Analyse rapports HijackThis [RESOLU]

[MagicLink]

Oui je suis en dualboot !

Voici le rapport pour XP Pro :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:48:31, on 19/04/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\GIGABYTE\GEST\gest.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\GIGABYTE\GEST\GSvr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\WINDOWS\system32\udefrag-gui.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\ultradefrag.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sfr.fr/kit/adsl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/firefox

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.fr/firefox

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F3 - REG:win.ini: run=

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [GEST] C:\Program Files\GIGABYTE\GEST\RUN.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [D-Link D-Link Wireless G DWA-110] C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} (F-Secure Health Check 1.1) - http://support.f-secure.com/enu/home/onlin.../fshc/fscax.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 6672 bytes

[Falkra]

Ton rapport est ok.

 

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F3 - REG:win.ini: run=

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

 

 

Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, relativement simple à utiliser, et gratuit, un bon compromis : http://www.personalfirewall.comodo.com/

Tu trouveras ici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1225

Ne pas installer leur antivirus ni scanner contre des malwares lorsque proposé par l'installateur. Prends le firewall seul, sans Defense+.

 

N'installe pas les toolbars proposées par l'installateur, décoche :

Pendant l'installation refuse de donner ton mail et ne prends pas l'option antimalwares, ce n'est pas nécessaire. Une fois installé, fais clic droit sur son icône près de l'horloge, et dans le menu "Defense +", règle sur "Disabled", si le côté HIPS te dérange, ce n'est pas indispensable de l'activer.

 

Autre option, en français, Online Armor free

Tuto en français : http://infomars.fr/forum/index.php?showtopic=1644

 

 

 

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

Tuto JavaRa : http://www.libellules.ch/tuto_javara.php

 

Rends toi sur cette page de configuration du plugin Flash.

Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours.

Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage.

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) :

(clique sur l'image).

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

[MagicLink]

Donc je vais répondre au cas par cas !

 

1) J'ai relancé HijackThis et fixé les clés que tu m'as montré.

 

2) Une question sur le pare-feu. Je connais comodo puisque je l'utilisais jusqu'à récemment. Si je l'ai désinstallé, c'est pour cette raison: un ami (informaticien) m'a dit que grâce à la box (ndm=neufbox) en mode routeur, je pouvais désinstaller le pare-feu, car la box filtre aussi. Faut-il vraiment que je rajoute un pare-feu ?

 

3) (J'installe PSI )

JavaRa, je connais depuis quelques jours , excellent logiciel ! et que penses-tu de PureRa?

 

4) Pour les plugins et tout ce qui est attrait aux MAJ, j'y tiens énormément de rigueur, je connaissais vite fait cette page de configuration flash, mais je ne l'utilisais pas. Merci !

 

5) J'ai lu "conseils pour éviter une réinfection". Je fais attention à tous ces genres de choses (je suis en formation d'informatique), et ça n'empêche pas d'attraper des ****** !

Sympathique lecture, malheureusement tout le monde ne fait pas gaffe (scan PSi terminé^^), et c'est d'ailleurs la raison pour laquelle ces conseils sont là !

 

6) Pour le P2P, j'ai µtorrent, je télécharge peu, mais je sais que ça peut suffire à avoir des emmerdes ! (le point sur les 10 idées reçues est très bien fait aussi)

 

Voili voilou !

Un grand merci !

[Falkra]

Une question sur le pare-feu. Je connais comodo puisque je l'utilisais jusqu'à récemment. Si je l'ai désinstallé, c'est pour cette raison: un ami (informaticien) m'a dit que grâce à la box (ndm=neufbox) en mode routeur, je pouvais désinstaller le pare-feu, car la box filtre aussi. Faut-il vraiment que je rajoute un pare-feu ?

Ton ami a raison, mais pas entièrement. La plupart des routeurs destinés aux particuliers proposent de la redirection de ports NAT : Network Address Translation. Les modems type "box" le proposent également. Il s'agit de rediriger (ou non) des ports vers la/les machine(s) de votre choix sur un réseau. Si dans la pratique ce système permet de protéger une machine en n'autorisant que certains ports et en bloquant le reste, cela ne dispense pas de l'installation d'un pare-feu logiciel bidirectionnel, qui filtrera non seulement ce qui vient d'internet mais aussi ce qui y va depuis votre machine, ce qu'un routeur NAT ne fait pas. Le pare-feu basique intégré à windows XP ne remplit pas cette fonction, celui de Vista le fait en revanche, mais de façon très limitée. Par ailleurs, un firewall logiciel peut ausi surveiller l'activité des programmes.

 

PureRa, très bien aussi, une fois de temps en temps.

 

N'hésite pas à poser des questions.

