FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[LuckyStrike]

bonsoir escusé moi de vous deranger. Voila mon pc a était infectée par un cheval de troie. C'est mon antivirus nod 32 qui m'en a averti. Le message disait :
Memoire-vive: une variante de win32/Remtasu.R cheval de troie. Nod 32 n'a pas reussi a le supprimé. J'aimerais savoir si il y a un moyen de le supprimé et si oui lequel?
Je vous remercie en espérant que vous pretteré attention a mon sujet . Bonne soirée en vous remerciant

[Heraultais]

Bonjour LuckyStike,

Peux-tu faire ceci stp:

Utilise ce logiciel de diagnostic :

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

@ bientôt

[LuckyStrike]

voila le lien:

http://cjoint.com/?AKunD56akgK

[Heraultais]

Bonjour LuckyStrike,

Etape 1 :

• Télécharge UsbFix (créé par El Desaparecido C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
• Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
• Clique sur "Recherche"
• Laisse travailler l'outil
• A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images : Tutoriel "Recherche"

Etape 2 :

• Télécharge Malwarebytes
• Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
• Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
• Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
• L'analyse peut durer un bon moment.....
• Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
• Vérifie que tout est bien coché et clique sur "Supprimer la sélection" = et ensuite sur "OK"
• Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers demandent à être supprimés au redémarrage du PC... Fais-le en cliquant sur "oui" à la question posée

Etape 3 :
Pourrais-tu faire analyser ce fihcier sur VirusTotal et m'envoyer le rapport

Etape 4 :
Mets à jour ton navigateur Internet Explorer même si tu ne t'en sers pas. Un programme non à jour est source d'infections par les failles de sécurité du programme.

@ bientôt.

[LuckyStrike]

Rapport étape 1 usbfix:

http://cjoint.com/?AKvwBLBfekk

[LuckyStrike]

Lien rapport pour etape 2:

http://cjoint.com/?AKwbz41Im4h

ou rapport


Malwarebytes' Anti-Malware 1.51.2.1300
http://www.malwarebytes.org

Version de la base de données: 8211

Windows 6.1.7600
Internet Explorer 9.0.8112.16421

22/11/2011 00:02:59
mbam-log-2011-11-22 (00-02-59).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|H:\|K:\|)
Elément(s) analysé(s): 610470
Temps écoulé: 1 heure(s), 28 minute(s), 24 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MiNODLogin (Riskware.KG) - Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VLC Player (Trojan.FakeVLC) - Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\DC3_FEXEC (Malware.Trace) - Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Worm.Rebhip) - Value: HKCU - Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) - Bad: (http://startsear.ch/?aff=1) Good: (http://www.google.com) - Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Nicolas\AppData\Roaming\explorer\system.exe (Worm.Rebhip) - Quarantined and deleted successfully.
c:\program files\minodlogin\minodlogin.exe (Riskware.KG) - Quarantined and deleted successfully.
c:\program files\minodlogin\minodloginuninst.exe (Riskware.KG) - Quarantined and deleted successfully.
c:\program files (x86)\VlcPlus\uninstall.exe (Trojan.FakeVLC) - Quarantined and deleted successfully.
c:\Users\Nicolas\AppData\Local\Temp\battlefield_3_multiplayer_registrer.exe (Worm.Rebhip) - Quarantined and deleted successfully.
c:\Users\Nicolas\Desktop\tuneup 2011\keygen.exe (RiskWare.Tool.CK) - Quarantined and deleted successfully.
f:\dd 1.5 to\adobe photoshop cs4 extension\Cracks\adobe-master-cs4pre-keygen_1.1.exe (Trojan.Agent.CK) - Quarantined and deleted successfully.
f:\microsoft.office.2010.vf.32.bit.french.retail.final.by.parisien99.sms\mini-kms_activator_v1.052\mini-kms_activator_v1.052.exe (Riskware.Keygen) - Quarantined and deleted successfully.
h:\storex\microsoft.office.2010.vf.32.bit.french.retail.final.by.parisien99.sms\mini-kms_activator_v1.052\mini-kms_activator_v1.052.exe (Riskware.Keygen) - Quarantined and deleted successfully.
h:\storex\minodlogin 3.9.8.1\elf3.9.8.1.exe (Riskware.KG) - Quarantined and deleted successfully.
h:\storex\powerarchiver 2010 pro 11.71.04\powerarchiver.2010_keygen-fff\Keygen.exe (Spyware.Passwords) - Quarantined and deleted successfully.
c:\program files (x86)\LIBBZ2.DLL (Spyware.OnlineGames) - Quarantined and deleted successfully.
c:\program files (x86)\PACLIB.DLL (Spyware.OnlineGames) - Quarantined and deleted successfully.
c:\program files (x86)\PAUNRAR3.DLL (Spyware.OnlineGames) - Quarantined and deleted successfully.
c:\program files\Win32\setup.exe (Backdoor.Bifrose) - Quarantined and deleted successfully.

