Crash répétés et sites bloqués

[Thanos]

ok, le rapport est encourageant

 

Il y a des corrections à faire et quelques fichiers à faire analyser en ligne stp (c'est rapide!) >>

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\WINDOWS\system32\regedit.exe

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Note: il arrive parfois que le fichier ait déjà été analysé. Si c'est le cas, clique sur le bouton Reanalyse file now

 

Fais de même avec ce fichier stp >> C:\WINDOWS\system32\pvmser.exe

[aziouz]

Pour regedit.exe, c'est un fichier microsoft certifié copié par moi-même du répertoire windows à un moment où je n'arrivais pas à acceder à la base de registre (?!).

 

Par contre pvmser.exe (Application inconnue), reproduite plusieurs fois dans la base de registre et active en mémoire, m'est totalement inconnue !!

 

 

Fichier pvmser.exe reçu le 2009.06.08 01:33:13 (UTC) AntivirusVersionDernière mise à jour

Résultats

 

a-squared 4.0.0.101 2009.06.04 -

AhnLab-V3 5.0.0.2 2009.06.07 -

AntiVir 7.9.0.180 2009.06.07 -

Antiy-AVL 2.0.3.1 2009.06.05 -

Authentium 5.1.2.4 2009.06.08 -

Avast 4.8.1335.0 2009.06.07 -

AVG 8.5.0.339 2009.06.07 -

BitDefender 7.2 2009.06.08 -

CAT-QuickHeal 10.00 2009.06.06 -

ClamAV 0.94.1 2009.06.08 -

Comodo 1281 2009.06.08 -

DrWeb 5.0.0.12182 2009.06.08 -

eSafe 7.0.17.0 2009.06.07 -

eTrust-Vet 31.6.6542 2009.06.05 -

F-Prot 4.4.4.56 2009.06.08 -

F-Secure 8.0.14470.0 2009.06.08 -

Fortinet 3.117.0.0 2009.06.07 -

GData 19 2009.06.08 -

Ikarus T3.1.1.59.0 2009.06.08 -

K7AntiVirus 7.10.754 2009.06.04 -

Kaspersky 7.0.0.125 2009.06.08 -

McAfee 5639 2009.06.07 -

McAfee+Artemis 5639 2009.06.07 -

McAfee-GW-Edition 6.7.6 2009.06.07 -

Microsoft 1.4701 2009.06.07 -

NOD32 4136 2009.06.07 -

Norman 6.01.09 2009.06.05 -

nProtect 2009.1.8.0 2009.06.07 -

Panda 10.0.0.14 2009.06.07 -

PCTools 4.4.2.0 2009.06.06 -

Prevx 3.0 2009.06.08 -

Rising 21.32.62.00 2009.06.07 -

Sophos 4.42.0 2009.06.08 -

Sunbelt 3.2.1858.2 2009.06.07 -

Symantec 1.4.4.12 2009.06.08 -

TrendMicro 8.950.0.1092 2009.06.06 -

VBA32 3.12.10.6 2009.06.08 -

ViRobot 2009.6.5.1771 2009.06.05 -

VirusBuster 4.6.5.0 2009.06.07 -

Information additionnelle

File size: 86016 bytes

MD5...: 96a48c8a8d7a3f353dc5d23fb4ff03a5

SHA1..: 48f0cb84a9186e0f751085caf894e23befa46959

SHA256: d3101d07232fa9233cda8b4f4e984d4127ff7d300af9177414396a51d425b779

ssdeep: -

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x3bc0

timedatestamp.....: 0x467a941e (Thu Jun 21 15:07:10 2007)

machinetype.......: 0x14c (I386)

 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xc554 0xd000 6.44 3efb4372bca50d39538ec5814f92a00b

.rdata 0xe000 0x3178 0x4000 4.70 cf50e04716191eec91afc3834dc98079

.data 0x12000 0x2f88 0x2000 1.27 d96342c4f3328cdd9a275c0cbb345411

.rsrc 0x15000 0xb0 0x1000 3.05 77ce695c811789dde0a61350084b87ab

 

