV 0.96.0.3-git 2010.07.19 -
    Comodo 5482 2010.07.19 -
    DrWeb 5.0.2.03300 2010.07.20 -
    eSafe 7.0.17.0 2010.07.19 -
    eTrust-Vet 36.1.7722 2010.07.20 -
    F-Prot 4.6.1.107 2010.07.19 -
    F-Secure 9.0.15370.0 2010.07.19 -
    Fortinet 4.1.143.0 2010.07.19 -
    GData 21 2010.07.20 -
    Ikarus T3.1.1.84.0 2010.07.19 Virus.Win32.Trojan
    Jiangmin 13.0.900 2010.07.19 -
    Kaspersky 7.0.0.125 2010.07.19 -
    McAfee 5.400.0.1158 2010.07.20 -
    McAfee-GW-Edition 2010.1 2010.07.19 -
    Microsoft 1.6004 2010.07.19 -
    NOD32 5293 2010.07.19 -
    Norman 6.05.11 2010.07.19 -
    nProtect 2010-07-19.01 2010.07.19 -
    Panda 10.0.2.7 2010.07.19 Suspicious file
    PCTools 7.0.3.5 2010.07.20 -
    Prevx 3.0 2010.07.20 High Risk Worm
    Rising 22.57.00.02 2010.07.19 -
    Sophos 4.55.0 2010.07.20 -
    Sunbelt 6604 2010.07.20 -
    SUPERAntiSpyware 4.40.0.1006 2010.07.20 -
    Symantec 20101.1.1.7 2010.07.19 -
    TheHacker 6.5.2.1.320 2010.07.19 -
    TrendMicro 9.120.0.1004 2010.07.19 CRCK_KEYGEN.BH
    TrendMicro-HouseCall 9.120.0.1004 2010.07.20 CRCK_KEYGEN.BH
    VBA32 3.12.12.6 2010.07.19 -
    ViRobot 2010.6.21.3896 2010.07.19 -
    VirusBuster 5.0.27.0 2010.07.19 -
    Information additionnelle
    File size: 56832 bytes
    MD5...: f02c95c55d90c80bb2aa4784d409b08d
    SHA1..: a3b8131b10286d8988fe8ffbbabe22154ddf9120
    SHA256: 6f587b0f58c335ca9ff395a02a466e8d783411d702f7aa9cd40e21a813da0516
    ssdeep: 768:vMgCwodRS7FyzMffPumW5Gp+FFIpOeaSrY/KtcAo04uXIPUq3uv94MtCZoS2
    v:0gCwoRS8knud5FFoOVwt4uVR6MtTS2
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x29120
    timedatestamp.....: 0x474f08a7 (Thu Nov 29 18:44:55 2007)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    UPX0 0x1000 0x1d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    UPX1 0x1e000 0xc000 0xb400 7.89 f14599205f4fd83b93eeb0964452061b
    .rsrc 0x2a000 0x3000 0x2600 6.42 ecb1000fbceaef5a17db98711c442771

    ( 10 imports )
    > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
    > COMCTL32.dll: _TrackMouseEvent
    > GDI32.dll: BitBlt
    > MFC42.DLL: -
    > MSIMG32.dll: TransparentBlt
    > MSVCP60.dll: __Xran@std@@YAXXZ
    > MSVCRT.dll: rand
    > SHELL32.dll: ShellExecuteExA
    > USER32.dll: GetDC
    > WINMM.dll: PlaySoundA

    ( 0 exports )
    RDS...: NSRL Reference Data Set
    -
    sigcheck:
    publisher....:
    copyright....: Copyright 2005
    product......: Keymaker
    description..: Keymaker
    original name: keygen.exe
    internal name: keygen.exe
    file version.: 2, 0, 0, 5
    comments.....: You have been traced.
    signers......: -
    signing date.: -
    verified.....: Unsigned
    trid..: UPX compressed Win32 Executable (39.5%)
    Win32 EXE Yoda's Crypter (34.3%)
    Win32 Executable Generic (11.0%)
    Win32 Dynamic Link Library (generic) (9.8%)
    Generic Win/DOS Executable (2.5%)
    <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=4D8CE66D...' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=4D8CE66D...;/a>
    packers (Kaspersky): PE_Patch.UPX, UPX
    pdfid.: -
    packers (F-Prot): UPX