[LuckyStrike]

au fait jai fait analysé le fichier sur virustotal et il n'a rien trouvé.
Merci pour ton aide

[Heraultais]

Bonjour LuckyStrike,

D'accord pour l'analyse du fichier sur Virustotal.
Tu vas poursuivre comme ceci:

Etape 1:

• Relance USBFix depuis l'icône sur ton bureau (clic droit sur l'icône puis "Exécuter en tant qu'administrateur")
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
• Clique sur "Suppression"
• Laisse travailler l'outil
• A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse ICI (il est aussi sauvegardé a la racine du disque dur)
• Envoie-moi le lien stp

Etape 2:

As-tu mis à jour ton Internet Explorer? Tu ne m'en parles pas. Si tu ne sais pas faire dis-le, je te guiderai.

Etape 3:

Relance un scan avec ZHPDiag et renvoie le rapport ICI
Envoie-moi le lien stp

@ bientôt.

[Invité]

Bonjour
Excusez moi de cette intrusion
c:\Users\Nicolas\Desktop\tuneup 2011\keygen.exe (RiskWare.Tool.CK) - Quarantined and deleted successfully.
f:\dd 1.5 to\adobe photoshop cs4 extension\Cracks\adobe-master-cs4pre-keygen_1.1.exe (Trojan.Agent.CK) - Quarantined and deleted successfully.
f:\microsoft.office.2010.vf.32.bit.french.retail.final.by.parisien99.sms\mini-kms_activator_v1.052\mini-kms_activator_v1.052.exe (Riskware.Keygen) - Quarantined and deleted successfully.
h:\storex\microsoft.office.2010.vf.32.bit.french.retail.final.by.parisien99.sms\mini-kms_activator_v1.052\mini-kms_activator_v1.052.exe (Riskware.Keygen) - Quarantined and deleted successfully.
h:\storex\minodlogin 3.9.8.1\elf3.9.8.1.exe (Riskware.KG) - Quarantined and deleted successfully.
h:\storex\powerarchiver 2010 pro 11.71.04\powerarchiver.2010_keygen-fff\Keygen.exe (Spyware.Passwords) - Quarantined and deleted successfully.

LuckyStrike,
Les cracks et keygen sont un danger pour le PC
lit ceci sur le danger des cracks en cliquant sur ce lien:
http://forum.malekal.com/danger-des-cracks-t893.html


c:\program files (x86)\LIBBZ2.DLL (Spyware.OnlineGames) - Quarantined and deleted successfully.
c:\program files (x86)\PACLIB.DLL (Spyware.OnlineGames) - Quarantined and deleted successfully.
c:\program files (x86)\PAUNRAR3.DLL (Spyware.OnlineGames) - Quarantined and deleted successfully.
c:\program files\Win32\setup.exe (Backdoor.Bifrose) - Quarantined and deleted successfully.

Je te conseillerai de changer tes mots de passe à la fin de la désinfection, car
tu avais des logiciels espions qui volent les mots de passe.
Bonne suite

[LuckyStrike]

bonsoir hearaultais.

Voici le rapport usbfix de l’étape 1:
http://cjoint.com/?AKxaG6j4Mw9

Etape 2: Excuse moi j'avais oublier pour internet explorer, mais je ne sais pas comment le mettre a jour. Pourrait tu me l'expliqué ? Merci

[LuckyStrike]

lien etape 3:

http://cjoint.com/?AKxbpoxieK9

dsl mais je n'est pas réussi a le mettre en document texte car quand je l'enregistré avec ZHPdiag il me le mettait en simple fichier.


ps: Merci Jawaryinti pour ce lien sur les cracks. Je ne pensé vraiment pas que ca pouvait faire ca, je ne m’étais pas renseigné.
Je ferais beaucoup plus attention la prochaine fois.

Je vous remercie Jawaryinti et surtout Heraultais pour l'aide proposé ( et donné ) et les conseils que vous me donnés.

[Heraultais]

Bonsoir LuckyStike,

Tu n'as toujours pas mis à jour ton navigateur Mozilla Firefox. Tu fais comme tu veux mais je tiens à te préveir qu'un programme non à jour peut comporter des failles de sécurité et tu peux donc t'exposer à des risques d'infections.
Tes infections sont malheureusement dues à ton comportement de sécurité qui est à revoir. Jawaryinti te l'as déjà fait remarquer.
Le réseau de partage de fichiers (P2P) est un vecteur majeur d'infections d'autant plus si tu télécharges des cracks.
Il vaut mieux réfléchir avant de cliquer sur un fichier téléchargé car après il est trop tard. C'est ton cas actuellement.

Fais ceci en attendant:

Phase 1 :

• Télécharge ce fichier
• Mets en surbrillance toutes les lignes de ce fichier puis fais un clic droit dessus
• Sélectionne "Copier"
• Lance ZHPFix qui se trouve sur ton bureau (clic droit sur l'icône de ZHPFix puis sélectionne "Exécuter comme Administrateur)
• Une fenêtre de ZHPFix s'ouvre
• Clique sur le deuxième bouton représentant le presse papier (bouton à droite de l'appareil photo)
• Les lignes copiées se collent dans la zone de ZHPFix
• Clique sur le bouton "GO"
• Laisse l'outil travailler, à la fin un rapport s'ouvrira
• Colle ce rapport ICI

Phase 2 :

Peux-tu m'analyser ce fichier sur ce site
Le fichier à analyser C:\Users\Nicolas\AppData\Local\Temp\chutil.dll
Envoie-moi le rapport sur le forum.

