[résolu] fichiers infectés avec malwarebytes

[chuky62]

bonjour

 

je viens d'effectuer un diagnostique complet et maintenant je suis sur la page de malwarbytes avec les deux cases cochées devant spyware.banker dois je cliquer sur "supprimer la sélection". ça m'inquiète vu l'emplacement des fichier. je ne risque rien ?

 

 

 

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2814

Windows 6.0.6002 Service Pack 2

 

17/09/2009 12:31:13

mbam-log-2009-09-17 (12-31-03).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 242446

Temps écoulé: 1 hour(s), 3 minute(s), 51 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Program Files\Packard Bell\Smart Restore\mountlbl.exe (Spyware.Banker) -> No action taken.

C:\Windows\Oem\Process\tools\mountlbl.exe (Spyware.Banker) -> No action taken.

Modifié le 18 septembre 2009 par chuky62

[Apollo]

Bonjour,

 

Même si tu fixais, il y a des sauvegardes créées par MalwareBytes AM.

 

Comment afficher les dossiers/fichiers cachés sous Vista

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\Program Files\Packard Bell\Smart Restore\mountlbl.exe
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

*** Fais-en de même avec celui-ci et poste les deux rapports stp. >> C:\Windows\Oem\Process\tools\mountlbl.exe

 

@++

[chuky62]

merci

 

alors voilà pour le 1er :

 

 

 

Fichier mountlbl.exe reçu le 2009.09.17 12:56:52 (UTC)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.24 2009.09.17 -

