[résolu]Virus.Win32.Hala.a

[Himself64]

voici le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:47:37, on 02/03/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16981)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Trend Micro\BM\TMBMSRV.exe

C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Privoxy\privoxy.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Trend Micro\Internet Security\TmPfw.exe

C:\Program Files\Trend Micro\Internet Security\TmProxy.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\EeePC\ACPI\AsEPCMon.exe

C:\Program Files\EeePC\ACPI\AsTray.exe

C:\Program Files\Parental Control\bin\pcontrol.exe

C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe

C:\Program Files\Microsoft IntelliType Pro\itype.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\igfxext.exe

C:\Program Files\ASUS\Eee Docking\Eee Docking.exe

C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe

C:\Program Files\SFR\Kit\9props.exe

C:\Program Files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe

C:\WINDOWS\system32\calc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Johan Brun\Mes documents\Téléchargements\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sfr.fr/kit/adsl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [synAsusAcpi] C:\Program Files\Synaptics\SynTP\SynAsusAcpi.exe

O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe

O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe

O4 - HKLM\..\Run: [AsusTray] C:\Program Files\EeePC\ACPI\AsTray.exe

O4 - HKLM\..\Run: [Parental Control] "C:\Program Files\Parental Control\bin\pcontrol.exe" --start

O4 - HKLM\..\Run: [ufSeAgnt.exe] "C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe"

O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [iSTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Eee Docking] C:\Program Files\ASUS\Eee Docking\Eee Docking.exe

O4 - HKCU\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe

O4 - HKCU\..\Run: [Connexion SFR 9props.exe] "C:\Program Files\SFR\Kit\9props.exe" /trayicon

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: SuperHybridEngine.lnk = ?

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\policylsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\policylsp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\Aibelive\VOICEC~1\SKYPE4~1.DLL

O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: privoxy - The Privoxy team - www.privoxy.org - C:\Program Files\Privoxy\privoxy.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

O23 - Service: Composant de commande centrale Trend Micro (SfCtlCom) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe

O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe

 

--

End of file - 9181 bytes

[Falkra]

La méthode douce semble avoir suffi.

 

On vérifie un fichier. Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\windows\system32\policylsp.dll
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.

[Himself64]

voici :

 

Fichier policylsp.dll reçu le 2010.03.02 18:26:50 (UTC)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.03.02 -

AhnLab-V3 5.0.0.2 2010.03.02 -

AntiVir 8.2.1.180 2010.03.02 -

Antiy-AVL 2.0.3.7 2010.03.02 -

Authentium 5.2.0.5 2010.03.02 -

Avast 4.8.1351.0 2010.03.02 -

Avast5 5.0.332.0 2010.02.24 -

AVG 9.0.0.730 2010.03.02 -

BitDefender 7.2 2010.03.02 -

CAT-QuickHeal 10.00 2010.03.02 -

ClamAV 0.96.0.0-git 2010.03.02 -

Comodo 4091 2010.02.28 -

DrWeb 5.0.1.12222 2010.03.02 -

eSafe 7.0.17.0 2010.03.02 -

eTrust-Vet 35.2.7335 2010.03.02 -

F-Prot 4.5.1.85 2010.03.02 -

F-Secure 9.0.15370.0 2010.03.02 -

Fortinet 4.0.14.0 2010.02.28 -

GData 19 2010.03.02 -

Ikarus T3.1.1.80.0 2010.03.02 -

Jiangmin 13.0.900 2010.03.02 -

K7AntiVirus 7.10.987 2010.03.02 -

Kaspersky 7.0.0.125 2010.03.02 -

McAfee 5908 2010.03.02 -

McAfee+Artemis 5908 2010.03.02 -

McAfee-GW-Edition 6.8.5 2010.03.02 -

Microsoft 1.5502 2010.03.02 -

NOD32 4910 2010.03.02 -

Norman 6.04.08 2010.03.02 -

nProtect 2009.1.8.0 2010.03.02 -

Panda 10.0.2.2 2010.03.02 -

PCTools 7.0.3.5 2010.03.02 -

Prevx 3.0 2010.03.02 -

Rising 22.37.01.04 2010.03.02 -

Sophos 4.50.0 2010.03.02 -

Sunbelt 5727 2010.03.02 -

Symantec 20091.2.0.41 2010.03.02 -

TheHacker 6.5.1.7.218 2010.03.02 -

TrendMicro 9.120.0.1004 2010.03.02 -

VBA32 3.12.12.2 2010.03.02 -

ViRobot 2010.3.2.2208 2010.03.02 -

VirusBuster 5.0.27.0 2010.03.02 -

Information additionnelle

File size: 479744 bytes

MD5...: a39917b6aec94a4f4316a90e14a274dd

SHA1..: e5927bbf521d229e5e9c91be1b17917b14ef2584

SHA256: 4aa1b82e17ffd27a812ff327becf012ef4c95f56f975a77cf08e7b70c230d10c

ssdeep: 12288:k9SeUiDiXbNu4V7FSxRlU3yeK0TTrNM7X5CjQu4PX:2SeUiDijMp1z0TlM<br>tCjQuk<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x2dadc<br>timedatestamp.....: 0x49a7136e (Thu Feb 26 22:10:54 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.textbss 0x1000 0x2b931 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.text 0x2d000 0x5b4b1 0x5b600 5.62 22cc9460fbd2ca99f50de5a0b3d492be<br>.rdata 0x89000 0x12023 0x12200 3.80 ea2f1dcc67fe689f13820ef05ec8a9da<br>.data 0x9c000 0x389c 0x1600 2.14 ca12983be716b8f4e643e8e1dae5899e<br>.idata 0xa0000 0xf1d 0x1000 4.42 a856d652b24ffd6f1080ec6b75152392<br>.rsrc 0xa1000 0xc09 0xe00 1.13 262ea041501ed9ad12107c54f6e38bfd<br>.reloc 0xa2000 0x413b 0x4200 6.23 8b1a477c373809c1f41170d5c28de8b6<br><br>( 4 imports ) <br>> WS2_32.dll: -, -, -, -, WSCGetProviderPath, WSCEnumProtocols<br>> PSAPI.DLL: GetProcessImageFileNameA<br>> KERNEL32.dll: Sleep, CompareStringW, CompareStringA, FlushFileBuffers, CreateFileA, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, LeaveCriticalSection, OutputDebugStringA, EnterCriticalSection, GetCurrentProcessId, GetLastError, HeapAlloc, HeapFree, HeapCreate, HeapDestroy, InitializeCriticalSection, DebugBreak, GetProcAddress, LoadLibraryA, ExpandEnvironmentStringsA, WideCharToMultiByte, LoadLibraryW, ExpandEnvironmentStringsW, DeleteCriticalSection, FreeLibrary, CloseHandle, GetCurrentProcess, GetConsoleCP, SetFilePointer, GetTimeZoneInformation, GetCurrentThreadId, GetCommandLineA, IsDebuggerPresent, RaiseException, MultiByteToWideChar, lstrlenA, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, RtlUnwind, TlsGetValue, GetModuleHandleW, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, GetCurrentThread, HeapValidate, IsBadReadPtr, SetEnvironmentVariableA, ExitProcess, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, VirtualFree, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetProcessHeap, GetModuleFileNameW, VirtualQuery, FatalAppExitA, GetACP, GetOEMCP, GetCPInfo, IsValidCodePage, HeapSize, HeapReAlloc, VirtualAlloc, WriteFile, SetConsoleCtrlHandler, InterlockedExchange, InitializeCriticalSectionAndSpinCount, WriteConsoleW, OutputDebugStringW, GetTimeFormatA, GetDateFormatA, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, LCMapStringA, LCMapStringW, GetLocaleInfoW<br>> USER32.dll: wsprintfA, wvsprintfA<br><br>( 2 exports ) <br>GetLspGuid, WSPStartup<br>

