C'est comme ça qu'on fait n'importe quoi.j'ai essayer d'ouvrir mbam, combofix etc... en mode sans échec : ça s'ouvre mais j'ai pas fait la procédure.
En plus tu ne postes aucun rapport, donc je ne peux rien te dire.
Félicitations...
Problème et demande d'analyse
Modérateur: Modérateurs
Règles du forum
Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
Un topic par machine, chacun crée le sien. 
Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles). Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications). Un topic par machine, chacun crée le sien.
64 messages
• Page 2 sur 4 • 1, 2, 3, 4
Re: Problème et demande d'analyse
par Falkra » 11 Avr 2010 10:27
En plus tu ne postes aucun rapport, donc je ne peux rien te dire.
Félicitations...
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Problème et demande d'analyse
par Domi974 » 11 Avr 2010 12:26
ben comment je peux poster un rapport si on a pas acces a ces logiciels.
j'ai juste ouvrir en mode sans echec mais pas scanné ! je voulais que tu me donnes une avis.
ton dernier logiciel GMER bug apres 10 min : j'avais pu de bureau, comment faire pour save un rapport si on a pu de bureau ????
c'est pas ma faute !
j'ai juste ouvrir en mode sans echec mais pas scanné ! je voulais que tu me donnes une avis.
ton dernier logiciel GMER bug apres 10 min : j'avais pu de bureau, comment faire pour save un rapport si on a pu de bureau ????
c'est pas ma faute !
- Domi974
- Libellulien Junior
- Messages: 348
- Inscription: 15 Mar 2010 13:35
Re: Problème et demande d'analyse
par Domi974 » 11 Avr 2010 12:34
ahhhh tu veux que je fasse ses procédure en mode sans échec ???? fallait dire plutot si j'ai manqué une étape :/ dsl....
- Domi974
- Libellulien Junior
- Messages: 348
- Inscription: 15 Mar 2010 13:35
Re: Problème et demande d'analyse
par Falkra » 11 Avr 2010 15:16
Réessaie Gmer avec juste processes, registry, files de cochés, en mode normal.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Problème et demande d'analyse
par Domi974 » 11 Avr 2010 17:28
ça refait la même chose :
impossible de save, mon bureau disparaît !!! je ne vois que ma souris
impossible de save, mon bureau disparaît !!! je ne vois que ma souris
- Domi974
- Libellulien Junior
- Messages: 348
- Inscription: 15 Mar 2010 13:35
Re: Problème et demande d'analyse
par Falkra » 12 Avr 2010 07:59
Le bureau ce n'est pas grave, si le programme te permet de cliquer sur le bouton.
Après tu peux toujours ouvrir un explorateur Windows normalement, avec Win+E ou en passant par le gestionnaire de tâches (CTRL+ALT+SUPPR, puis nouvelle tâche et tu tapes "explorer" sans les guillemets).
Après tu peux toujours ouvrir un explorateur Windows normalement, avec Win+E ou en passant par le gestionnaire de tâches (CTRL+ALT+SUPPR, puis nouvelle tâche et tu tapes "explorer" sans les guillemets).
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Problème et demande d'analyse
par Domi974 » 12 Avr 2010 08:30
le programme disparaît en même temps que le bureau et je ne peux pas faire CTRL+ALT+SUPPR quand le bureau disparaît. c'est trop bizarre, je ne comprends rien!!!
je ne sais pas quelle problème j'ai dans ce pc :/
je ne sais pas quelle problème j'ai dans ce pc :/
- Domi974
- Libellulien Junior
- Messages: 348
- Inscription: 15 Mar 2010 13:35
Re: Problème et demande d'analyse
par Falkra » 12 Avr 2010 08:35
On va voir avec un autre.
Télécharge RootRepeal via un clic droit sur l'un des liens ci-dessous:
http://ad13.geekstogo.com/RootRepeal.zip
http://rootrepeal.googlepages.com/RootRepeal.zip
http://rootrepeal.psikotick.com/RootRepeal.zip
--> Poste en réponse le rapport de RootRepeal (contenu du fichier RootRepealn1.txt)
Note: Ce rapport peut être très long. Bien vérifier qu'il est complet dans le message envoyé. Si nécessaire, le découper en plusieurs messages.