( 5 imports )

> pvmservdll.dll: -, -, -, -, -

> KERNEL32.dll: GetVersionExA, GetModuleFileNameA, CreateMutexA, SetEndOfFile, Sleep, ReleaseMutex, GetShortPathNameA, GlobalUnlock, GlobalFree, GlobalAlloc, GlobalLock, SetFileAttributesA, GetWindowsDirectoryA, DeviceIoControl, GetVersion, CreateFileA, CloseHandle, GetLastError, HeapSize, ReadFile, GetFileType, GetLocaleInfoA, GetLocalTime, GetCommandLineA, HeapFree, HeapAlloc, GetProcessHeap, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, EnterCriticalSection, LeaveCriticalSection, SetHandleCount, GetStdHandle, GetStartupInfoA, DeleteCriticalSection, SetFilePointer, RtlUnwind, GetProcAddress, GetModuleHandleA, ExitProcess, WriteFile, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetConsoleCP, GetConsoleMode, GetCPInfo, GetACP, GetOEMCP, VirtualAlloc, HeapReAlloc, SetStdHandle, FlushFileBuffers, InitializeCriticalSection, LoadLibraryA, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW

> USER32.dll: wsprintfA

> ADVAPI32.dll: RegisterServiceCtrlHandlerA, RegEnumValueA, RegDeleteValueA, SetServiceStatus, RegEnumKeyA, RegDeleteKeyA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey, OpenSCManagerA, DeleteService, ControlService, OpenServiceA, StartServiceA, CreateServiceA, CloseServiceHandle, StartServiceCtrlDispatcherA

> SHELL32.dll: SHGetSpecialFolderPathA

 

( 0 exports )

PDFiD.: -

RDS...: NSRL Reference Data Set

Modifié le 8 juin 2009 par aziouz

[Thanos]

Pour regedit.exe, c'est un fichier microsoft certifié copié par moi-même du répertoire windows à un moment où je n'arrivais pas à acceder à la base de registre (?!).

Je t'ai demandé de faire scanner regedit.exe car sa date de création me parassait louche! (22-05-2009). Si c'est toi qui l'a copié ok

Par contre pvmser.exe (Application inconnue), reproduite plusieurs fois dans la base de registre et active en mémoire, m'est totalement inconnue !!

Pour pvmser.exe, je suis embêté...! le scan en ligne ne le détecte pas comme dangereux, mais je ne trouve aucune information valable à son sujet.

 

On va finir le nettoyage >>

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

Ne fais pas l'impasse sur cette étape, car ca peut faire échouer la procédure de désinfection !

 

1°) Télécharge OTM par OldTimer.

• Enregistre ce fichier sur le Bureau.
  
• Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :first
  :processes
  explorer.exe
  
  :services
  mrlgmrye
  pascczn
  POMZBVVILXRL
  WGDTMUGZL
  
  :reg
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05367272-5dd2-11db-8e1a-4d6564696130}]
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{17118cd2-99ca-11db-8f1f-4d6564696130}]
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35ddd21d-2ea4-11de-8ca1-00194b88b63b}]
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{622d9d2a-ac00-11dc-b98e-00194b88b63b}]
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cda1393c-8e05-11db-8ef5-4d6564696130}]
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e20195c6-3bf9-11de-8cc5-0016ec52896f}]
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "SpybotSD TeaTimer"=-
  
  :commands
  [emptytemp]
  [start explorer]

  
  

• Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée puis choisis Coller.
  
• Clique sur le bouton rouge
  
• Ferme OTM
  
• Poste dans ta prochaine réponse le rapport de OTM (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

 

2°) On va désactiver un service et renommer un fichier >>

 

* Va dans le menu Démarrer/Executer et tape : services.msc

 

Cherche le service suivant:pvmwinser et double clique dessus:

 

- Dans le champs "Status du service" sélectionne "arrêté"

- Dans le champs "Type de démarrage" sélectionne"désactivé" puis "Appliquer" puis "ok"

 

Quitte les services.