Phase 3 :

Sais-tu ce que sont ces fichiers exécutables? Appartiennent-ils à Winrar? Sont-ils dans le dossier de WinRar?
C:\Program Files\Rar.exe
C:\Program Files\UnRAR.exe

@ bientôt.

[LuckyStrike]

lien rapport

http://cjoint.com/?AKyatfGTT46

ou rapport


Rapport de ZHPFix 1.12.3370 par Nicolas Coolman, Update du 17/11/2011
Fichier d'export Registre :
Run by Nicolas at 24/11/2011 00:15:07
Windows 7 Business Edition, 64-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: {86D4B82A-ABED-442A-BE86-96357B70F4FE}
ABSENT Software Key: conduitEngine

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Program Files (x86)\Bonjour\mDNSResponder.exe
SUPPRIME Memory Process: C:\Program Files (x86)\Ask.com\UpdateTask.exe
SUPPRIME Memory Process: C:\Users\Nicolas\AppData\Local\Temp\powarc1200int.exe

========== Module(s) mémoire ==========
SUPPRIME Reboot Memory Module: C:\Program Files\RarExt.dll

========== Clé(s) du Registre ==========
ABSENT Key: CLSID BHO: {30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT Key: CLSID BHO: {D4027C7F-154A-4066-A1AD-4243D8127440}
ABSENT Key: Service: gpsvc
SUPPRIME Key: HKCU\Software\AppDataLow\AskToolbarInfo
SUPPRIME Key: HKCU\Software\AppDataLow\Software\AskToolbar
SUPPRIME Key: HKCU\Software\AppDataLow\Software\ConduitSearchScopes
SUPPRIME Key: HKCU\Software\AppDataLow\Software\conduitEngine
SUPPRIME Key: HKCU\Software\AppDataLow\Toolbar
SUPPRIME Key: HKCU\Software\Ask.com
SUPPRIME Key: HKCU\Software\PCTuto
SUPPRIME Key**: HKLM\Software\BrowserChoice
ABSENT Key: HKLM\Software\Conduit
ABSENT Key: HKLM\Software\PCTuto
ABSENT Key: Service Legacy: LEGACY_X6VA005
SUPPRIME Key: Service: Bonjour Service
SUPPRIME Key: Service: X6va005

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
SUPPRIME URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}
SUPPRIME RunValue: HKCU
SUPPRIME {E753AF68-558A-4EE2-B6DB-A9D07DF39FD6}
SUPPRIME {EDF233E2-FBB3-4859-A4FC-B9B55A45AA7A}
SUPPRIME {8CB5117B-ECE7-4B4E-91B3-82988255A662}
SUPPRIME {A571A1E4-DD2C-46B7-8DAA-A5378268BFC3}
SUPPRIME {B1226A79-A160-43C5-A05F-4DB766E3811F}
SUPPRIME {7A763BFE-AE78-4622-9396-F26AF64F5C64}
SUPPRIME {53B0ACD3-E63A-4144-A4DF-554FD0806D3A}
SUPPRIME {42E531FF-41C8-40A0-B66D-C57F1E38EFAF}

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Nicolas\AppData\Local\28050
SUPPRIME Folder: C:\Users\Nicolas\AppData\Local\Conduit
SUPPRIME Folder: C:\Users\Nicolas\AppData\Local\dxhr
SUPPRIME Folder: C:\Program Files (x86)\Ask.com
SUPPRIME Folder: C:\Program Files (x86)\ConduitEngine
SUPPRIME Folder: C:\Program Files (x86)\PCTuto
SUPPRIME Folder: C:\Program Files (x86)\VB

========== Fichier(s) ==========
SUPPRIME File***: c:\program files (x86)\bonjour\mdnsresponder.exe
SUPPRIME File: c:\program files (x86)\utorrentbar_fr\prxtbutor.dll
SUPPRIME Reboot c:\program files (x86)\ask.com
SUPPRIME Reboot c:\users\nicolas\appdata\roaming\explorer\system.exe
SUPPRIME File*: c:\users\nicolas\appdata\local\temp\powarc1200int.exe
SUPPRIME File: C:\Users\Nicolas\AppData\Local\Temp\uttAD25.tmp.bat
SUPPRIME File*: c:\users\nicolas\appdata\local\temp\uttad25.tmp.bat
SUPPRIME File: C:\Users\Nicolas\AppData\Local\Temp\uttAD64.tmp.bat
SUPPRIME File*: c:\users\nicolas\appdata\local\temp\uttad64.tmp.bat
SUPPRIME File: C:\Users\Nicolas\AppData\Local\Temp\uttF634.tmp.bat
SUPPRIME File*: c:\users\nicolas\appdata\local\temp\uttf634.tmp.bat
SUPPRIME File: C:\Users\Nicolas\AppData\Local\Temp\uttF6A2.tmp.bat
SUPPRIME File*: c:\users\nicolas\appdata\local\temp\uttf6a2.tmp.bat
ABSENT File: c:\program files (x86)\bonjour\mdnsresponder.exe
ABSENT File: c:\users\nicolas\appdata\local\temp\00555ec.tmp

========== Tache planifiée ==========
SUPPRIME Task: Scheduled Update for Ask Toolbar