Télécharge RootRepeal via un clic droit sur l'un des liens ci-dessous:
http://ad13.geekstogo.com/RootRepeal.zip
http://rootrepeal.googlepages.com/RootRepeal.zip
http://rootrepeal.psikotick.com/RootRepeal.zip
- Enregistre le fichier sur ton Bureau.
- Crée un nouveau dossier nommé RootRepeal à la racine du disque système (généralement C:\)
- Décompresse l'archive téléchargée dans ce nouveau dossier RootRepeal (Fais un clic droit sur l'archive et choisis extraire vers C:\RootRepeal)
- Double-clique sur Rootrepeal(.exe) (Sous Vista, il faut faire un clic droit sur le fichier, et Exécuter en tant qu'administrateur).
- Clique sur l'onglet Report (en bas de la fenêtre) puis sur le bouton Scan.
- Dans la nouvelle fenêtre Select Scan, coche:
+ Drivers
+ Files
+ Processes
+ Stealth Objects
+ Hidden Services
- Clique sur le bouton OK
- Dans la nouvelle fenêtre Select Drives, coche le lecteur système (généralement C:\)
- Note: Cette analyse prend un certain temps. NE PAS LANCER d'autres programmes tant qu'elle est active.
- Lorsque l'analyse est terminée, un rapport va s'ouvrir, ferme le.
- Clique sur le bouton "Save report" et enregistre le fichier rapport dans le dossier RootRepeal sous le nom RootRepealn1.txt
- Ouvre le menu File (en haut à gauche), clique sur Exit pour fermer le programme.
--> Poste en réponse le rapport de RootRepeal (contenu du fichier RootRepealn1.txt)
Note: Ce rapport peut être très long. Bien vérifier qu'il est complet dans le message envoyé. Si nécessaire, le découper en plusieurs messages.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Problème et demande d'analyse
par Domi974 » 12 Avr 2010 16:17
Rapport de RootRepealn :
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/04/12 16:47
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================
Drivers
-------------------
Name: _VOIDd.sys
Image Path: C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys
Address: 0xAE0F9000 Size: 139264 File Visible: - Signed: -
Status: Hidden from the Windows API!
Name: giveio.sys
Image Path: giveio.sys
Address: 0xB8671000 Size: 1664 File Visible: No Signed: -
Status: -
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA7ABD000 Size: 49152 File Visible: No Signed: -
Status: -
Name: speedfan.sys
Image Path: speedfan.sys
Address: 0xB85AE000 Size: 5248 File Visible: No Signed: -
Status: -
Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!
Path: C:\WINDOWS\_VOIDekciouoiev
Status: Invisible to the Windows API!
Path: C:\WINDOWS\Temp\_VOID20cc.tmp
Status: Invisible to the Windows API!
Path: C:\WINDOWS\Temp\_VOID4967.tmp
Status: Invisible to the Windows API!
Path: C:\WINDOWS\Temp\_VOID5049.tmp
Status: Invisible to the Windows API!
Path: C:\WINDOWS\Temp\_VOID5fce.tmp
Status: Invisible to the Windows API!
Path: C:\WINDOWS\Temp\_VOIDmainqt.dll
Status: Invisible to the Windows API!
Path: C:\WINDOWS\system32\_VOIDguvpwcpqfw.dll
Status: Invisible to the Windows API!
Path: C:\WINDOWS\system32\_VOIDjrorkkwkip.dll
Status: Invisible to the Windows API!
Path: C:\WINDOWS\system32\_VOIDouhkacafyx.dll
Status: Invisible to the Windows API!
Path: C:\WINDOWS\system32\_VOIDqmkofnlhud.dat
Status: Invisible to the Windows API!
Path: C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys
Status: Invisible to the Windows API!
Path: C:\Documents and Settings\All Users\Application Data\_VOIDmfeklnmal.dll
Status: Invisible to the Windows API!