    ==============

    Fichier Half-Life_KeyMaker.exe reçu le 2010.07.20 00:56:01 (UTC)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
    Résultat: 22/41 (53.66%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: ___.
    L'heure estimée de démarrage est entre ___ et ___ .
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Formaté
    Impression des résultats Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    a-squared 5.0.0.34 2010.07.19 Riskware.Keygen.HalflifeCD!IK
    AhnLab-V3 2010.07.20.00 2010.07.19 -
    AntiVir 8.2.4.12 2010.07.19 TR/Packed.30993
    Antiy-AVL 2.0.3.7 2010.07.15 Trojan/Win32.Delf.gen
    Authentium 5.2.0.5 2010.07.20 W32/Heuristic-210!Eldorado
    Avast 4.8.1351.0 2010.07.19 -
    Avast5 5.0.332.0 2010.07.19 -
    AVG 9.0.0.836 2010.07.19 Generic14.BTDB
    BitDefender 7.2 2010.07.20 -
    CAT-QuickHeal 11.00 2010.07.19 Trojan.Agent.ATV
    ClamAV 0.96.0.3-git 2010.07.19 Trojan.Packed-4
    Comodo 5482 2010.07.19 Heur.Pck.PE.Cryptor
    DrWeb 5.0.2.03300 2010.07.20 -
    eSafe 7.0.17.0 2010.07.19 Win32.Banker
    eTrust-Vet 36.1.7722 2010.07.20 -
    F-Prot 4.6.1.107 2010.07.19 W32/Heuristic-210!Eldorado
    F-Secure 9.0.15370.0 2010.07.19 -
    Fortinet 4.1.143.0 2010.07.19 -
    GData 21 2010.07.20 -
    Ikarus T3.1.1.84.0 2010.07.19 not-a-virus:Keygen.HalflifeCD
    Jiangmin 13.0.900 2010.07.19 Trojan/Genome.grl
    Kaspersky 7.0.0.125 2010.07.19 -
    McAfee 5.400.0.1158 2010.07.20 -
    McAfee-GW-Edition 2010.1 2010.07.19 Heuristic.LooksLike.Win32.SuspiciousPE.C!87
    Microsoft 1.6004 2010.07.19 -
    NOD32 5293 2010.07.19 -
    Norman 6.05.11 2010.07.19 W32/Suspicious_Gen2.SAXL
    nProtect 2010-07-19.01 2010.07.19 Trojan/W32.Agent.140288.AU
    Panda 10.0.2.7 2010.07.19 Generic Malware
    PCTools 7.0.3.5 2010.07.20 -
    Rising 22.57.00.02 2010.07.19 Trojan.Win32.Generic.521E75FB
    Sophos 4.55.0 2010.07.20 Mal/Packer
    Sunbelt 6604 2010.07.20 Trojan.Win32.Generic!BT
    SUPERAntiSpyware 4.40.0.1006 2010.07.20 -
    Symantec 20101.1.1.7 2010.07.19 -
    TheHacker 6.5.2.1.320 2010.07.19 -
    TrendMicro 9.120.0.1004 2010.07.19 CRCK_HALFLIF.A
    TrendMicro-HouseCall 9.120.0.1004 2010.07.20 TSPY_ZPacker
    VBA32 3.12.12.6 2010.07.19 -
    ViRobot 2010.6.21.3896 2010.07.19 -
    VirusBuster 5.0.27.0 2010.07.19 Trojan.Packed.BO
    Information additionnelle
    File size: 140288 bytes
    MD5...: c81e31a8346d20e4ce2a73f706afe2c9
    SHA1..: 127a35efc07c3c20412345930c1fa07a41aa3b72
    SHA256: 8a975c0517993e5ed0c0a400747e738eb2bcf1cf894b4172a0c9120358829e36
    ssdeep: 3072:cl10SpFH1aNm9z8UfseXTIrGna5uqNxHKVh8Jk:c/XFH1aa8gZTIrGCzNpK
    Vmk
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x33000
    timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
    machinetype.......: 0x14c (I386)