[MagicLink]

Ok je vois mieux, je vais réinstaller comodo et je verrai bien !

Sujet résolu !

Merci beaucoup !

[MagicLink]

J'ai commencé à installer Comodo firewall, et j'ai lancé le scan qu'il me propose, j'ai enregistré le rapport :

 

Unclassified Malware(ID = 0x7f6ba0) F:\Jeux\Race Driver GRID\audio\speech\en\08_accidents\team9Term_2.raw

Unclassified Malware(ID = 0x8048b8) E:\Program Files\InstallShield Installation Information\{339E300B-AD83-4013-BABF-E5C0DDAAFE7C}\_Backup\Files\spellforce2.exe

Unclassified Malware(ID = 0x924c0d) E:\Program Files\JoWooD\SpellForce2\PATCH102BACKUP\SpellForce2.exe

Unclassified Malware(ID = 0x7e7e7a) C:\WINDOWS\jestertb.dll

 

Au niveau des jeux, j'en étais conscient, donc je ne suis pas étonné !

 

Par contre pour le dernier...soit Malwarebytes' Anti-Malware ne l' pas detecté, soit il est apparu après avoir scanné avec....

Je vais désinstaller Spellforce 2, j'y joue pas lol, GRID jle garde pour l'instant.

Reste le dernier !

Merci.

[Falkra]

C'est pour ça que j'avais dit de ne pas installer tous ces trucs. Son antimalware est mauvais, MBAM est bien plus efficace.

 

Unclassified Malware(ID = 0x7f6ba0) F:\Jeux\Race Driver GRID\audio\speech\en\08_accidents\team9Term_2.raw

Unclassified Malware(ID = 0x8048b8) E:\Program Files\InstallShield Installation Information\{339E300B-AD83-4013-BABF-E5C0DDAAFE7C}\_Backup\Files\spellforce2.exe

Unclassified Malware(ID = 0x924c0d) E:\Program Files\JoWooD\SpellForce2\PATCH102BACKUP\SpellForce2.exe

Unclassified Malware(ID = 0x7e7e7a) C:\WINDOWS\jestertb.dll

 

Le premier fichier est un fichier de jeu vidéo. Pas un malware.

Le 2eme et 3eme, idem. Il n'aime pas les jeux, c'est développé par des associations de parents on dirait.

 

Le dernier par contre, je ne l'aime pas.

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\windows\jestertb.dll
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

[MagicLink]

Voilà l'analyse :

 

 

Fichier jestertb.dll reçu le 2009.04.21 22:49:23 (CET)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.04.21 -

AhnLab-V3 5.0.0.2 2009.04.21 -

AntiVir 7.9.0.148 2009.04.21 -

Antiy-AVL 2.0.3.1 2009.04.21 -

Authentium 5.1.2.4 2009.04.21 W32/Trojan2.HVL

Avast 4.8.1335.0 2009.04.21 -

AVG 8.5.0.287 2009.04.21 -

BitDefender 7.2 2009.04.21 -

CAT-QuickHeal 10.00 2009.04.21 -

ClamAV 0.94.1 2009.04.21 -

Comodo 1124 2009.04.21 Unclassified Malware

DrWeb 4.44.0.09170 2009.04.21 -

eSafe 7.0.17.0 2009.04.21 -

eTrust-Vet 31.6.6440 2009.04.20 -

F-Prot 4.4.4.56 2009.04.21 W32/Trojan2.HVL

F-Secure 8.0.14470.0 2009.04.21 -

Fortinet 3.117.0.0 2009.04.21 -

GData 19 2009.04.21 -

Ikarus T3.1.1.49.0 2009.04.21 -

K7AntiVirus 7.10.710 2009.04.21 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2009.04.21 -

McAfee 5591 2009.04.21 -

McAfee+Artemis 5591 2009.04.21 -

McAfee-GW-Edition 6.7.6 2009.04.21 -

Microsoft 1.4602 2009.04.21 -

NOD32 4025 2009.04.21 -

Norman 6.00.06 2009.04.21 -

nProtect 2009.1.8.0 2009.04.21 -

Panda 10.0.0.14 2009.04.21 Trj/Agent.LIZ

PCTools 4.4.2.0 2009.04.21 Trojan.Agent.EAUU

Prevx1 V2 2009.04.21 High Risk Worm

Rising 21.26.14.00 2009.04.21 -

Sophos 4.40.0 2009.04.21 -

Sunbelt 3.2.1858.2 2009.04.21 -

Symantec 1.4.4.12 2009.04.21 -

TheHacker 6.3.4.0.312 2009.04.21 -

TrendMicro 8.700.0.1004 2009.04.21 -

VBA32 3.12.10.2 2009.04.21 -

ViRobot 2009.4.21.1702 2009.04.21 -

VirusBuster 4.6.5.0 2009.04.21 Trojan.Agent.EAUU

Information additionnelle

File size: 20992 bytes

MD5...: 65dabb831da51500dfa31b40252803e2

SHA1..: 82790a1b47069df4e71750ee13469b0ab13f0129

SHA256: 5124411fe82c961a2c06b518cfb54dc7dfd94f491ba5d13f752e166f80d33d99

SHA512: 7800b8d87f1f1942c560a37c94e880ab12e6d4e73cb03583876e2434415c8028<br>46a41bf6a17c6594fe40e9937884beb0420423238f19b9da7efc4829df208ec9