AhnLab-V3 5.0.0.2 2009.09.16 -

AntiVir 7.9.1.19 2009.09.17 -

Antiy-AVL 2.0.3.7 2009.09.17 -

Authentium 5.1.2.4 2009.09.17 -

Avast 4.8.1351.0 2009.09.16 -

AVG 8.5.0.412 2009.09.17 -

BitDefender 7.2 2009.09.17 -

CAT-QuickHeal 10.00 2009.09.17 -

ClamAV 0.94.1 2009.09.17 -

Comodo 2348 2009.09.17 -

DrWeb 5.0.0.12182 2009.09.17 -

eSafe 7.0.17.0 2009.09.16 -

eTrust-Vet 31.6.6743 2009.09.17 -

F-Prot 4.5.1.85 2009.09.16 -

F-Secure 8.0.14470.0 2009.09.17 -

Fortinet 3.120.0.0 2009.09.17 -

GData 19 2009.09.17 -

Ikarus T3.1.1.72.0 2009.09.17 -

Jiangmin 11.0.800 2009.09.17 -

K7AntiVirus 7.10.846 2009.09.16 -

Kaspersky 7.0.0.125 2009.09.17 -

McAfee 5743 2009.09.16 -

McAfee+Artemis 5743 2009.09.16 -

McAfee-GW-Edition 6.8.5 2009.09.17 -

Microsoft 1.5005 2009.09.17 -

NOD32 4433 2009.09.17 -

Norman 6.01.09 2009.09.16 -

nProtect 2009.1.8.0 2009.09.17 -

Panda 10.0.2.2 2009.09.16 -

PCTools 4.4.2.0 2009.09.17 -

Prevx 3.0 2009.09.17 -

Rising 21.47.34.00 2009.09.17 -

Sophos 4.45.0 2009.09.17 -

Sunbelt 3.2.1858.2 2009.09.17 -

Symantec 1.4.4.12 2009.09.17 -

TheHacker 6.3.4.4.404 2009.09.15 -

TrendMicro 8.950.0.1094 2009.09.17 -

VBA32 3.12.10.10 2009.09.17 -

ViRobot 2009.9.17.1941 2009.09.17 -

VirusBuster 4.6.5.0 2009.09.16 -

Information additionnelle

File size: 94720 bytes

MD5...: c846c285f546dd3e83fdac5c083b2da6

SHA1..: 903a082e12692a1128898c9c60b89e528721190b

SHA256: db74b3633caa1a174bcda102f4cd0da68ee4b985333afb4bd4437b71b5a5b836

ssdeep: 1536:ogVDdPzHxaQ/YooOPlx2R01vaYbCHArNS7LZ3k88YGezomuNHX9:dRdzwuY<br>ooOPeR01vZbCHArNS7N3LgNLt<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x130d8<br>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<br>machinetype.......: 0x14c (I386)<br><br>( 8 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>CODE 0x1000 0x12bb0 0x12c00 6.43 7d00632eeeca7109b08f5c311eb0b861<br>DATA 0x14000 0x5a8 0x600 4.01 315c0a0a499f7eed99611b2c7a8f8186<br>BSS 0x15000 0x91d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x16000 0xad6 0xc00 4.40 4c8829055fe78cee8dabd435bde80675<br>.tls 0x17000 0xc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rdata 0x18000 0x18 0x200 0.20 6b2b783af3ecd764905292c9b75d8ea4<br>.reloc 0x19000 0x1890 0x1a00 6.52 56d3675d1f3fbe58e9722b46fa06fc4a<br>.rsrc 0x1b000 0x1400 0x1400 3.38 7e4e956defa9cf8b817ecb7fafe7a684<br><br>( 10 imports ) <br>> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle<br>> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA<br>> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<br>> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen<br>> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA<br>> kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, SetLastError, SetFilePointer, SetEvent, SetEndOfFile, ResetEvent, ReadFile, LeaveCriticalSection, InitializeCriticalSection, GetVolumeInformationA, GetVersionExA, GetThreadLocale, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLogicalDriveStringsA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileAttributesA, GetDriveTypeA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCPInfo, GetACP, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CreateDirectoryA, CompareStringA, CloseHandle<br>> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA<br>> kernel32.dll: Sleep<br>> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit<br>> kernel32.dll: DeleteVolumeMountPointA, SetVolumeMountPointA, GetVolumeNameForVolumeMountPointA, FindVolumeClose, FindNextVolumeA, FindFirstVolumeA<br><br>( 0 exports ) <br>

RDS...: NSRL Reference Data Set<br>-

pdfid.: -

trid..: Win32 Executable Borland Delphi 7 (70.1%)<br>Win32 Executable Borland Delphi 6 (27.5%)<br>Win32 Executable Generic (0.8%)<br>Win32 Dynamic Link Library (generic) (0.7%)<br>Win16/32 Executable Delphi generic (0.2%)

sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.24 2009.09.17 -

AhnLab-V3 5.0.0.2 2009.09.16 -

AntiVir 7.9.1.19 2009.09.17 -

Antiy-AVL 2.0.3.7 2009.09.17 -

Authentium 5.1.2.4 2009.09.17 -

Avast 4.8.1351.0 2009.09.16 -

AVG 8.5.0.412 2009.09.17 -

BitDefender 7.2 2009.09.17 -

CAT-QuickHeal 10.00 2009.09.17 -

ClamAV 0.94.1 2009.09.17 -

Comodo 2348 2009.09.17 -

DrWeb 5.0.0.12182 2009.09.17 -

eSafe 7.0.17.0 2009.09.16 -

eTrust-Vet 31.6.6743 2009.09.17 -

F-Prot 4.5.1.85 2009.09.16 -

F-Secure 8.0.14470.0 2009.09.17 -

Fortinet 3.120.0.0 2009.09.17 -

GData 19 2009.09.17 -

Ikarus T3.1.1.72.0 2009.09.17 -

Jiangmin 11.0.800 2009.09.17 -

K7AntiVirus 7.10.846 2009.09.16 -

Kaspersky 7.0.0.125 2009.09.17 -

McAfee 5743 2009.09.16 -

McAfee+Artemis 5743 2009.09.16 -

McAfee-GW-Edition 6.8.5 2009.09.17 -

Microsoft 1.5005 2009.09.17 -

NOD32 4433 2009.09.17 -

Norman 6.01.09 2009.09.16 -

nProtect 2009.1.8.0 2009.09.17 -

Panda 10.0.2.2 2009.09.16 -

PCTools 4.4.2.0 2009.09.17 -

Prevx 3.0 2009.09.17 -

Rising 21.47.34.00 2009.09.17 -

Sophos 4.45.0 2009.09.17 -

Sunbelt 3.2.1858.2 2009.09.17 -

Symantec 1.4.4.12 2009.09.17 -

TheHacker 6.3.4.4.404 2009.09.15 -

TrendMicro 8.950.0.1094 2009.09.17 -

VBA32 3.12.10.10 2009.09.17 -

ViRobot 2009.9.17.1941 2009.09.17 -

VirusBuster 4.6.5.0 2009.09.16 -

 