Path: c:\documents and settings\dominique\application data\skype\etilqs_5nygardhtagsqtvnb7yj
Status: Allocation size mismatch (API: 4096, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_km4pddmic4qulpsr9sef
Status: Allocation size mismatch (API: 4096, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_lb6uknum74xjjaexwnkp
Status: Allocation size mismatch (API: 65536, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_s5zawdqnrrt3fg3zc2at
Status: Allocation size mismatch (API: 32768, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_v7xokjjig6b5mljhnb80
Status: Allocation size mismatch (API: 4096, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_vmd4txtwthheypgpq4df
Status: Allocation size mismatch (API: 32768, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_xsk03jpnoeargntfuykb
Status: Allocation size mismatch (API: 4096, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_yjr8o4p7ipfcir1pyhvl
Status: Allocation size mismatch (API: 65536, Raw: 0)
Path: C:\Documents and Settings\dominique\Local Settings\Temp\_VOIDmainqt.dll
Status: Invisible to the Windows API!
Path: c:\documents and settings\dominique\local settings\temp\~df5b26.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)
Path: c:\documents and settings\dominique\local settings\temp\~dfe8c6.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)
Path: C:\Documents and Settings\papa\Local Settings\Temp\_VOIDmainqt.dll
Status: Invisible to the Windows API!
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\00\15076-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\02\11781-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\02\14822-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\05\11782-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\07\11783-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\24\10017-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\27\10020-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\29\10036-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\30\10023-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\34\10027-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\37\15025-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\39\15068-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\44\15069-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\47\15072-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\51\10062-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\66\15073-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\90\10057-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\92\10059-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\94\15074-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\95\15075-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\99\9991-{~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Stealth Objects
-------------------
Object: Hidden Module [Name: _VOIDouhkacafyx.dll]
Process: svchost.exe (PID: 1168) Address: 0x00960000 Size: 155648
Object: Hidden Module [Name: _VOIDguvpwcpqfw.dll]
Process: svchost.exe (PID: 1168) Address: 0x00a60000 Size: 65536
Object: Hidden Module [Name: _VOIDjrorkkwkip.dll]
Process: svchost.exe (PID: 1168) Address: 0x10000000 Size: 86016
Object: Hidden Module [Name: _VOIDjrorkkwkip.dll]
Process: Explorer.EXE (PID: 584) Address: 0x10000000 Size: 86016
Object: Hidden Module [Name: _VOIDjrorkkwkip.dll]
Process: firefox.exe (PID: 3856) Address: 0x01380000 Size: 86016
Object: Hidden Module [Name: _VOIDouhkacafyx.dll]
Process: firefox.exe (PID: 3856) Address: 0x01520000 Size: 155648
Object: Hidden Module [Name: _VOIDouhkacafyx.dll]
Process: iexplore.exe (PID: 2872) Address: 0x01360000 Size: 155648
Object: Hidden Module [Name: _VOIDjrorkkwkip.dll]
Process: iexplore.exe (PID: 2872) Address: 0x10000000 Size: 86016
Object: Hidden Code [ETHREAD: 0x8a406020]
Process: System Address: 0x8a20c270 Size: 1927
Hidden Services
-------------------
Service Name: _VOIDd.sys
Image Path: C:\WINDOWS\system32\drivers\_VOIDmirjleqqci.sys
Service Name: _VOIDekciouoiev
Image Path: C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys
==EOF==
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/04/12 16:47
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================
Drivers
-------------------
Name: _VOIDd.sys
Image Path: C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys
Address: 0xAE0F9000 Size: 139264 File Visible: - Signed: -
Status: Hidden from the Windows API!
Name: giveio.sys
Image Path: giveio.sys
Address: 0xB8671000 Size: 1664 File Visible: No Signed: -
Status: -
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA7ABD000 Size: 49152 File Visible: No Signed: -
Status: -
Name: speedfan.sys
Image Path: speedfan.sys
Address: 0xB85AE000 Size: 5248 File Visible: No Signed: -
Status: -
Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!
Path: C:\WINDOWS\_VOIDekciouoiev
Status: Invisible to the Windows API!
Path: C:\WINDOWS\Temp\_VOID20cc.tmp
Status: Invisible to the Windows API!
Path: C:\WINDOWS\Temp\_VOID4967.tmp
Status: Invisible to the Windows API!
Path: C:\WINDOWS\Temp\_VOID5049.tmp
Status: Invisible to the Windows API!
Path: C:\WINDOWS\Temp\_VOID5fce.tmp
Status: Invisible to the Windows API!
Path: C:\WINDOWS\Temp\_VOIDmainqt.dll
Status: Invisible to the Windows API!
Path: C:\WINDOWS\system32\_VOIDguvpwcpqfw.dll
Status: Invisible to the Windows API!
Path: C:\WINDOWS\system32\_VOIDjrorkkwkip.dll
Status: Invisible to the Windows API!
Path: C:\WINDOWS\system32\_VOIDouhkacafyx.dll
Status: Invisible to the Windows API!
Path: C:\WINDOWS\system32\_VOIDqmkofnlhud.dat
Status: Invisible to the Windows API!
Path: C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys
Status: Invisible to the Windows API!
Path: C:\Documents and Settings\All Users\Application Data\_VOIDmfeklnmal.dll
Status: Invisible to the Windows API!
Path: c:\documents and settings\dominique\application data\skype\etilqs_5nygardhtagsqtvnb7yj
Status: Allocation size mismatch (API: 4096, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_km4pddmic4qulpsr9sef
Status: Allocation size mismatch (API: 4096, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_lb6uknum74xjjaexwnkp
Status: Allocation size mismatch (API: 65536, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_s5zawdqnrrt3fg3zc2at
Status: Allocation size mismatch (API: 32768, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_v7xokjjig6b5mljhnb80
Status: Allocation size mismatch (API: 4096, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_vmd4txtwthheypgpq4df
Status: Allocation size mismatch (API: 32768, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_xsk03jpnoeargntfuykb
Status: Allocation size mismatch (API: 4096, Raw: 0)
Path: c:\documents and settings\dominique\application data\skype\etilqs_yjr8o4p7ipfcir1pyhvl
Status: Allocation size mismatch (API: 65536, Raw: 0)
Path: C:\Documents and Settings\dominique\Local Settings\Temp\_VOIDmainqt.dll
Status: Invisible to the Windows API!
Path: c:\documents and settings\dominique\local settings\temp\~df5b26.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)
Path: c:\documents and settings\dominique\local settings\temp\~dfe8c6.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)
Path: C:\Documents and Settings\papa\Local Settings\Temp\_VOIDmainqt.dll
Status: Invisible to the Windows API!
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\00\15076-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\02\11781-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\02\14822-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\05\11782-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\07\11783-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\24\10017-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\27\10020-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\29\10036-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\30\10023-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\34\10027-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\37\15025-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\39\15068-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\44\15069-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\47\15072-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\51\10062-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\66\15073-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\90\10057-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\92\10059-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\94\15074-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\95\15075-~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Path: C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Messenger\dom2_unreal@hotmail.com\SharingMetadata\kafmalbar438@hotmail.com\DFSR\Staging\CS{FC5F5D44-97C4-85F3-C3AA-92AA02FE9BD3}\99\9991-{~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.
Stealth Objects
-------------------
Object: Hidden Module [Name: _VOIDouhkacafyx.dll]
Process: svchost.exe (PID: 1168) Address: 0x00960000 Size: 155648
Object: Hidden Module [Name: _VOIDguvpwcpqfw.dll]
Process: svchost.exe (PID: 1168) Address: 0x00a60000 Size: 65536
Object: Hidden Module [Name: _VOIDjrorkkwkip.dll]
Process: svchost.exe (PID: 1168) Address: 0x10000000 Size: 86016
Object: Hidden Module [Name: _VOIDjrorkkwkip.dll]
Process: Explorer.EXE (PID: 584) Address: 0x10000000 Size: 86016
Object: Hidden Module [Name: _VOIDjrorkkwkip.dll]
Process: firefox.exe (PID: 3856) Address: 0x01380000 Size: 86016
Object: Hidden Module [Name: _VOIDouhkacafyx.dll]
Process: firefox.exe (PID: 3856) Address: 0x01520000 Size: 155648
Object: Hidden Module [Name: _VOIDouhkacafyx.dll]
Process: iexplore.exe (PID: 2872) Address: 0x01360000 Size: 155648
Object: Hidden Module [Name: _VOIDjrorkkwkip.dll]
Process: iexplore.exe (PID: 2872) Address: 0x10000000 Size: 86016
Object: Hidden Code [ETHREAD: 0x8a406020]
Process: System Address: 0x8a20c270 Size: 1927
Hidden Services
-------------------
Service Name: _VOIDd.sys
Image Path: C:\WINDOWS\system32\drivers\_VOIDmirjleqqci.sys
Service Name: _VOIDekciouoiev
Image Path: C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys
==EOF==
- Domi974
- Libellulien Junior
- Messages: 348
- Inscription: 15 Mar 2010 13:35
Re: Problème et demande d'analyse
par Falkra » 12 Avr 2010 16:22
Impec, là on a bien avancé.