ssdeep: 384:VtCh+FKTIqxrEvsfZg6casm3k6sXARuxzEVXuaUQkXI:VLFvqhEvsRg6casm<br>XswRu1arU<br>

PEiD..: -

TrID..: File type identification<br>Win32 Executable Generic (58.3%)<br>Win16/32 Executable Delphi generic (14.1%)<br>Generic Win/DOS Executable (13.7%)<br>DOS Executable Generic (13.6%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x475c<br>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>CODE 0x1000 0x37b4 0x3800 6.49 d78b7bc3ca289532671167bfb0277962<br>DATA 0x5000 0xcc 0x200 1.94 db5a50cf900334485962b7400fdb11a7<br>BSS 0x6000 0x4e9 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x7000 0x662 0x800 3.79 ac16988faccf8105c91efe309c85dbfa<br>.edata 0x8000 0x53 0x200 0.84 ba9f5961e441f7f06448ddc72f655f6d<br>.reloc 0x9000 0x3cc 0x400 6.40 10f1dbb256201f7741111d0b5b3ee84d<br>.rsrc 0xa000 0x600 0x600 3.18 a8e39005859f5e6c8e0fc80e00d4cb8c<br><br>( 7 imports ) <br>> kernel32.dll: GetCurrentThreadId, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, VirtualQuery, lstrlenA, lstrcpynA, lstrcpyA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle<br>> user32.dll: GetKeyboardType, MessageBoxA, CharNextA<br>> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<br>> oleaut32.dll: VariantCopyInd, VariantClear, SysFreeString, SysReAllocStringLen<br>> kernel32.dll: TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc, GetModuleFileNameA<br>> kernel32.dll: WaitForSingleObject, GetCurrentProcessId, DisableThreadLibraryCalls<br>> user32.dll: SetWindowLongA, RegisterWindowMessageA, MessageBeep, GetWindowThreadProcessId, FindWindowA, CallWindowProcA<br><br>( 1 exports ) <br>WhatsTheBuildNumber<br>

PDFiD.: -

RDS...: NSRL Reference Data Set<br>-

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=65dabb831da51500dfa31b40252803e2''>http://www.threatexpert.com/report.aspx?md5=65dabb831da51500dfa31b40252803e2' target='_blank'>http://www.threatexpert.com/report.aspx?md5=65dabb831da51500dfa31b40252803e2</a>'>http://www.threatexpert.com/report.aspx?md5=65dabb831da51500dfa31b40252803e2</a>

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=F3E96E8300C41801522B0028225A15008A57A25D''>http://info.prevx.com/aboutprogramtext.asp?PX5=F3E96E8300C41801522B0028225A15008A57A25D' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=F3E96E8300C41801522B0028225A15008A57A25D</a>'>http://info.prevx.com/aboutprogramtext.asp?PX5=F3E96E8300C41801522B0028225A15008A57A25D</a>

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.04.21 -

AhnLab-V3 5.0.0.2 2009.04.21 -

AntiVir 7.9.0.148 2009.04.21 -

Antiy-AVL 2.0.3.1 2009.04.21 -

Authentium 5.1.2.4 2009.04.21 W32/Trojan2.HVL

Avast 4.8.1335.0 2009.04.21 -

AVG 8.5.0.287 2009.04.21 -

BitDefender 7.2 2009.04.21 -

CAT-QuickHeal 10.00 2009.04.21 -

ClamAV 0.94.1 2009.04.21 -

Comodo 1124 2009.04.21 Unclassified Malware

DrWeb 4.44.0.09170 2009.04.21 -

eSafe 7.0.17.0 2009.04.21 -

eTrust-Vet 31.6.6440 2009.04.20 -

F-Prot 4.4.4.56 2009.04.21 W32/Trojan2.HVL

F-Secure 8.0.14470.0 2009.04.21 -

Fortinet 3.117.0.0 2009.04.21 -

GData 19 2009.04.21 -

Ikarus T3.1.1.49.0 2009.04.21 -

K7AntiVirus 7.10.710 2009.04.21 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2009.04.21 -