Information additionnelle

File size: 94720 bytes

MD5...: c846c285f546dd3e83fdac5c083b2da6

SHA1..: 903a082e12692a1128898c9c60b89e528721190b

SHA256: db74b3633caa1a174bcda102f4cd0da68ee4b985333afb4bd4437b71b5a5b836

ssdeep: 1536:ogVDdPzHxaQ/YooOPlx2R01vaYbCHArNS7LZ3k88YGezomuNHX9:dRdzwuY<br>ooOPeR01vZbCHArNS7N3LgNLt<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x130d8<br>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<br>machinetype.......: 0x14c (I386)<br><br>( 8 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>CODE 0x1000 0x12bb0 0x12c00 6.43 7d00632eeeca7109b08f5c311eb0b861<br>DATA 0x14000 0x5a8 0x600 4.01 315c0a0a499f7eed99611b2c7a8f8186<br>BSS 0x15000 0x91d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x16000 0xad6 0xc00 4.40 4c8829055fe78cee8dabd435bde80675<br>.tls 0x17000 0xc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rdata 0x18000 0x18 0x200 0.20 6b2b783af3ecd764905292c9b75d8ea4<br>.reloc 0x19000 0x1890 0x1a00 6.52 56d3675d1f3fbe58e9722b46fa06fc4a<br>.rsrc 0x1b000 0x1400 0x1400 3.38 7e4e956defa9cf8b817ecb7fafe7a684<br><br>( 10 imports ) <br>> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle<br>> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA<br>> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<br>> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen<br>> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA<br>> kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, SetLastError, SetFilePointer, SetEvent, SetEndOfFile, ResetEvent, ReadFile, LeaveCriticalSection, InitializeCriticalSection, GetVolumeInformationA, GetVersionExA, GetThreadLocale, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLogicalDriveStringsA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileAttributesA, GetDriveTypeA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCPInfo, GetACP, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CreateDirectoryA, CompareStringA, CloseHandle<br>> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA<br>> kernel32.dll: Sleep<br>> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit<br>> kernel32.dll: DeleteVolumeMountPointA, SetVolumeMountPointA, GetVolumeNameForVolumeMountPointA, FindVolumeClose, FindNextVolumeA, FindFirstVolumeA<br><br>( 0 exports ) <br>

RDS...: NSRL Reference Data Set<br>-

pdfid.: -

trid..: Win32 Executable Borland Delphi 7 (70.1%)<br>Win32 Executable Borland Delphi 6 (27.5%)<br>Win32 Executable Generic (0.8%)<br>Win32 Dynamic Link Library (generic) (0.7%)<br>Win16/32 Executable Delphi generic (0.2%)

sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

[chuky62]

et voilà pour le 2eme

 

 

 

Fichier mountlbl.exe reçu le 2009.09.17 13:07:59 (UTC)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.24 2009.09.17 -