RDS...: NSRL Reference Data Set<br>-

sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

pdfid.: -

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.03.02 -

AhnLab-V3 5.0.0.2 2010.03.02 -

AntiVir 8.2.1.180 2010.03.02 -

Antiy-AVL 2.0.3.7 2010.03.02 -

Authentium 5.2.0.5 2010.03.02 -

Avast 4.8.1351.0 2010.03.02 -

Avast5 5.0.332.0 2010.02.24 -

AVG 9.0.0.730 2010.03.02 -

BitDefender 7.2 2010.03.02 -

CAT-QuickHeal 10.00 2010.03.02 -

ClamAV 0.96.0.0-git 2010.03.02 -

Comodo 4091 2010.02.28 -

DrWeb 5.0.1.12222 2010.03.02 -

eSafe 7.0.17.0 2010.03.02 -

eTrust-Vet 35.2.7335 2010.03.02 -

F-Prot 4.5.1.85 2010.03.02 -

F-Secure 9.0.15370.0 2010.03.02 -

Fortinet 4.0.14.0 2010.02.28 -

GData 19 2010.03.02 -

Ikarus T3.1.1.80.0 2010.03.02 -

Jiangmin 13.0.900 2010.03.02 -

K7AntiVirus 7.10.987 2010.03.02 -

Kaspersky 7.0.0.125 2010.03.02 -

McAfee 5908 2010.03.02 -

McAfee+Artemis 5908 2010.03.02 -

McAfee-GW-Edition 6.8.5 2010.03.02 -

Microsoft 1.5502 2010.03.02 -

NOD32 4910 2010.03.02 -

Norman 6.04.08 2010.03.02 -

nProtect 2009.1.8.0 2010.03.02 -

Panda 10.0.2.2 2010.03.02 -

PCTools 7.0.3.5 2010.03.02 -

Prevx 3.0 2010.03.02 -

Rising 22.37.01.04 2010.03.02 -

Sophos 4.50.0 2010.03.02 -

Sunbelt 5727 2010.03.02 -

Symantec 20091.2.0.41 2010.03.02 -

TheHacker 6.5.1.7.218 2010.03.02 -

TrendMicro 9.120.0.1004 2010.03.02 -

VBA32 3.12.12.2 2010.03.02 -

ViRobot 2010.3.2.2208 2010.03.02 -

VirusBuster 5.0.27.0 2010.03.02 -

 