 

* Fais un clic droit sur le fichier C:\WINDOWS\system32\pvmser.exe et choisis Renommer dans la liste > renomme le fichier en pvmser.anc (rajoute l'extension .anc après le nom du fichier) > un message s'affiche, clique sur OK > le fichier change alors d'icône.

 

3°) Un dernier fichier à analyser en ligne stp >>

 

J'ai des informations contradictoires à son sujet et j'aimerais faire le point dessus!

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\WINDOWS\AUTOLO~1\AL2DLL.dll

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Note: il arrive parfois que le fichier ait déjà été analysé. Si c'est le cas, clique sur le bouton Reanalyse file now

 

Poste les différents rapports stp

[aziouz]

Hier j'avais désactiver le service de pvmser et de POMZBVVILXRL et pvmser.exe a disparu comme par enchantement du repertoire system32 !!

 

J'ai par ailleurs un fichier etilqs_KeRlLQIVoNZ4mr4hcvQd de 0 octet qui apparait régulièrement dans le répertoire TEMP, sans extension et caché, même après le passage d'OTM. Je le signale à toute fin utile.

 

Rapport d'OTM :

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

 

Service\Driver mrlgmrye deleted successfully.

 

Service\Driver pascczn deleted successfully.

Service\Driver POMZBVVILXRL not found.

Service\Driver POMZBVVILXRL not found.

Service\Driver POMZBVVILXRL not found.

Service\Driver WGDTMUGZL deleted successfully.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05367272-5dd2-11db-8e1a-4d6564696130}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{17118cd2-99ca-11db-8f1f-4d6564696130}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35ddd21d-2ea4-11de-8ca1-00194b88b63b}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{622d9d2a-ac00-11dc-b98e-00194b88b63b}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cda1393c-8e05-11db-8ef5-4d6564696130}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e20195c6-3bf9-11de-8cc5-0016ec52896f}\\ deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer not found.

========== COMMANDS ==========

File delete failed. C:\Temp\BCG251.tmp scheduled to be deleted on reboot.

File delete failed. C:\Temp\ZLT05b2d.TMP scheduled to be deleted on reboot.

File delete failed. C:\Temp\~DF6454.tmp scheduled to be deleted on reboot.

File delete failed. C:\Temp\etilqs_AGndhJlSgvw9rAI88GDj scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Internet Explorer cache folder emptied.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\EASIMD04\rectangle_300x250[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\EASIMD04\ads[2].txt scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\TBZ20CWF\AP_ADV_728x90[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\TBZ20CWF\AP_ADV_300x250[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\EKW2AHR6\ban_728x90[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\8E42RGVF\hp[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\8E42RGVF\iframe[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

User's Temporary Internet Files folder emptied.

Local Service Temp folder emptied.

Local Service Temporary Internet Files folder emptied.

Network Service Temp folder emptied.

File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Network Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

Java cache emptied.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\Cache\62B742C0d01 scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\XUL.mfl scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\urlclassifier3.sqlite scheduled to be deleted on reboot.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

 

OTM by OldTimer - Version 2.1.0.0 log created on 06082009_165542

 

Files moved on Reboot...

File move failed. C:\Temp\BCG251.tmp scheduled to be moved on reboot.

File move failed. C:\Temp\ZLT05b2d.TMP scheduled to be moved on reboot.

File move failed. C:\Temp\~DF6454.tmp scheduled to be moved on reboot.

File move failed. C:\Temp\etilqs_AGndhJlSgvw9rAI88GDj scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\EASIMD04\rectangle_300x250[1].htm scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\EASIMD04\ads[2].txt scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\TBZ20CWF\AP_ADV_728x90[1].htm scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\TBZ20CWF\AP_ADV_300x250[1].htm scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\EKW2AHR6\ban_728x90[1].htm scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\8E42RGVF\hp[1].htm scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Temporary Internet Files\Content.IE5\8E42RGVF\iframe[1].htm scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\Cache\_CACHE_MAP_ scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\Cache\_CACHE_001_ scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\Cache\_CACHE_002_ scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\Cache\_CACHE_003_ scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\Cache\62B742C0d01 scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\XUL.mfl scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\Aziz\Local Settings\Application Data\Mozilla\Firefox\Profiles\uct2rih2.default\urlclassifier3.sqlite scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

 

 

 

Rapport de Virus total sur AL2DLL.dll

 

 

 

Fichier AL2DLL.dll reçu le 2009.06.08 16:01:55 (UTC)

Résultat: 0/40 (0%) AntivirusVersionDernière mise à jour Résultat

 

a-squared4.5.0.182009.06.08-

AhnLab-V35.0.0.22009.06.08-

AntiVir7.9.0.1802009.06.08-

Antiy-AVL2.0.3.12009.06.08-

Authentium5.1.2.42009.06.08-

Avast4.8.1335.02009.06.07-

AVG8.5.0.3392009.06.08-

BitDefender7.22009.06.08-

CAT-QuickHeal10.002009.06.08-

ClamAV0.94.12009.06.08-

Comodo12852009.06.08-

DrWeb5.0.0.121822009.06.08-

eSafe7.0.17.02009.06.07-

eTrust-Vet31.6.65472009.06.08-

F-Prot4.4.4.562009.06.08-

F-Secure8.0.14470.02009.06.08-

Fortinet3.117.0.02009.06.08-

GData192009.06.08-

IkarusT3.1.1.59.02009.06.08-

K7AntiVirus7.10.7572009.06.08-

Kaspersky7.0.0.1252009.06.08-

McAfee56402009.06.08-

McAfee+Artemis56402009.06.08-

McAfee-GW-Edition6.7.62009.06.08-

Microsoft1.47012009.06.08-

NOD3241382009.06.08-

Norman6.01.092009.06.08-

nProtect2009.1.8.02009.06.08-

Panda10.0.0.142009.06.07-

PCTools4.4.2.02009.06.06-

Prevx3.02009.06.08-

Rising21.33.03.002009.06.08-

Sophos4.42.02009.06.08-

Sunbelt3.2.1858.22009.06.07-

Symantec1.4.4.122009.06.08-

TheHacker6.3.4.3.3422009.06.08-

TrendMicro8.950.0.10922009.06.08-

VBA323.12.10.62009.06.08-

ViRobot2009.6.8.17732009.06.08-

VirusBuster4.6.5.02009.06.08-

 

Information additionnelle

File size: 249856 bytesMD5...: 92a1abc6b202b895b1f162ed0de09e03SHA1..: f62d525ea53cd0876355164a8015adb6d3979a04SHA256: ae1c5704912749013cf555bf24f01675cee43586c745d62e8838f9283f2af7cbssdeep: -

 

PEiD..: Armadillo v1.xx - v2.xxTrID..: File type identification

DirectShow filter (51.8%)

Windows OCX File (31.8%)

Win32 Executable MS Visual C++ (generic) (9.7%)

Windows Screen Saver (3.3%)

Win32 Executable Generic (2.1%)PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0xfad7

timedatestamp.....: 0x45c01287 (Wed Jan 31 03:52:39 2007)

machinetype.......: 0x14c (I386)

 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x130f4 0x14000 6.10 baf1466dbef944a4f5226eb575650e2a

.rdata 0x15000 0x18c3 0x2000 4.81 7414fb0349c65ab323b18e87ab616ba1

.data 0x17000 0x9290 0x4000 4.89 73ffd9f94ccec2d024874f429d6fce8d

.rsrc 0x21000 0x1fc80 0x20000 6.13 32a15f9587fb50fef47a0614ba3d5900

.reloc 0x41000 0x1890 0x2000 4.16 ee7c4706838011c65d2ef716134a540a

 