AhnLab-V3 5.0.0.2 2009.09.16 -

AntiVir 7.9.1.19 2009.09.17 -

Antiy-AVL 2.0.3.7 2009.09.17 -

Authentium 5.1.2.4 2009.09.17 -

Avast 4.8.1351.0 2009.09.16 -

AVG 8.5.0.412 2009.09.17 -

BitDefender 7.2 2009.09.17 -

CAT-QuickHeal 10.00 2009.09.17 -

ClamAV 0.94.1 2009.09.17 -

Comodo 2348 2009.09.17 -

DrWeb 5.0.0.12182 2009.09.17 -

eSafe 7.0.17.0 2009.09.16 -

eTrust-Vet 31.6.6743 2009.09.17 -

F-Prot 4.5.1.85 2009.09.16 -

F-Secure 8.0.14470.0 2009.09.17 -

Fortinet 3.120.0.0 2009.09.17 -

GData 19 2009.09.17 -

Ikarus T3.1.1.72.0 2009.09.17 -

Jiangmin 11.0.800 2009.09.17 -

K7AntiVirus 7.10.846 2009.09.16 -

Kaspersky 7.0.0.125 2009.09.17 -

McAfee 5743 2009.09.16 -

McAfee+Artemis 5743 2009.09.16 -

McAfee-GW-Edition 6.8.5 2009.09.17 -

Microsoft 1.5005 2009.09.17 -

NOD32 4433 2009.09.17 -

Norman 6.01.09 2009.09.16 -

nProtect 2009.1.8.0 2009.09.17 -

Panda 10.0.2.2 2009.09.16 -

PCTools 4.4.2.0 2009.09.17 -

Prevx 3.0 2009.09.17 -

Rising 21.47.34.00 2009.09.17 -

Sophos 4.45.0 2009.09.17 -

Sunbelt 3.2.1858.2 2009.09.17 -

Symantec 1.4.4.12 2009.09.17 -

TheHacker 6.3.4.4.404 2009.09.15 -

TrendMicro 8.950.0.1094 2009.09.17 -

VBA32 3.12.10.10 2009.09.17 -

ViRobot 2009.9.17.1941 2009.09.17 -

VirusBuster 4.6.5.0 2009.09.16 -

Information additionnelle

File size: 94720 bytes

MD5...: c846c285f546dd3e83fdac5c083b2da6

SHA1..: 903a082e12692a1128898c9c60b89e528721190b

SHA256: db74b3633caa1a174bcda102f4cd0da68ee4b985333afb4bd4437b71b5a5b836

ssdeep: 1536:ogVDdPzHxaQ/YooOPlx2R01vaYbCHArNS7LZ3k88YGezomuNHX9:dRdzwuY<br>ooOPeR01vZbCHArNS7N3LgNLt<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x130d8<br>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<br>machinetype.......: 0x14c (I386)<br><br>( 8 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>CODE 0x1000 0x12bb0 0x12c00 6.43 7d00632eeeca7109b08f5c311eb0b861<br>DATA 0x14000 0x5a8 0x600 4.01 315c0a0a499f7eed99611b2c7a8f8186<br>BSS 0x15000 0x91d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x16000 0xad6 0xc00 4.40 4c8829055fe78cee8dabd435bde80675<br>.tls 0x17000 0xc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rdata 0x18000 0x18 0x200 0.20 6b2b783af3ecd764905292c9b75d8ea4<br>.reloc 0x19000 0x1890 0x1a00 6.52 56d3675d1f3fbe58e9722b46fa06fc4a<br>.rsrc 0x1b000 0x1400 0x1400 3.38 7e4e956defa9cf8b817ecb7fafe7a684<br><br>( 10 imports ) <br>> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle<br>> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA<br>> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<br>> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen<br>> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA<br>> kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, SetLastError, SetFilePointer, SetEvent, SetEndOfFile, ResetEvent, ReadFile, LeaveCriticalSection, InitializeCriticalSection, GetVolumeInformationA, GetVersionExA, GetThreadLocale, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLogicalDriveStringsA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileAttributesA, GetDriveTypeA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCPInfo, GetACP, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CreateDirectoryA, CompareStringA, CloseHandle<br>> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA<br>> kernel32.dll: Sleep<br>> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit<br>> kernel32.dll: DeleteVolumeMountPointA, SetVolumeMountPointA, GetVolumeNameForVolumeMountPointA, FindVolumeClose, FindNextVolumeA, FindFirstVolumeA<br><br>( 0 exports ) <br>