Information additionnelle

File size: 479744 bytes

MD5...: a39917b6aec94a4f4316a90e14a274dd

SHA1..: e5927bbf521d229e5e9c91be1b17917b14ef2584

SHA256: 4aa1b82e17ffd27a812ff327becf012ef4c95f56f975a77cf08e7b70c230d10c

ssdeep: 12288:k9SeUiDiXbNu4V7FSxRlU3yeK0TTrNM7X5CjQu4PX:2SeUiDijMp1z0TlM<br>tCjQuk<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x2dadc<br>timedatestamp.....: 0x49a7136e (Thu Feb 26 22:10:54 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.textbss 0x1000 0x2b931 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.text 0x2d000 0x5b4b1 0x5b600 5.62 22cc9460fbd2ca99f50de5a0b3d492be<br>.rdata 0x89000 0x12023 0x12200 3.80 ea2f1dcc67fe689f13820ef05ec8a9da<br>.data 0x9c000 0x389c 0x1600 2.14 ca12983be716b8f4e643e8e1dae5899e<br>.idata 0xa0000 0xf1d 0x1000 4.42 a856d652b24ffd6f1080ec6b75152392<br>.rsrc 0xa1000 0xc09 0xe00 1.13 262ea041501ed9ad12107c54f6e38bfd<br>.reloc 0xa2000 0x413b 0x4200 6.23 8b1a477c373809c1f41170d5c28de8b6<br><br>( 4 imports ) <br>> WS2_32.dll: -, -, -, -, WSCGetProviderPath, WSCEnumProtocols<br>> PSAPI.DLL: GetProcessImageFileNameA<br>> KERNEL32.dll: Sleep, CompareStringW, CompareStringA, FlushFileBuffers, CreateFileA, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, LeaveCriticalSection, OutputDebugStringA, EnterCriticalSection, GetCurrentProcessId, GetLastError, HeapAlloc, HeapFree, HeapCreate, HeapDestroy, InitializeCriticalSection, DebugBreak, GetProcAddress, LoadLibraryA, ExpandEnvironmentStringsA, WideCharToMultiByte, LoadLibraryW, ExpandEnvironmentStringsW, DeleteCriticalSection, FreeLibrary, CloseHandle, GetCurrentProcess, GetConsoleCP, SetFilePointer, GetTimeZoneInformation, GetCurrentThreadId, GetCommandLineA, IsDebuggerPresent, RaiseException, MultiByteToWideChar, lstrlenA, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, RtlUnwind, TlsGetValue, GetModuleHandleW, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, GetCurrentThread, HeapValidate, IsBadReadPtr, SetEnvironmentVariableA, ExitProcess, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, VirtualFree, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetProcessHeap, GetModuleFileNameW, VirtualQuery, FatalAppExitA, GetACP, GetOEMCP, GetCPInfo, IsValidCodePage, HeapSize, HeapReAlloc, VirtualAlloc, WriteFile, SetConsoleCtrlHandler, InterlockedExchange, InitializeCriticalSectionAndSpinCount, WriteConsoleW, OutputDebugStringW, GetTimeFormatA, GetDateFormatA, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, LCMapStringA, LCMapStringW, GetLocaleInfoW<br>> USER32.dll: wsprintfA, wvsprintfA<br><br>( 2 exports ) <br>GetLspGuid, WSPStartup<br>

RDS...: NSRL Reference Data Set<br>-

sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

pdfid.: -

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)

[Falkra]

Internet fonctionne bien ?

[Himself64]

pas de soucis avec internet.

[Falkra]

Le fichier semble sain, et fonctionne sans doute avec Privoxy.

 

Il n'est pas bien référencé sur les bases de données, peux-tu me l'envoyer ? Ca me permettra de le faire enregistrer, c'est ce fichier :

C:\windows\system32\policylsp.dll

 

Pour me l'envoyer tu peux l'héberger sur http://www.senduit.com/ (règle sur 1 jour)

et me donner le lien que senduit va afficher par messagerie privée.

[Falkra]

J'ai le fichier, j'envoie.

Merci beaucoup.

 

Garde MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines.

Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.

Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats.

 

Supprime RSIT, et le dossier c:\RSIT

Pour Désinstaller OTMoveit (OTM), démarre-le et clique sur Clean Up!

Supprime rkill à la main.

 

Passe à IE8 (bien plus rapide, plus fiable, plus récent), même si tu ne l'utilises pas pour le surf :

http://www.microsoft.com/windows/internet-...er/default.aspx

 

Je te prépare la suite.

[Himself64]

Ok, merci beaucoup.

[Falkra]

Télécharge OTC d'Old Timer :

http://oldtimer.geekstogo.com/OTC.exe

Double clique dessus, puis clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux s'il en reste.

 

Quelques conseils de prévention, pour éviter de retrouver une infection dans quelques jours.

De manière générale, n'oublie pas de faire des sauvegarde de tes documents personnels régulièrement.

 

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres.

Et bien sûr, il y a Windows Updates.

 

Rends toi sur cette page de configuration du plugin Flash.

Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours.

Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage.

 

Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares.

Pour tout savoir sur le plugin flash : la FAQ du plugin Flash

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) :

(clique sur l'image).

 

Plus d'infos dans la FAQ sécurité du site.

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

[Himself64]

Ok, je ferais tout cela, merci infiniment pour ton aide !