========== Récapitulatif ==========
3 : Processus mémoire
1 : Module(s) mémoire
16 : Clé(s) du Registre
11 : Valeur(s) du Registre
7 : Dossier(s)
15 : Fichier(s)
2 : Logiciel(s)
1 : Tache planifiée


End of clean in 00mn 09s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 24/11/2011 00:15:08 [3969]

[LuckyStrike]

salut heraultais, encore merci pour ton aide.

j'aimerai revenir sur la mise a jour des navigateurs. Voila je ne vous te parettre insolent n'y te manqué de respect mais je ne trouve aucune mise a jour a faire sur mes navigateurs. J'essaye de suivre tes conseils a la lettre car je sais que j'ai fait des erreurs, mais sur l'avant dernier message je t'avait dit que je ne savait pas a le faire et si tu pouvait m'expliqué ( c'est pas grave tu n'a pas du voir le message).
Donc j'ai essayé de les mettre a jours mais je n'est rien toué. Mais si tu me dit qu'il ne sont pas a jour, je te crois. Pourrait tu alors m'expliqué quelle méthode tu utilise pour les mettre a jour?

Encore merci pour tout

[LuckyStrike]

Phase 2:

désoler je n'ai pas trouvé Le fichier à analyser C:\Users\Nicolas\AppData\Local\Temp\chutil.dll . Je ne sais pas ou il se trouve

Phase 3:
C:\Program Files\Rar.exe
C:\Program Files\UnRAR.exe

Ce sont bien des fichiers exécutables qui appartiennent a winrar et qui se trouve dans le dossier winrar.
Voila

[Heraultais]

Bonjour LuckyStike,

Bien pour ZHPFix (excellent travail)
Bien pour les deux fichiers qui appartiennent à WinRar

Phase 1:

Pour le navigateur Firefox, il est bien à jour; je me suis un peu embarqué à tord et à travers.

Phase 2:

Le fichier à analyser C:\Users\Nicolas\AppData\Local\Temp\chutil.dll . Je ne sais pas ou il se trouve
Pour que tu vois ce fichier il faut modifier les options d'affichage des dossiers; il faut faire ceci:

• Clique sur le bouton "Démarrer"
• Sélectionne "Panneau de configuration"
• Clique sur l'icône "Options des dossiers"
• Une boîte de dialogue s'ouvre, clique sur l'onglet "Affichage"
• En dessous de fichiers et dossiers cachés, coche le bouton radio en face de "Afficher les fichiers, dossiers ou lecteurs cachés"
• Descend un peu plus bas, tu trouveras deux cases à cocher qu'il te faudra décocher
  Masquer les extensions des fichiers dont le type est connu
  Masquer les fichiers protégés du système d'exploitation (recommandé)
• Clique sur le bouton "Appliquer" puis "OK"
• Tu as dorénavant accès aux dossiers et fichiers cachés
• Va rechercher le fichier suivant: Le fichier à analyser C:\Users\Nicolas\AppData\Local\Temp\chutil.dll
• Envoie le sur http://www.virustotal.com
• Envoie-moi le rapport.

Phase 3:

Relance un MalwareBytes et renvoie-moi le rapport stp
@ bientôt.

[LuckyStrike]

il me mettent ca comme rapport pour le fichier:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2011.11.23.00 23/11/2011 -
AntiVir 7.11.18.55 24/11/2011 -
Antiy-AVL 2.0.3.7 24/11/2011 -
Avast 6.0.1289.0 23/11/2011 -
AVG 10.0.0.1190 24/11/2011 -
BitDefender 7.2 24/11/2011 -
ByteHero 1.0.0.1 14/11/2011 -
CAT-QuickHeal 12,00 22/11/2011 -
ClamAV 0.97.3.0 24/11/2011 -
Commtouch 5.3.2.6 24/11/2011 -
Comodo 10786 24/11/2011 -
DrWeb 5.0.2.03300 24/11/2011 -
Emsisoft 5.1.0.11 24/11/2011 -
eSafe 7.0.17.0 24/11/2011 -
eTrust-Vet 37.0.9585 24/11/2011 -
F-Prot 4.6.5.141 23/11/2011 -
F-Secure 9.0.16440.0 24/11/2011 -
Fortinet 4.3.370.0 24/11/2011 -
GData 22 24/11/2011 -
Ikarus T3.1.1.109.0 24/11/2011 -
Jiangmin 13.0.900 24/11/2011 -
K7AntiVirus 9.119.5525 23/11/2011 -
Kaspersky 9.0.0.837 24/11/2011 -
McAfee 5.400.0.1158 24/11/2011 -
McAfee-GW-Edition 2010.1D 24/11/2011 -
Microsoft 1,7801 24/11/2011 -
NOD32 6656 24/11/2011 -
Norman 06/07/13 24/11/2011 -
Nprotect 2011-11-24.02 24/11/2011 -
Panda 10.0.3.5 24/11/2011 -
PCTools 8.0.0.5 24/11/2011 -
Prevx 3.0 24/11/2011 -
Rising 23.85.03.02 24/11/2011 -
Sophos 4.71.0 24/11/2011 -
SUPERAntiSpyware 4.40.0.1006 24/11/2011 -
Symantec 20111.2.0.82 24/11/2011 -
TheHacker 6.7.0.1.347 24/11/2011 -
TrendMicro 9.500.0.1008 24/11/2011 -
TrendMicro HouseCall- 9.500.0.1008 24/11/2011 -
VBA32 3.12.16.4 24/11/2011 -
DétectéAucun 11135 24/11/2011 -
ViRobot 2011.11.24.4791 24/11/2011 -
VirusBuster 14.1.82.0 24/11/2011 -
Informations complémentairesMontrer tous les
MD5: 8a497e8284c2b9e71bca1ec8a165af03
SHA1: 644790ff27cb6afa9852c2628936818d9c1caf74
SHA256: 7fa4ddf58b83c0910d78b4c261a0b743361811e7dac04bcd2db5b3a17cc4d471
ssdeep: 1536: ivEQzXr7vV8OBaKzsMmfQ5OO9mJJJJJJJ366666666Ab: ivEQL3daOmfQ5OlJJJJJJJ
Taille du fichier: 93184 bytes
Première vue: 15/08/2011 19:56:15
La dernière fois: 24/11/2011 13:54:19
TrID:
Win32 Executable MS Visual C + + (générique) (75,0%)
Win32 Executable Generic (16.9%)
Generic Win / DOS Executable (3,9%)
exécutable DOS générique (3,9%)
Fichier Autodesk image CIDF (extensions: flc, fli, cel) (0,0%)
sigcheck:
Editeur ....: n / a
le droit d'auteur ....: n / a
produit ......: n / a
Description ..: n / a
nom original: n / a
Nom interne: n / a
version du fichier: n / a.
.....: commentaires n / a
......: signataires -
la date de signature: -.
vérifiées .....: Unsigned
PEInfo: informations sur la structure PE

[[données de base]]
entrypointaddress: 0x4D41
TimeDateStamp ....: 0x4E490400 (lun. 15 août 2011 11:33:20)
machine par ......: 0x14c (I386) [[5 article (s )]] nom, viradd, virsiz, rawdsiz, ntropy, md5 . texte, 0x1000, 0xF8D9, 0xFA00, 6,67, 5a21e2f8e57230608a6fb1f0aa1d73a0 . rdata, 0x11000, 0x3A5D, 0x3C00, 5,40, 96886787b63c4ddd6bc6c906082b4c67 . données, 0x15000, 0x2FB4, 0x1400, 3,58, 26a8ba2a4402492c98b711daaea021e3 . rsrc, 0x18000, 0x1B4, 0x200, 5.11, 7241e7e0800e72889d9c4f6d6e348ab6 . reloc, 0x19000, 0x1AA4, 0x1C00, 4.20, c326605e9526ae3526a17905f6e48953 [[5 importation (s)]] rpcrt4.dll: UuidCreateSequential, RpcStringFreeA, UuidToStringA Kernel32.dll: GetLastError, WriteFile, CreateFileA, ReadFile, Sommeil, FlushFileBuffers, CloseHandle, UnhandledExceptionFilter, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, GetModuleHandleA, LoadLibraryA, InitializeCriticalSectionAndSpinCount, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, HEAPSIZE, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, GetModuleFileNameA, GetStdHandle, ExitProcess, HeapDestroy, HeapCreate, HeapReAlloc, VirtualAlloc, VirtualFree, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, HeapAlloc, HeapFree, GetCurrentThreadId, GetCommandLineA, RaiseException, RtlUnwind, TerminateProcess, GetCurrentProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, IsValidCodePage, GetModuleHandleW, GetProcAddress, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, LCMapStringA, WideCharToMultiByte, MultiByteToWideChar, LCMapStringW ADVAPI32.dll: RegCreateKeyExA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegSetValueExA sqlite3.dll: sqlite3_exec, sqlite3_close, sqlite3_open, sqlite3_busy_timeout, sqlite3_changes, sqlite3_errmsg, sqlite3_finalize, sqlite3_step, sqlite3_column_type, sqlite3_column_int, sqlite3_column_count, sqlite3_free, sqlite3_mprintf, sqlite3_prepare_v2 WININET.DLL: HttpAddRequestHeadersA, InternetCrackUrlA, InternetReadFile, HttpQueryInfoA, HttpOpenRequestA, InternetConnectA, InternetOpenA, InternetGetConnectedState , InternetCloseHandle, HttpSendRequestA [[6 exportation (s)]] @ _call_url 4, _ch_hp @ 8, _ch_sp @ 16, @ _ff_hp 8, _ff_sp @ 12, @ 8 _init_uid


















ExifTool:
les métadonnées du fichier
CodeSize: 64000
EntryPoint: 0x4d41
Taille: 91 kB
FileType: DLL Win32
IMAGEVERSION: 0,0
InitializedDataSize: 28160
LinkerVersion: 9,0
MIMEType: application / octet-stream
machine par: Intel 386 ou plus tard, et compatibles
OSVersion: 5,0
PEType: PE32
Subsystem : Windows GUI
SubsystemVersion: 5.0
TimeStamp: 2011:08:15 13:33:20 +02:00
UninitializedDataSize: 0

[LuckyStrike]

Phase 3: rapport MalwareBytes

lien: http://cjoint.com/?AKyqVWIUCDn

ou rapport:

Malwarebytes' Anti-Malware 1.51.2.1300
http://www.malwarebytes.org

Version de la base de données: 8211

Windows 6.1.7600
Internet Explorer 9.0.8112.16421

24/11/2011 16:44:00
mbam-log-2011-11-24 (16-44-00).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|H:\|)
Elément(s) analysé(s): 604620
Temps écoulé: 1 heure(s), 31 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Backdoor.HMCPol.Gen) - Value: HKCU - Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\ZHP\quarantine\system.exe.vir (Worm.Rebhip) - Quarantined and deleted successfully.