RDS...: NSRL Reference Data Set<br>-

pdfid.: -

trid..: Win32 Executable Borland Delphi 7 (70.1%)<br>Win32 Executable Borland Delphi 6 (27.5%)<br>Win32 Executable Generic (0.8%)<br>Win32 Dynamic Link Library (generic) (0.7%)<br>Win16/32 Executable Delphi generic (0.2%)

sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.24 2009.09.17 -

AhnLab-V3 5.0.0.2 2009.09.16 -

AntiVir 7.9.1.19 2009.09.17 -

Antiy-AVL 2.0.3.7 2009.09.17 -

Authentium 5.1.2.4 2009.09.17 -

Avast 4.8.1351.0 2009.09.16 -

AVG 8.5.0.412 2009.09.17 -

BitDefender 7.2 2009.09.17 -

CAT-QuickHeal 10.00 2009.09.17 -

ClamAV 0.94.1 2009.09.17 -

Comodo 2348 2009.09.17 -

DrWeb 5.0.0.12182 2009.09.17 -

eSafe 7.0.17.0 2009.09.16 -

eTrust-Vet 31.6.6743 2009.09.17 -

F-Prot 4.5.1.85 2009.09.16 -

F-Secure 8.0.14470.0 2009.09.17 -

Fortinet 3.120.0.0 2009.09.17 -

GData 19 2009.09.17 -

Ikarus T3.1.1.72.0 2009.09.17 -

Jiangmin 11.0.800 2009.09.17 -

K7AntiVirus 7.10.846 2009.09.16 -

Kaspersky 7.0.0.125 2009.09.17 -

McAfee 5743 2009.09.16 -

McAfee+Artemis 5743 2009.09.16 -

McAfee-GW-Edition 6.8.5 2009.09.17 -

Microsoft 1.5005 2009.09.17 -

NOD32 4433 2009.09.17 -

Norman 6.01.09 2009.09.16 -

nProtect 2009.1.8.0 2009.09.17 -

Panda 10.0.2.2 2009.09.16 -

PCTools 4.4.2.0 2009.09.17 -

Prevx 3.0 2009.09.17 -

Rising 21.47.34.00 2009.09.17 -

Sophos 4.45.0 2009.09.17 -

Sunbelt 3.2.1858.2 2009.09.17 -

Symantec 1.4.4.12 2009.09.17 -

TheHacker 6.3.4.4.404 2009.09.15 -

TrendMicro 8.950.0.1094 2009.09.17 -

VBA32 3.12.10.10 2009.09.17 -

ViRobot 2009.9.17.1941 2009.09.17 -

VirusBuster 4.6.5.0 2009.09.16 -

 

Information additionnelle

File size: 94720 bytes

MD5...: c846c285f546dd3e83fdac5c083b2da6

SHA1..: 903a082e12692a1128898c9c60b89e528721190b

SHA256: db74b3633caa1a174bcda102f4cd0da68ee4b985333afb4bd4437b71b5a5b836

ssdeep: 1536:ogVDdPzHxaQ/YooOPlx2R01vaYbCHArNS7LZ3k88YGezomuNHX9:dRdzwuY<br>ooOPeR01vZbCHArNS7N3LgNLt<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x130d8<br>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<br>machinetype.......: 0x14c (I386)<br><br>( 8 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>CODE 0x1000 0x12bb0 0x12c00 6.43 7d00632eeeca7109b08f5c311eb0b861<br>DATA 0x14000 0x5a8 0x600 4.01 315c0a0a499f7eed99611b2c7a8f8186<br>BSS 0x15000 0x91d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x16000 0xad6 0xc00 4.40 4c8829055fe78cee8dabd435bde80675<br>.tls 0x17000 0xc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rdata 0x18000 0x18 0x200 0.20 6b2b783af3ecd764905292c9b75d8ea4<br>.reloc 0x19000 0x1890 0x1a00 6.52 56d3675d1f3fbe58e9722b46fa06fc4a<br>.rsrc 0x1b000 0x1400 0x1400 3.38 7e4e956defa9cf8b817ecb7fafe7a684<br><br>( 10 imports ) <br>> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle<br>> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA<br>> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<br>> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen<br>> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA<br>> kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, SetLastError, SetFilePointer, SetEvent, SetEndOfFile, ResetEvent, ReadFile, LeaveCriticalSection, InitializeCriticalSection, GetVolumeInformationA, GetVersionExA, GetThreadLocale, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLogicalDriveStringsA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileAttributesA, GetDriveTypeA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCPInfo, GetACP, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CreateDirectoryA, CompareStringA, CloseHandle<br>> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA<br>> kernel32.dll: Sleep<br>> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit<br>> kernel32.dll: DeleteVolumeMountPointA, SetVolumeMountPointA, GetVolumeNameForVolumeMountPointA, FindVolumeClose, FindNextVolumeA, FindFirstVolumeA<br><br>( 0 exports ) <br>