    ( 10 sections )
    name viradd virsiz rawdsiz ntrpy md5
    CODE 0x1000 0x25f3c 0x14600 7.93 5a678eabc1ffc635ed43dadb57b9f850
    DATA 0x27000 0xa08 0x600 6.67 c7c19958b79618f8f157c94bcaaf3b77
    BSS 0x28000 0x759 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .idata 0x29000 0x1914 0xe00 7.78 94122ad0308487e6021fa8d3ffbc3b6f
    .tls 0x2b000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .rdata 0x2c000 0x18 0x200 0.20 29660ebcfb0f0f53b2defbe06cd84ea8
    .reloc 0x2d000 0x2c08 0x2e00 6.61 6b6b6a5bb3132a4d0a409270f28ae66b
    .rsrc 0x30000 0x2e00 0x1400 6.53 c3697c353c6e2a0c614352d93c548733
    .ficken 0x33000 0x8000 0x7e00 7.83 8a16bc5e74656b4d471b013934cdad1c
    .icon 0x3b000 0x1000 0x400 2.76 ea0f4459e331335e1edfaf24a239d362

    ( 1 imports )
    > KERNEL32.DLL: GetProcAddress, GetModuleHandleA, LoadLibraryA

    ( 0 exports )
    RDS...: NSRL Reference Data Set
    -
    trid..: Win32 Executable Generic (38.4%)
    Win32 Dynamic Link Library (generic) (34.1%)
    Win16/32 Executable Delphi generic (9.3%)
    Generic Win/DOS Executable (9.0%)
    DOS Executable Generic (9.0%)
    packers (Kaspersky): PECrypt32.Kila
    packers (F-Prot): PECrypt32
    packers (Authentium): PECrypt32
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    pdfid.: -

    le "rien de bien méchant" correspond au fait que je n'ai exécuté aucun des fichiers suspects/malwares relevés,... de plus,, les fichiers suspects en question ne me sont pas "vitaux" & je peux donc les effacer sans problème de mon côté,,...

    merci de me tenir informé pour la suite,,

    @+,,
    21 Juillet 2010 17:46:22

    re,


    faut faire sauter ! .... :p 



    Télécharge OTM (de Old_Timer) sur ton bureau :

    http://www.itxassociates.com/OT-Tools/OTM.exe
    hxxp://oldtimer.geekstogo.com/OTM.exe


    Double clique sur "OTM.exe" pour ouvrir le prg .

    Puis copie ce qui se trouve en citation ci-dessous,


    :Files
    g:\divers\tomcat\tomcat-5.5.15\webapps\webapps\css\halflife\half-life keymaker.exe
    g:\divers\html dictionary\soft\ultraedit 13.20a\keygen.exe

    :Commands
    [purity]
    [emptytemp]
    [zipfiles]
    [Reboot]



    et colle le dans le cadre de gauche de OTM (Paste Instructions for items to be moved ).
    Ne touche à rien d'autre !

    ! Déconnecte toi et ferme toutes tes applications en cours ( navigateurs compris ) !

    -> clique sur MoveIt! pour lancer le nettoyage .

    -> laisse travailler l'outil ...

    -> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

    Ton PC va redémarrer de lui même pour finir la suppression ...

    Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

    --> Poste le contenu du rapport qui se trouve dans le dossier " C:\_OTM\MovedFiles "
    ( c'est " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS