bonsoir escusé moi de vous deranger. Voila mon pc a était infectée par un cheval de troie. C'est mon antivirus nod 32 qui m'en a averti. Le message disait :
Memoire-vive: une variante de win32/Remtasu.R cheval de troie. Nod 32 n'a pas reussi a le supprimé. J'aimerais savoir si il y a un moyen de le supprimé et si oui lequel?
Je vous remercie en espérant que vous pretteré attention a mon sujet . Bonne soirée en vous remerciant

Bonjour LuckyStike,

Peux-tu faire ceci stp:

Utilise ce logiciel de diagnostic :

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

@ bientôt

voila le lien:

http://cjoint.com/?AKunD56akgK

Bonjour LuckyStrike,

Etape 1 :

• Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
  
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
  
• Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
  
• Clique sur "Recherche"
  
• Laisse travailler l'outil
  
• A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
  

Aide en images : Tutoriel "Recherche"

Etape 2 :

• Télécharge Malwarebytes
  
• Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
  
• Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
  
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
  
• Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
  
• L'analyse peut durer un bon moment.....
  
• Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
  
• Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
  
• Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
  

* Il se pourrait que certains fichiers demandent à être supprimés au redémarrage du PC... Fais-le en cliquant sur "oui" à la question posée

Etape 3 :
Pourrais-tu faire analyser ce fihcier sur VirusTotal et m'envoyer le rapport

Etape 4 :
Mets à jour ton navigateur Internet Explorer même si tu ne t'en sers pas. Un programme non à jour est source d'infections par les failles de sécurité du programme.

@ bientôt.

Rapport étape 1 usbfix:

http://cjoint.com/?AKvwBLBfekk

Lien rapport pour etape 2:

http://cjoint.com/?AKwbz41Im4h

ou rapport


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8211

Windows 6.1.7600
Internet Explorer 9.0.8112.16421

22/11/2011 00:02:59
mbam-log-2011-11-22 (00-02-59).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|H:\|K:\|)
Elément(s) analysé(s): 610470
Temps écoulé: 1 heure(s), 28 minute(s), 24 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MiNODLogin (Riskware.KG) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VLC Player (Trojan.FakeVLC) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\DC3_FEXEC (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Worm.Rebhip) -> Value: HKCU -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://startsear.ch/?aff=1) Good: (http://www.google.com) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Nicolas\AppData\Roaming\explorer\system.exe (Worm.Rebhip) -> Quarantined and deleted successfully.
c:\program files\minodlogin\minodlogin.exe (Riskware.KG) -> Quarantined and deleted successfully.
c:\program files\minodlogin\minodloginuninst.exe (Riskware.KG) -> Quarantined and deleted successfully.
c:\program files (x86)\VlcPlus\uninstall.exe (Trojan.FakeVLC) -> Quarantined and deleted successfully.
c:\Users\Nicolas\AppData\Local\Temp\battlefield_3_multiplayer_registrer.exe (Worm.Rebhip) -> Quarantined and deleted successfully.
c:\Users\Nicolas\Desktop\tuneup 2011\keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
f:\dd 1.5 to\adobe photoshop cs4 extension\Cracks\adobe-master-cs4pre-keygen_1.1.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
f:\microsoft.office.2010.vf.32.bit.french.retail.final.by.parisien99.sms\mini-kms_activator_v1.052\mini-kms_activator_v1.052.exe (Riskware.Keygen) -> Quarantined and deleted successfully.
h:\storex\microsoft.office.2010.vf.32.bit.french.retail.final.by.parisien99.sms\mini-kms_activator_v1.052\mini-kms_activator_v1.052.exe (Riskware.Keygen) -> Quarantined and deleted successfully.
h:\storex\minodlogin 3.9.8.1\elf3.9.8.1.exe (Riskware.KG) -> Quarantined and deleted successfully.
h:\storex\powerarchiver 2010 pro 11.71.04\powerarchiver.2010_keygen-fff\Keygen.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\program files (x86)\LIBBZ2.DLL (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\program files (x86)\PACLIB.DLL (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\program files (x86)\PAUNRAR3.DLL (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\program files\Win32\setup.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.

au fait jai fait analysé le fichier sur virustotal et il n'a rien trouvé.
Merci pour ton aide

Bonjour LuckyStrike,

D'accord pour l'analyse du fichier sur Virustotal.
Tu vas poursuivre comme ceci:

Etape 1:

• Relance USBFix depuis l'icône sur ton bureau (clic droit sur l'icône puis "Exécuter en tant qu'administrateur")
  
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
  
• Clique sur "Suppression"
  
• Laisse travailler l'outil
  
• A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse ICI (il est aussi sauvegardé a la racine du disque dur)
  
• Envoie-moi le lien stp
  

Etape 2:

As-tu mis à jour ton Internet Explorer? Tu ne m'en parles pas. Si tu ne sais pas faire dis-le, je te guiderai.

Etape 3:

Relance un scan avec ZHPDiag et renvoie le rapport ICI
Envoie-moi le lien stp

@ bientôt.

Bonjour
Excusez moi de cette intrusion
c:\Users\Nicolas\Desktop\tuneup 2011\keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
f:\dd 1.5 to\adobe photoshop cs4 extension\Cracks\adobe-master-cs4pre-keygen_1.1.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
f:\microsoft.office.2010.vf.32.bit.french.retail.final.by.parisien99.sms\mini-kms_activator_v1.052\mini-kms_activator_v1.052.exe (Riskware.Keygen) -> Quarantined and deleted successfully.
h:\storex\microsoft.office.2010.vf.32.bit.french.retail.final.by.parisien99.sms\mini-kms_activator_v1.052\mini-kms_activator_v1.052.exe (Riskware.Keygen) -> Quarantined and deleted successfully.
h:\storex\minodlogin 3.9.8.1\elf3.9.8.1.exe (Riskware.KG) -> Quarantined and deleted successfully.
h:\storex\powerarchiver 2010 pro 11.71.04\powerarchiver.2010_keygen-fff\Keygen.exe (Spyware.Passwords) -> Quarantined and deleted successfully.

LuckyStrike,
Les cracks et keygen sont un danger pour le PC
lit ceci sur le danger des cracks en cliquant sur ce lien:
http://forum.malekal.com/danger-des-cracks-t893.html


c:\program files (x86)\LIBBZ2.DLL (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\program files (x86)\PACLIB.DLL (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\program files (x86)\PAUNRAR3.DLL (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\program files\Win32\setup.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.

Je te conseillerai de changer tes mots de passe à la fin de la désinfection, car
tu avais des logiciels espions qui volent les mots de passe.
Bonne suite

bonsoir hearaultais.

Voici le rapport usbfix de l’étape 1:
http://cjoint.com/?AKxaG6j4Mw9

Etape 2: Excuse moi j'avais oublier pour internet explorer, mais je ne sais pas comment le mettre a jour. Pourrait tu me l'expliqué ? Merci

lien etape 3:

http://cjoint.com/?AKxbpoxieK9

dsl mais je n'est pas réussi a le mettre en document texte car quand je l'enregistré avec ZHPdiag il me le mettait en simple fichier.


ps: Merci Jawaryinti pour ce lien sur les cracks. Je ne pensé vraiment pas que ca pouvait faire ca, je ne m’étais pas renseigné.
Je ferais beaucoup plus attention la prochaine fois.

Je vous remercie Jawaryinti et surtout Heraultais pour l'aide proposé ( et donné ) et les conseils que vous me donnés.

Bonsoir LuckyStike,

Tu n'as toujours pas mis à jour ton navigateur Mozilla Firefox. Tu fais comme tu veux mais je tiens à te préveir qu'un programme non à jour peut comporter des failles de sécurité et tu peux donc t'exposer à des risques d'infections.
Tes infections sont malheureusement dues à ton comportement de sécurité qui est à revoir. Jawaryinti te l'as déjà fait remarquer.
Le réseau de partage de fichiers (P2P) est un vecteur majeur d'infections d'autant plus si tu télécharges des cracks.
Il vaut mieux réfléchir avant de cliquer sur un fichier téléchargé car après il est trop tard. C'est ton cas actuellement.

Fais ceci en attendant:

Phase 1 :

• Télécharge ce fichier
  
• Mets en surbrillance toutes les lignes de ce fichier puis fais un clic droit dessus
  
• Sélectionne "Copier"
  
• Lance ZHPFix qui se trouve sur ton bureau (clic droit sur l'icône de ZHPFix puis sélectionne "Exécuter comme Administrateur)
  
• Une fenêtre de ZHPFix s'ouvre
  
• Clique sur le deuxième bouton représentant le presse papier (bouton à droite de l'appareil photo)
  
• Les lignes copiées se collent dans la zone de ZHPFix
  
• Clique sur le bouton "GO"
  
• Laisse l'outil travailler, à la fin un rapport s'ouvrira
  
• Colle ce rapport ICI
  

Phase 2 :

Peux-tu m'analyser ce fichier sur ce site
Le fichier à analyser C:\Users\Nicolas\AppData\Local\Temp\chutil.dll
Envoie-moi le rapport sur le forum.

Phase 3 :

Sais-tu ce que sont ces fichiers exécutables? Appartiennent-ils à Winrar? Sont-ils dans le dossier de WinRar?
C:\Program Files\Rar.exe
C:\Program Files\UnRAR.exe

@ bientôt.

lien rapport

http://cjoint.com/?AKyatfGTT46

ou rapport


Rapport de ZHPFix 1.12.3370 par Nicolas Coolman, Update du 17/11/2011
Fichier d'export Registre :
Run by Nicolas at 24/11/2011 00:15:07
Windows 7 Business Edition, 64-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: {86D4B82A-ABED-442A-BE86-96357B70F4FE}
ABSENT Software Key: conduitEngine

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Program Files (x86)\Bonjour\mDNSResponder.exe
SUPPRIME Memory Process: C:\Program Files (x86)\Ask.com\UpdateTask.exe
SUPPRIME Memory Process: C:\Users\Nicolas\AppData\Local\Temp\powarc1200int.exe

========== Module(s) mémoire ==========
SUPPRIME Reboot Memory Module: C:\Program Files\RarExt.dll

========== Clé(s) du Registre ==========
ABSENT Key: CLSID BHO: {30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT Key: CLSID BHO: {D4027C7F-154A-4066-A1AD-4243D8127440}
ABSENT Key: Service: gpsvc
SUPPRIME Key: HKCU\Software\AppDataLow\AskToolbarInfo
SUPPRIME Key: HKCU\Software\AppDataLow\Software\AskToolbar
SUPPRIME Key: HKCU\Software\AppDataLow\Software\ConduitSearchScopes
SUPPRIME Key: HKCU\Software\AppDataLow\Software\conduitEngine
SUPPRIME Key: HKCU\Software\AppDataLow\Toolbar
SUPPRIME Key: HKCU\Software\Ask.com
SUPPRIME Key: HKCU\Software\PCTuto
SUPPRIME Key**: HKLM\Software\BrowserChoice
ABSENT Key: HKLM\Software\Conduit
ABSENT Key: HKLM\Software\PCTuto
ABSENT Key: Service Legacy: LEGACY_X6VA005
SUPPRIME Key: Service: Bonjour Service
SUPPRIME Key: Service: X6va005

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
SUPPRIME URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}
SUPPRIME RunValue: HKCU
SUPPRIME {E753AF68-558A-4EE2-B6DB-A9D07DF39FD6}
SUPPRIME {EDF233E2-FBB3-4859-A4FC-B9B55A45AA7A}
SUPPRIME {8CB5117B-ECE7-4B4E-91B3-82988255A662}
SUPPRIME {A571A1E4-DD2C-46B7-8DAA-A5378268BFC3}
SUPPRIME {B1226A79-A160-43C5-A05F-4DB766E3811F}
SUPPRIME {7A763BFE-AE78-4622-9396-F26AF64F5C64}
SUPPRIME {53B0ACD3-E63A-4144-A4DF-554FD0806D3A}
SUPPRIME {42E531FF-41C8-40A0-B66D-C57F1E38EFAF}

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Nicolas\AppData\Local\28050
SUPPRIME Folder: C:\Users\Nicolas\AppData\Local\Conduit
SUPPRIME Folder: C:\Users\Nicolas\AppData\Local\dxhr
SUPPRIME Folder: C:\Program Files (x86)\Ask.com
SUPPRIME Folder: C:\Program Files (x86)\ConduitEngine
SUPPRIME Folder: C:\Program Files (x86)\PCTuto
SUPPRIME Folder: C:\Program Files (x86)\VB