RDS...: NSRL Reference Data Set<br>-

pdfid.: -

trid..: Win32 Executable Borland Delphi 7 (70.1%)<br>Win32 Executable Borland Delphi 6 (27.5%)<br>Win32 Executable Generic (0.8%)<br>Win32 Dynamic Link Library (generic) (0.7%)<br>Win16/32 Executable Delphi generic (0.2%)

sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

[Apollo]

Re,

 

Confirmation de faux-positifs.

 

Si MBAM les détecte encore aux mêmes endroits après mise à jour et nouvelle analyse, tu mets ces deux fichiers en ignore list: ils ne seront plus analysés à l'avenir.

 

Poste un nouveau log Hijackthis que je regarde un peu si tu as des versions d'applications obsolètes et faillibles; on corrigera si nécessaire

 

@++

[chuky62]

ok merci

 

pour info, je venais juste de mètre a jour MBAM.

 

pour le rapport je m'y met dés demain matin

 

bonne soirée

[chuky62]

bonjour,

 

voici le rapport que vous m'avez demandé :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:16:28, on 18/09/2009

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18813)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Windows Live\Family Safety\fsui.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\System32\mobsync.exe

C:\Program Files\Moniteur neufbox\Moniteur neufbox.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\nathalie\Desktop\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\SideBar.exe /autoRun

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Startup: Moniteur neufbox.lnk = C:\Program Files\Moniteur neufbox\Moniteur neufbox.exe

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.ma-config.com/activex/MaConfig_3_5_1_0.cab

O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} (Java Plug-in 1.4.2) -

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) -

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

 

--

End of file - 6357 bytes

[Apollo]

Bonjour,

 

Désinstalle Adobe Reader 8 par Programmes et fonctionnalités puis supprime le dossier Adobe qui se trouve soit dans c:\Program Files ou c:\Programmes. Il est bourré de failles.

 

Relance Hijackthis avec Do a system scan only et coche les cases devant les lignes suivantes: SOUS VISTA: Clic droit sur Hijackthis/exécuter en temps qu'administrateur!

 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)

 

Ferme toutes les applications ouvertes et les navigateurs et clique sur Fix Checked

 

---------

Quelques applications à vérifier: http://theknitter-apollo.xooit.com/p17644.htm

 

Et ici en plus pour utiliser JavaRa pour virer les anciennes versions de Java: http://www.vista-xp.fr/forum/topic3405.html

 

Bonne journée à toi

 

@++

[chuky62]

bien merci

 

je m'y atèle de suite.

Modifié le 18 septembre 2009 par chuky62

[Apollo]

Re,

 

Adobe Reader 9.1 (évite de laisser les cases proposant des toolbars cochées).

 

Mais n'oublie pas, tu devras encore vérifier la présence de mises à jour par son interface comme c'est expliqué sur ma page:

 

Quand il est installé, ouvre Adobe Reader avec son icône, tu verras des onglets: clique sur Aide puis sur rechercher des mises à jour; installe-les.

 

Tu devras vérifier de temps à autre de cette manière pour voir si des mises à jour sont disponibles

 

Il est très important que ces applications restent bien à jour, pour ta sécurité. (java, flash player et Adobe, de même que les différents lecteurs média).

 

@++