[Heraultais]

Bonsoir,

Ok le fichier C:\Users\Nicolas\AppData\Local\Temp\chutil.dll que je t'ai fait analyser sur virustotal est légitime et n'est pas infecté.

Pense à remettre l'affichage des fichiers et dossiers cachés en mode normal (c'est à dire qu'on ne les voit pas). Il suffit de reprendre la procédure d'affichage des dossiers et fichiers cachés à l'inverse. OK?

• Relance MalwareBytes
• Clique sur l'onglet "Quarantaine"
• Vide la quarantaine

Maintenant dis-moi comment se comporte ton pc. As-tu toujours des problèmes? Si oui, lesquels?

@ bientôt

[LuckyStrike]

Bonsoir Heraultais,
ok je vais les remettre en mode normal.

Sinon, sur mon pc j'ai constaté quel choses bizarre: Déjà il met plus de temps pour démarre (avant il démarré comme une bombe, mais maintenant depuis cette intrusion il prend vraiment son temps pour s'allumé).
De plus, il y a un autre trucs de bizarre: c'est que quelque fois depuis l'intrusion mon pc s’éteint comme ça, d'un coup, sans rien faire. Je ne sais pas a quoi c'est du et avant ça ne me le faisait pas.

[Heraultais]

OK.

Premièrement:
As-tu changé tous tes mots de passe comme te le préconisait Jawaryinti?

Deuxièmement:

• Clique sur le bouton "Démarrer"
• Dans la zone de recherche, juste au -dessus, tape ceci: msconfig
• Appuie sur la touche "Entrée" de ton clavier
• Une fenêtre s'ouvre
• Clique sur l'onglet "Démarrage"
• Pourrais-tu m'envoyer une capture de cette image (elle me montrera toutes les applications qui se lancent au démarrage)
• Utilise la barre défilement verticale pour voir toutes les applications et fait une capture chaque fois.

Troisièmement:
Clique sur "Démarrer"
Clic droit sur "Ordinateur"
Dans le menu contextuel, clique sur "Propriétés"
Une fenêtre s'ouvre, clique sur Options avancées à gauche
Une boîte de dialogue s'ouvre, dans la zone "Démarrage et Récupération" clique sur sur le bouton "Paramètres"
Une autre boîte de dialogue s'ouvre, décoche "Redémarrer automatiquement"
Clique ensuite sur le bouton OK puis à nouveau sur OK
Redémarre ton ordinateur

@ bientôt.

[LuckyStrike]

Premierement:
Oui j'ai changer la plupart des mots de passe. Je finit de changer le reste.

Deuxiement:
voila les captures:


http://cjoint.com/?AKywIMT0vnv

http://cjoint.com/?AKywJMJSEik

http://cjoint.com/?AKywKtQykQQ

merci

[Heraultais]

Bonjour LuckyStrike,

Ola!!!!!! Je comprends pourquoi cela rame au démarrage. Toutes ces applications (programmes résidents) se lancent en arrière plan lors du démarrage du sytème. Pour l'utilisateur ces programmes lancés sont invisibles mais ils se lancent et ralentissent le démarrage. Je ne vois pas bien les programmes mais les principaux sont ci-dessous

Je te conseille de ne garder que ceux-ci:

• Les deux premiers
• Système d'exploiation
• Adobe reader
• Java
• Bluetooth

Une fois que tu auras décoché tous les autres, tu cliques sur le bouton "Appliquer" puis "OK"
Il te sera demandé de redémarrer l'ordinateur, fais-le
Au démarrage qui suit une fenêtre va apparaître, tu coches la seule cas à cocher puis tu cliques sur "OK"
(cela évitera de faire apparaître cette fenêtre à chaque démarrage de l'ordinateur)

Voilà après tout ceci dis-moi comment l'ordinateur se comporte.

@ bientôt

[LuckyStrike]

bonjour heraultais, encore merci pour tout

Au demarrage cela va un peu plus vite (mais c'est pas exceptionnel).
Sinon mon pc a des réaction assez bizarre. Ces temps ci (ces 3 derniers jours) il ne rame pas que au démarrage. Pour allumé certains programmes ( ex: iTunes) il met un temps énorme, pour internet c'est pareils. Cela peut il venir a une surcharge de mon ordi en programmes et autres?

[Heraultais]

LuckyStrike,

Pour moi ton problème d'infection est résolu.

Ces temps ci (ces 3 derniers jours) il ne rame pas que au démarrage. Pour allumé certains programmes ( ex: iTunes) il met un temps énorme, pour internet c'est pareils.
Le problème d'Internet peut venir de ta connexion (la bande passante est peut-être mauvaise à l'heure où tu l'utilises). Il faudrait que tu fasses un essai à une heure matinale et regarder si la connexion et la navigation sont plus rapides.
Pour les programmes il faut voir:

• As-tu réalisé un nettoyage de ton disque dur? (avec ccleaner par exemple)
• Depuis quand n'as-tu pas réalisé une défragmentation?

Sais-tu réaliser les deux étapes ci-dessus?

Cela peut il venir a une surcharge de mon ordi en programmes et autres?
NON absolument pas car quand tu cliques sur un programme tu n'ouvres que celui-ci donc les autres ne sont pas concernés.

@ bientôt.

[LuckyStrike]

bonjour heraultais,

Déjà je te remercie pour l'aide fournit jusqu’à aujourd'hui. Ça toujours était très bien expliqué et détaille (et très compréhensible ) .Ca me fait plaisir de voir des gens qui ont encore envie d'aider les autres, c'est rare.

Sinon pour :
As-tu réalisé un nettoyage de ton disque dur? (avec ccleaner par exemple)
Depuis quand n'as-tu pas réalisé une défragmentation?

Je n'est jamais réalisée de défragmentation, n'y de nettoyage de disque. Et je ne sais pas les réalisées.

Mais ne pourrait on pas utilisé un autre programme que CCleaner? il n'y a pas longtemps je les utilisé (car on m'avait qu'il etait utile pour supprimé des dossiers malveillant), et apres utilisation plus aucun programme ne marchait. J'ai du envoyé mon ordi chez un informaticien (ça ma coûte bonbon) qui ma dit que le logiciel avait supprimé les clés du registre. Don je n'est pas envie de revivre la même histoire, j'ai une appréhension au niveau de ce logiciel.

[Heraultais]

Bonjour LuckyStrike,

Comme tu es très réticent et très méfiant à l'égard de ce logiciel, je vais te proposer une solution de repli au cas où. Tu es d'accord?
Alors voilà la solution de repli :

Etape 1:
* Télécharge Macrium reflectfree
* C'est un utilitaire gratuit qui va te permettre de réaliser une image disque que tu pourras consulter et/ou restaurer en cas de besoin
* Une fois téléchargé, installe-le
* Double-clique sur le raccourci bureau "Macrium Reflect"
* Pour pouvoir utiliser le logiciel, tu dois obtenir une clé d'utilisation. Cette clé s'obtient automatiquement avec la version gratuite mais nécessite un accès à internet. Clique sur OK
* L'installation est terminée. Cliquez sur OK.
* Lors de la première utilisation, Macrium Reflect va te demander de créer un CD de secours. Ce CD permet d'utiliser le logiciel lorsque Windows ne peut plus démarrer.
* Il faut impérativement graver ce disque. Place un CDR dans le graveur et clique sur Yes (Oui).
* Choisis le type de CD de secours à créer
* Clique sur "Next"
* Clique sur Finish (Terminer) pour démarrer la gravure du disque
* Le disque de secours est créé. Clique sur OK.
* Ensuite l'utilisation de l'utilitaire est assez facile, il suffit de cliquer sur le menu "Backup"
* Dans le sous-menu, clique sur "Créate Image" (Permet de créer un fichier image que tu sauvegarderas sur une autre partition ou sur un disque dur externe)
* Voilà une fois ton image créée, tu pourras la consulter et surtout la restaurer sur ton ordinateur en cas de clash.

OK c'est bon pour ceci. Maintenant tu peux te dire: Si j'ai un pépin je pourrai à tout moment restaurer cette image disque et retrouver mon ordinateur comme au jour où j'ai créé cette image.


Il n'y a pas longtemps je les utilisé (car on m'avait qu'il était utile pour supprimé des dossiers malveillant), et après utilisation plus aucun programme ne marchait.
Etape 2:
Es-tu certain qu'il s'agit bien du même logiciel car CCleaner Slim n'est pas un outil de désinfection mais reste un outil de nettoyage très efficace et très pratique.
Cet utilitaire gratuit permet entre autre de nettoyer la base de registre de Windows, permet de la vérifier et de l'optimiser en nettoyant les librairies dynamiques (DLL) inexistantes, les contrôles ActiveX, les raccourcis sans cible, les programmes obsolètes, les classes invalides et les extensions de fichier inexistantes.
Puis que tu dispose d'un solution de repli, je te conseille de l'utiliser et de suivre la procédure à la lettre pour garantir un nettoyage efficace de ton ordinateur. OK?

• Télécharge CCleaner slim.
• Installe le puis lance le.
• Clique sur Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
• Enfin, clique sur Registre → corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois).

Etape 3:

• Clique sur le bouton "Démarrer"
• Clique sur "Tous les programmes"
• Clique ensuite sur le dossier "Accessoires"
• Recherche le dossier "Outils système" puis ouvre-le
• Tu vas trouver la commande "Défragmenteur de disque"
• Clique dessus
• Sélectionne la partition que tu veux défragmenter (en principe c'est la partition C: où est installé le système)
• Termine en cliquant sur le bouton "Défragmenter le disque"
• Laisse travailler l'outil jusqu'à la fin de la défragmentation (Sois patient, cela peut prendre du temps)

@ bientôt.