========== Fichier(s) ==========
SUPPRIME File***: c:\program files (x86)\bonjour\mdnsresponder.exe
SUPPRIME File: c:\program files (x86)\utorrentbar_fr\prxtbutor.dll
SUPPRIME Reboot c:\program files (x86)\ask.com
SUPPRIME Reboot c:\users\nicolas\appdata\roaming\explorer\system.exe
SUPPRIME File*: c:\users\nicolas\appdata\local\temp\powarc1200int.exe
SUPPRIME File: C:\Users\Nicolas\AppData\Local\Temp\uttAD25.tmp.bat
SUPPRIME File*: c:\users\nicolas\appdata\local\temp\uttad25.tmp.bat
SUPPRIME File: C:\Users\Nicolas\AppData\Local\Temp\uttAD64.tmp.bat
SUPPRIME File*: c:\users\nicolas\appdata\local\temp\uttad64.tmp.bat
SUPPRIME File: C:\Users\Nicolas\AppData\Local\Temp\uttF634.tmp.bat
SUPPRIME File*: c:\users\nicolas\appdata\local\temp\uttf634.tmp.bat
SUPPRIME File: C:\Users\Nicolas\AppData\Local\Temp\uttF6A2.tmp.bat
SUPPRIME File*: c:\users\nicolas\appdata\local\temp\uttf6a2.tmp.bat
ABSENT File: c:\program files (x86)\bonjour\mdnsresponder.exe
ABSENT File: c:\users\nicolas\appdata\local\temp\00555ec.tmp

========== Tache planifiée ==========
SUPPRIME Task: Scheduled Update for Ask Toolbar


========== Récapitulatif ==========
3 : Processus mémoire
1 : Module(s) mémoire
16 : Clé(s) du Registre
11 : Valeur(s) du Registre
7 : Dossier(s)
15 : Fichier(s)
2 : Logiciel(s)
1 : Tache planifiée


End of clean in 00mn 09s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 24/11/2011 00:15:08 [3969]

salut heraultais, encore merci pour ton aide.

j'aimerai revenir sur la mise a jour des navigateurs. Voila je ne vous te parettre insolent n'y te manqué de respect mais je ne trouve aucune mise a jour a faire sur mes navigateurs. J'essaye de suivre tes conseils a la lettre car je sais que j'ai fait des erreurs, mais sur l'avant dernier message je t'avait dit que je ne savait pas a le faire et si tu pouvait m'expliqué ( c'est pas grave tu n'a pas du voir le message).
Donc j'ai essayé de les mettre a jours mais je n'est rien toué. Mais si tu me dit qu'il ne sont pas a jour, je te crois. Pourrait tu alors m'expliqué quelle méthode tu utilise pour les mettre a jour?

Encore merci pour tout

Phase 2:

désoler je n'ai pas trouvé Le fichier à analyser C:\Users\Nicolas\AppData\Local\Temp\chutil.dll . Je ne sais pas ou il se trouve

Phase 3:
C:\Program Files\Rar.exe
C:\Program Files\UnRAR.exe

Ce sont bien des fichiers exécutables qui appartiennent a winrar et qui se trouve dans le dossier winrar.
Voila

Bonjour LuckyStike,

Bien pour ZHPFix (excellent travail)
Bien pour les deux fichiers qui appartiennent à WinRar

Phase 1:

Pour le navigateur Firefox, il est bien à jour; je me suis un peu embarqué à tord et à travers.

Phase 2:

LuckyStrike a écrit:

Le fichier à analyser C:\Users\Nicolas\AppData\Local\Temp\chutil.dll . Je ne sais pas ou il se trouve

Pour que tu vois ce fichier il faut modifier les options d'affichage des dossiers; il faut faire ceci:

• Clique sur le bouton "Démarrer"
  
• Sélectionne "Panneau de configuration"
  
• Clique sur l'icône "Options des dossiers"
  
• Une boîte de dialogue s'ouvre, clique sur l'onglet "Affichage"
  
• En dessous de fichiers et dossiers cachés, coche le bouton radio en face de "Afficher les fichiers, dossiers ou lecteurs cachés"
  
• Descend un peu plus bas, tu trouveras deux cases à cocher qu'il te faudra décocher
  Masquer les extensions des fichiers dont le type est connu
  Masquer les fichiers protégés du système d'exploitation (recommandé)
  
• Clique sur le bouton "Appliquer" puis "OK"
  
• Tu as dorénavant accès aux dossiers et fichiers cachés
  
• Va rechercher le fichier suivant: Le fichier à analyser C:\Users\Nicolas\AppData\Local\Temp\chutil.dll
  
• Envoie le sur www.virustotal.com
  
• Envoie-moi le rapport.
  

Phase 3:

Relance un MalwareBytes et renvoie-moi le rapport stp
@ bientôt.

il me mettent ca comme rapport pour le fichier:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2011.11.23.00 23/11/2011 -
AntiVir 7.11.18.55 24/11/2011 -
Antiy-AVL 2.0.3.7 24/11/2011 -
Avast 6.0.1289.0 23/11/2011 -
AVG 10.0.0.1190 24/11/2011 -
BitDefender 7.2 24/11/2011 -
ByteHero 1.0.0.1 14/11/2011 -
CAT-QuickHeal 12,00 22/11/2011 -
ClamAV 0.97.3.0 24/11/2011 -
Commtouch 5.3.2.6 24/11/2011 -
Comodo 10786 24/11/2011 -
DrWeb 5.0.2.03300 24/11/2011 -
Emsisoft 5.1.0.11 24/11/2011 -
eSafe 7.0.17.0 24/11/2011 -
eTrust-Vet 37.0.9585 24/11/2011 -
F-Prot 4.6.5.141 23/11/2011 -
F-Secure 9.0.16440.0 24/11/2011 -
Fortinet 4.3.370.0 24/11/2011 -
GData 22 24/11/2011 -
Ikarus T3.1.1.109.0 24/11/2011 -
Jiangmin 13.0.900 24/11/2011 -
K7AntiVirus 9.119.5525 23/11/2011 -
Kaspersky 9.0.0.837 24/11/2011 -
McAfee 5.400.0.1158 24/11/2011 -
McAfee-GW-Edition 2010.1D 24/11/2011 -
Microsoft 1,7801 24/11/2011 -
NOD32 6656 24/11/2011 -
Norman 06/07/13 24/11/2011 -
Nprotect 2011-11-24.02 24/11/2011 -
Panda 10.0.3.5 24/11/2011 -
PCTools 8.0.0.5 24/11/2011 -
Prevx 3.0 24/11/2011 -
Rising 23.85.03.02 24/11/2011 -
Sophos 4.71.0 24/11/2011 -
SUPERAntiSpyware 4.40.0.1006 24/11/2011 -
Symantec 20111.2.0.82 24/11/2011 -
TheHacker 6.7.0.1.347 24/11/2011 -
TrendMicro 9.500.0.1008 24/11/2011 -
TrendMicro HouseCall- 9.500.0.1008 24/11/2011 -
VBA32 3.12.16.4 24/11/2011 -
DétectéAucun 11135 24/11/2011 -
ViRobot 2011.11.24.4791 24/11/2011 -
VirusBuster 14.1.82.0 24/11/2011 -
Informations complémentairesMontrer tous les
MD5: 8a497e8284c2b9e71bca1ec8a165af03
SHA1: 644790ff27cb6afa9852c2628936818d9c1caf74
SHA256: 7fa4ddf58b83c0910d78b4c261a0b743361811e7dac04bcd2db5b3a17cc4d471
ssdeep: 1536: ivEQzXr7vV8OBaKzsMmfQ5OO9mJJJJJJJ366666666Ab: ivEQL3daOmfQ5OlJJJJJJJ
Taille du fichier: 93184 bytes
Première vue: 15/08/2011 19:56:15
La dernière fois: 24/11/2011 13:54:19
TrID:
Win32 Executable MS Visual C + + (générique) (75,0%)
Win32 Executable Generic (16.9%)
Generic Win / DOS Executable (3,9%)
exécutable DOS générique (3,9%)
Fichier Autodesk image CIDF (extensions: flc, fli, cel) (0,0%)
sigcheck:
Editeur ....: n / a
le droit d'auteur ....: n / a
produit ......: n / a
Description ..: n / a
nom original: n / a
Nom interne: n / a
version du fichier: n / a.
.....: commentaires n / a
......: signataires -
la date de signature: -.
vérifiées .....: Unsigned
PEInfo: informations sur la structure PE

[[données de base]]
entrypointaddress: 0x4D41
TimeDateStamp ....: 0x4E490400 (lun. 15 août 2011 11:33:20)
machine par ......: 0x14c (I386) [[5 article (s )]] nom, viradd, virsiz, rawdsiz, ntropy, md5 . texte, 0x1000, 0xF8D9, 0xFA00, 6,67, 5a21e2f8e57230608a6fb1f0aa1d73a0 . rdata, 0x11000, 0x3A5D, 0x3C00, 5,40, 96886787b63c4ddd6bc6c906082b4c67 . données, 0x15000, 0x2FB4, 0x1400, 3,58, 26a8ba2a4402492c98b711daaea021e3 . rsrc, 0x18000, 0x1B4, 0x200, 5.11, 7241e7e0800e72889d9c4f6d6e348ab6 . reloc, 0x19000, 0x1AA4, 0x1C00, 4.20, c326605e9526ae3526a17905f6e48953 [[5 importation (s)]] rpcrt4.dll: UuidCreateSequential, RpcStringFreeA, UuidToStringA Kernel32.dll: GetLastError, WriteFile, CreateFileA, ReadFile, Sommeil, FlushFileBuffers, CloseHandle, UnhandledExceptionFilter, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, GetModuleHandleA, LoadLibraryA, InitializeCriticalSectionAndSpinCount, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, HEAPSIZE, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, GetModuleFileNameA, GetStdHandle, ExitProcess, HeapDestroy, HeapCreate, HeapReAlloc, VirtualAlloc, VirtualFree, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, HeapAlloc, HeapFree, GetCurrentThreadId, GetCommandLineA, RaiseException, RtlUnwind, TerminateProcess, GetCurrentProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, IsValidCodePage, GetModuleHandleW, GetProcAddress, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, LCMapStringA, WideCharToMultiByte, MultiByteToWideChar, LCMapStringW ADVAPI32.dll: RegCreateKeyExA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegSetValueExA sqlite3.dll: sqlite3_exec, sqlite3_close, sqlite3_open, sqlite3_busy_timeout, sqlite3_changes, sqlite3_errmsg, sqlite3_finalize, sqlite3_step, sqlite3_column_type, sqlite3_column_int, sqlite3_column_count, sqlite3_free, sqlite3_mprintf, sqlite3_prepare_v2 WININET.DLL: HttpAddRequestHeadersA, InternetCrackUrlA, InternetReadFile, HttpQueryInfoA, HttpOpenRequestA, InternetConnectA, InternetOpenA, InternetGetConnectedState , InternetCloseHandle, HttpSendRequestA [[6 exportation (s)]] @ _call_url 4, _ch_hp @ 8, _ch_sp @ 16, @ _ff_hp 8, _ff_sp @ 12, @ 8 _init_uid


















ExifTool:
les métadonnées du fichier
CodeSize: 64000
EntryPoint: 0x4d41
Taille: 91 kB
FileType: DLL Win32
IMAGEVERSION: 0,0
InitializedDataSize: 28160
LinkerVersion: 9,0
MIMEType: application / octet-stream
machine par: Intel 386 ou plus tard, et compatibles
OSVersion: 5,0
PEType: PE32
Subsystem : Windows GUI
SubsystemVersion: 5.0
TimeStamp: 2011:08:15 13:33:20 +02:00
UninitializedDataSize: 0

Phase 3: rapport MalwareBytes

lien: http://cjoint.com/?AKyqVWIUCDn

ou rapport:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8211

Windows 6.1.7600
Internet Explorer 9.0.8112.16421

24/11/2011 16:44:00
mbam-log-2011-11-24 (16-44-00).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|H:\|)
Elément(s) analysé(s): 604620
Temps écoulé: 1 heure(s), 31 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Backdoor.HMCPol.Gen) -> Value: HKCU -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\ZHP\quarantine\system.exe.vir (Worm.Rebhip) -> Quarantined and deleted successfully.

Bonsoir,

Ok le fichier C:\Users\Nicolas\AppData\Local\Temp\chutil.dll que je t'ai fait analyser sur virustotal est légitime et n'est pas infecté.

Pense à remettre l'affichage des fichiers et dossiers cachés en mode normal (c'est à dire qu'on ne les voit pas). Il suffit de reprendre la procédure d'affichage des dossiers et fichiers cachés à l'inverse. OK?

• Relance MalwareBytes
  
• Clique sur l'onglet "Quarantaine"
  
• Vide la quarantaine
  

Maintenant dis-moi comment se comporte ton pc. As-tu toujours des problèmes? Si oui, lesquels?

@ bientôt

Bonsoir Heraultais,
ok je vais les remettre en mode normal.

Sinon, sur mon pc j'ai constaté quel choses bizarre: Déjà il met plus de temps pour démarre (avant il démarré comme une bombe, mais maintenant depuis cette intrusion il prend vraiment son temps pour s'allumé).
De plus, il y a un autre trucs de bizarre: c'est que quelque fois depuis l'intrusion mon pc s’éteint comme ça, d'un coup, sans rien faire. Je ne sais pas a quoi c'est du et avant ça ne me le faisait pas.