McAfee 5591 2009.04.21 -

McAfee+Artemis 5591 2009.04.21 -

McAfee-GW-Edition 6.7.6 2009.04.21 -

Microsoft 1.4602 2009.04.21 -

NOD32 4025 2009.04.21 -

Norman 6.00.06 2009.04.21 -

nProtect 2009.1.8.0 2009.04.21 -

Panda 10.0.0.14 2009.04.21 Trj/Agent.LIZ

PCTools 4.4.2.0 2009.04.21 Trojan.Agent.EAUU

Prevx1 V2 2009.04.21 High Risk Worm

Rising 21.26.14.00 2009.04.21 -

Sophos 4.40.0 2009.04.21 -

Sunbelt 3.2.1858.2 2009.04.21 -

Symantec 1.4.4.12 2009.04.21 -

TheHacker 6.3.4.0.312 2009.04.21 -

TrendMicro 8.700.0.1004 2009.04.21 -

VBA32 3.12.10.2 2009.04.21 -

ViRobot 2009.4.21.1702 2009.04.21 -

VirusBuster 4.6.5.0 2009.04.21 Trojan.Agent.EAUU

 

Information additionnelle

File size: 20992 bytes

MD5...: 65dabb831da51500dfa31b40252803e2

SHA1..: 82790a1b47069df4e71750ee13469b0ab13f0129

SHA256: 5124411fe82c961a2c06b518cfb54dc7dfd94f491ba5d13f752e166f80d33d99

SHA512: 7800b8d87f1f1942c560a37c94e880ab12e6d4e73cb03583876e2434415c8028<br>46a41bf6a17c6594fe40e9937884beb0420423238f19b9da7efc4829df208ec9

ssdeep: 384:VtCh+FKTIqxrEvsfZg6casm3k6sXARuxzEVXuaUQkXI:VLFvqhEvsRg6casm<br>XswRu1arU<br>

PEiD..: -

TrID..: File type identification<br>Win32 Executable Generic (58.3%)<br>Win16/32 Executable Delphi generic (14.1%)<br>Generic Win/DOS Executable (13.7%)<br>DOS Executable Generic (13.6%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x475c<br>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>CODE 0x1000 0x37b4 0x3800 6.49 d78b7bc3ca289532671167bfb0277962<br>DATA 0x5000 0xcc 0x200 1.94 db5a50cf900334485962b7400fdb11a7<br>BSS 0x6000 0x4e9 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x7000 0x662 0x800 3.79 ac16988faccf8105c91efe309c85dbfa<br>.edata 0x8000 0x53 0x200 0.84 ba9f5961e441f7f06448ddc72f655f6d<br>.reloc 0x9000 0x3cc 0x400 6.40 10f1dbb256201f7741111d0b5b3ee84d<br>.rsrc 0xa000 0x600 0x600 3.18 a8e39005859f5e6c8e0fc80e00d4cb8c<br><br>( 7 imports ) <br>> kernel32.dll: GetCurrentThreadId, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, VirtualQuery, lstrlenA, lstrcpynA, lstrcpyA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle<br>> user32.dll: GetKeyboardType, MessageBoxA, CharNextA<br>> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<br>> oleaut32.dll: VariantCopyInd, VariantClear, SysFreeString, SysReAllocStringLen<br>> kernel32.dll: TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc, GetModuleFileNameA<br>> kernel32.dll: WaitForSingleObject, GetCurrentProcessId, DisableThreadLibraryCalls<br>> user32.dll: SetWindowLongA, RegisterWindowMessageA, MessageBeep, GetWindowThreadProcessId, FindWindowA, CallWindowProcA<br><br>( 1 exports ) <br>WhatsTheBuildNumber<br>

PDFiD.: -

RDS...: NSRL Reference Data Set<br>-

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=65dabb831da51500dfa31b40252803e2' target='_blank'>http://www.threatexpert.com/report.aspx?md5=65dabb831da51500dfa31b40252803e2</a>

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=F3E96E8300C41801522B0028225A15008A57A25D' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=F3E96E8300C41801522B0028225A15008A57A25D</a>

[Falkra]

On va le shooter, mais de toute façon, il était inactif.

 

Télécharge OTMoveIt3 par OldTimer.

• Enregistre ce fichier sur le Bureau.
  
• Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :processes
  explorer.exe 
  :files
  C:\windows\jestertb.dll
  
  :commands
  [zipfiles]
  [start explorer]

  
  

• Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt3
  
• Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

[MagicLink]

Voici le rapport :

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== FILES ==========

DllUnregisterServer procedure not found in C:\windows\jestertb.dll

C:\windows\jestertb.dll NOT unregistered.

C:\windows\jestertb.dll moved successfully.

========== COMMANDS ==========

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04212009_230324