( 8 imports )

> KERNEL32.dll: HeapDestroy, lstrcatA, MapViewOfFile, CreateFileMappingA, GetCurrentThreadId, GetProcAddress, LoadLibraryA, GetSystemDefaultLangID, GetVersion, GetSystemDirectoryA, GetVersionExA, IsDBCSLeadByte, lstrcpynA, lstrcmpiA, LoadLibraryExA, GetLastError, FindResourceA, LoadResource, SizeofResource, FreeLibrary, lstrlenW, MultiByteToWideChar, GetShortPathNameA, InterlockedDecrement, GetTickCount, GetCurrentProcessId, WideCharToMultiByte, InitializeCriticalSection, ReadFile, SetEndOfFile, CreateFileA, SetFilePointer, FlushFileBuffers, SetStdHandle, GetStringTypeW, GetStringTypeA, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, TlsGetValue, SetLastError, TlsFree, TlsAlloc, DisableThreadLibraryCalls, TlsSetValue, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, GetOEMCP, InterlockedIncrement, lstrlenA, GetModuleHandleA, GetPrivateProfileStringA, lstrcpyA, GetPrivateProfileIntA, GetModuleFileNameA, GetCurrentProcess, TerminateProcess, WriteFile, CloseHandle, VirtualAlloc, VirtualFree, GetACP, GetCPInfo, GetCommandLineA, RtlUnwind, HeapAlloc, HeapReAlloc, HeapFree, ExitProcess, HeapCreate, LCMapStringA, LCMapStringW

> USER32.dll: GetDC, CreatePopupMenu, MessageBoxA, SendMessageA, IsWindow, SetWindowLongA, CreateWindowExA, GetFocus, EnumChildWindows, RegisterWindowMessageA, wsprintfA, CharNextA, GetClassNameA, ReleaseDC, DestroyMenu, DestroyIcon, PostMessageA, TrackPopupMenu, SetForegroundWindow, AppendMenuA, LoadImageA, IsWindowVisible, GetSysColor, DefWindowProcA, RegisterClassA, FindWindowA, wvsprintfA, FindWindowExW, GetWindowLongA, GetForegroundWindow, DrawIconEx, GetCursorPos, SetTimer, KillTimer

> GDI32.dll: EnumFontFamiliesA, DeleteDC, TextOutA, CreateDCA, DeleteObject, GetTextExtentPoint32A, GetTextExtentPoint32W, SelectObject, SetBkColor, SetTextColor, ExtTextOutA, ExtTextOutW, SetBkMode, TextOutW, Rectangle, CreateFontIndirectA

> ADVAPI32.dll: RegEnumKeyExA, RegQueryValueExA, RegEnumValueA, RegQueryInfoKeyA, RegCloseKey, RegOpenKeyExA, RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegSetValueExA

> ole32.dll: CoGetMalloc, CoTaskMemAlloc, StringFromIID, CoTaskMemFree, CoTaskMemRealloc, CoCreateInstance

> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -

> WINMM.dll: PlaySoundA

> SHLWAPI.dll: StrToIntA

 

( 4 exports )

DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

PDFiD.: -RDS...: NSRL Reference Data Set

-CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=92a1abc6b202b895b1f162ed0de09e03' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=92a1abc6b202b895b1f162ed0de09e03</a>

Modifié le 8 juin 2009 par aziouz

[Thanos]

J'ai par ailleurs un fichier etilqs_KeRlLQIVoNZ4mr4hcvQd de 0 octet qui apparait régulièrement dans le répertoire TEMP, sans extension et caché, même après le passage d'OTM. Je le signale à toute fin utile.

Ces fichiers ne sont pas infectieux et sont liés à SQLite

 

 

Pour terminer >>

 

Il faut mettre le Console Java de Sun à jour car c'est important pour la sécurité du pc.