[LuckyStrike]

salut heraultais, dsl pour le retard.

Je ne n'est pas de CD car je ne suis pas chez moi. Des que j'e aurais un je suivrai tes conseils scrupuleusement.
Mais j'avait oublier de te dire aussi que depuis la désinfection il ya des touches qui ne réagisse plus. Par exemple, j'ai un Asus et pour monter le son il faut faire Fn+F12 ( touche pour monter le son ). Mais maintenant quand je fais ca, il n'y a plus rien qui se passe. Et c'est pareille pour par exemple la luminosité que je n'arrive plus a regler avec Fn+F6.
Voila, merci.

[Heraultais]

1) Peux-tu me donner le modèle exact de ton pc stp.
2) aurais-tu un CDRom comportant les pilotes ou drivers?

@+

[LuckyStrike]

Bonsoir Heraultais,

mon pc est un ASUS G73JW-TZ059V.
Pour le cd des pilotes et drivers, je crois que je les, mais il faut que je le retrouve, je ne suis pas sur.

Merci

[Heraultais]

Bonsoir LuckyStrike,

Il serait bon de retrouver ton CD des pilotes ou drivers et de réinstaller les pilotes.
Cette étape permettrait peut-être de retrouver un fonctionnement correct de ton ordinateur.
Sinon nous verrons sur internet mais il est plus efficace d'installer les drivers de la carte-mère, du chipset, de la carte son, ... qui sont spécifiquement adaptés à ton ordinateur.

Bonne soirée.

[LuckyStrike]

Re-bonsoir heraultais,

Je vais le chercher, je te tiens au courant si je le retrouve.

[Invité]

Bonsoir
Tu peux récupérer les pilotes hors Windows avec l'utilitaire Driver Max
Ensuite, avec la réinstallation d'usine, les pilotes Windows sont inclus dedans

http://www.clubic.com/telecharger-fiche ... ermax.html

[LuckyStrike]

bonsoir,

je ne retrouve plus mon cd asus. Dois je utilisé l'utilitaire donnée par Jawaryinti?.
De plus mon antivirus ne fonctionne plus (du a un problème de License que je ne veut pas renouveler). Avez vous des idées sur un bon antivirus que je puisse utilisé ? (ci possible gratuit, et efficace).
En vous remerciant

[Heraultais]

Bonjour LuckyStrike,

Pour ton antivirus, télécharge Avira AntiVir Personal - Free Antivirus.C'est la version gratuite et l'antivirus est bon.
Télécharge-le ICI

Le logiciel de Jawaryinti est un excellent produit mais je pense qu'il est adapté à un système sain sur lequel tu veux récupérer tous tes pilotes.
Ton cas semble différent puisqu'ils sont absents sur ton pc.
Va sur ce site
Suis le programme à la lettre
Après la recherche tous les liens bleus correspondront à des pilotes à mettre à jour (prends la dernière version et installe-la).

@ bientôt.

[LuckyStrike]

Bonjour heraultais,

j'ai telecharger l'antivirus comme tu me la dit. De plus est tu sur du site pour les driver? Cela ne va pas m'endommagée mon pc?

A ou autre chose, depuis quelque temps j'ai l'impression que mon pc est tout le temps a fond. Le ventillo et l'ordi tourne a plein regime meme quand je fait rien, et quand j'allume un programme, par exemple un jeu, ca rame completement et le pc fait beaucoup de bruit.
Voila en te remerciant

[Heraultais]

Bonsoir LuckyStike,

Bien sûr que le site de touslesdrivers est sûr et cela n'endommagera pas ton ordinateur.

Pour ce qui est de ton pc, refais un scan ZHPDiag pour voir et envoie-le sur ce site

@ bientôt.

[LuckyStrike]

Bonjour heraultais,

Pour le rapport je n’arrive pas l'envoyé sur le site car il me dise:
"Les fichiers avec l'extension ne peuvent pas être uploadés !"

[LuckyStrike]

ps: j'ai installer tous les drivers qu'il me donné sur le site (sauf ceux qui était en beta). Alors 3 drivers ne marche pas sur mon ordinateur (il n'ont pas voulu s'installer) et ce qui est pour le drivers du son, cela n'a pas résolu mon problème de réglage du son avec la touche fn de mon clavier.

[Heraultais]

Bonjour LuckyStrike,

Pour le rapport je n’arrive pas l'envoyé sur le site car il me dise:
"Les fichiers avec l'extension ne peuvent pas être uploadés !"
Je ne comprends pas car lorsque tu lances un scan de ton PC avec ZHPDiag, à la fin du scan, un rapport s'ouvre.
Ce rapport est normalement au format .txt. Enregistre dans ce format et envoie-le ICI
En principe un fichier au format texte ne doit pas poser de problème.


Pour les touches de fonction Fn, il est fort probable que lorsque je t'ai fais nettoyer les programmes résidents
lancés au démarrage, je t'ai fait décocher "ASLDR Service".
Si c'est le cas, recoches ce programme, Clique sur "Appliquer" puis sur "OK"
Redémarres ton Pc et je pense que le problème devrait être résolu.

@ bientôt.