 

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

• Décompresse le fichier sur ton bureau (clic droit > Extraire tout)
  
• Double-clique sur le répertoire JavaRa obtenu
  
• Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher)
  
• Une boite va s'ouvrir te demandant de sélectionner le langage, fais ton choix puis clique sur Selectionner.
  
• Clique sur Recherche de mises à jour
  
• Sélectionne Metre à jour via jucheck.exe puis clique sur Rechercher
  
• Autorise le processus à se connecter s'il te le demande, clique sur Installer et suis les instructions d'installation. Cela prendra quelques minutes.
  
• Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Effacer les anciennes versions
  
• Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
  
• Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
  Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log)
  
• Ferme l'application
  

Note: Tu pourras conserver ce petit programme car il permet d'automatiser la mise à jour de la Console Java ainsi que la désinstallation des anciennes versions.

Si JavaRa te dit que tu possèdes la dernière version de Java, télécharge la dernière version depuis leur site >> http://www.java.com/fr/download/

Tu peux utiliser Javara pour nettoyer les anciennes versions (utilise le bouton Remove Older Versions) puis installe la dernière.

 

On purge la restauration système car il y a peut être des points de restauration infectés (ca évitera de réinstaller l'infection au cas où tu es amené à l'utiliser) => aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC. Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

[aziouz]

L'installation de nouvelle version Java s'est faite correctement, mais la suppression de l'ancienne version fait cracher JavaRa !

(désinstallation manuelle par Ajout-Suppression de programme de Windows)

 

 

JavaRa 1.14 Removal Log.

 

Report follows after line.

 

------------------------------------

 

The JavaRa removal process was started on Mon Jun 08 21:54:28 2009

 

Could not delete: C:\Program Files\Java\jre1.5.0_09

 

Asking Windows to delete

Modifié le 8 juin 2009 par aziouz

[Thanos]

salut

 

Ah! c'est rare qu'il ne parvienne pas à nettoyer les anciennes versions! pas de souci si tu as pu faire la désinstallation manuellement.

 

Tu peux à présent supprimer les dossiers/fichiers suivants >>

 

C:\_OTM

C:\rsit

C:\Lop SD

 

C:\lopR.txt

C:\process.txt

RSIT.exe sur ton Bureau.

 

On va utiliser un petit programme que tu vas pouvoir conserver et qui sert à faire le nettoyage des fichiers inutiles (fichiers temporaires/cookies/cache internet etc...). Conserve le car tu pourras l'utiliser par la suite.

 

Télécharge ATF Cleaner by Atribune sur ton bureau.

 

Double-clique sur ATF Cleaner afin de lancer le programme.

• Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Si tu utilises le navigateur Firefox :
   
   
  
• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Si tu utilises le navigateur Opera :
   
   
  
• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

Qu'en est il des dysfonctionnements rencontrés en début de discussion ?

Je reviens là dessus >>

Cet outils me semble efficace sur mon notebook, le virus est détecté et éliminé. Ma navigation redevient normale, les fichiers cachés sont enfin visibles.

As tu utilisé le même outil sur ton notebook ? Procède de la même manière sur ton portable >

 

-Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe/mémoire flash pour appareil numérique etc)

-Utilise D.exe après avoir déconnecté le pc du net.

-installation du correctif de Microsoft.

.

Dis moi ce qu'il en est

[aziouz]

Bonjour tout le monde,

 

J'ai utilisé l'outil symantec sur le notebook. Tout à l'air de marcher parfaitement. Donc plus de soucis sur ce plan.

 

Le desktop me semble également bien nettoyé. Plus de lenteur ni de crash. Encore une fois sauvé du formatage auquel je m'étais résolu avant de lancer mon SOS !

 

Merci à tous et particulièrement à toi Thanos pour ta patience et la régularité de tes réponses !

 

On ne lance jamais à son médecin : A bientôt ! Mais le coeur y est !