1. Télécharge The Avenger par Swandog46 sur ton Bureau.
2. Copie le contenu de la boîte code ci-dessous (CTRL+C), les deux lignes, n'oublie aucune lettre :
Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
3. Maintenant, lance The Avenger en double cliquant dessus, sauf pour VIsta et 7 : là par clic droit, exécuter en tant qu'administrateur.
1. Télécharge The Avenger par Swandog46 sur ton Bureau.
- Décompresse le fichier
- avenger.exe sur le bureau
2. Copie le contenu de la boîte code ci-dessous (CTRL+C), les deux lignes, n'oublie aucune lettre
:- Code: Tout sélectionner
files to delete:
C:\WINDOWS\Temp\_VOID20cc.tmp
C:\WINDOWS\Temp\_VOID4967.tmp
C:\WINDOWS\Temp\_VOID5049.tmp
C:\WINDOWS\Temp\_VOID5fce.tmp
C:\WINDOWS\Temp\_VOIDmainqt.dll
C:\WINDOWS\system32\_VOIDguvpwcpqfw.dll
C:\WINDOWS\system32\_VOIDjrorkkwkip.dll
C:\WINDOWS\system32\_VOIDouhkacafyx.dll
C:\WINDOWS\system32\_VOIDqmkofnlhud.dat
C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys
C:\WINDOWS\system32\drivers\_VOIDmirjleqqci.sys
C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys
folders to delete:
C:\WINDOWS\_VOIDekciouoiev
drivers to disable:
_VOIDd.sys
_VOIDekciouoiev
drivers to delete:
_VOIDd.sys
_VOIDekciouoiev
Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
3. Maintenant, lance The Avenger en double cliquant dessus, sauf pour VIsta et 7 : là par clic droit, exécuter en tant qu'administrateur.
- Sous "Input Script There", colle le code précédemment copié.
- Clique sur Execute
- Réponds "Yes" quand demandé.
- Il va Re-démarrer le système.
- Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
- Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Problème et demande d'analyse
par Domi974 » 12 Avr 2010 17:00
Avant de faire cette procédure : j'aimerais poser une question :
est ce que ce symptome ou ce virus peut ns empêcher à se redémarrer normalement?
fallait que je redémarre 3 ou 4 fois avant que j'ai mon bureau :/
voilà ce qu'il se passe : arrivé a la fin du chargement des comptes d'utilisateur, j'ai un bureau tout noire avec seulement la souris !
est ce que ce symptome ou ce virus peut ns empêcher à se redémarrer normalement?
fallait que je redémarre 3 ou 4 fois avant que j'ai mon bureau :/
voilà ce qu'il se passe : arrivé a la fin du chargement des comptes d'utilisateur, j'ai un bureau tout noire avec seulement la souris !
- Domi974
- Libellulien Junior
- Messages: 348
- Inscription: 15 Mar 2010 13:35
Re: Problème et demande d'analyse
par Falkra » 12 Avr 2010 17:02
Ce n'est pas une de ses caractéristiques, et il ne détruit pas les fichiers sains.est ce que ce symptome ou ce virus peut ns empêcher à se redémarrer normalement?
C'est un des problèmes liés à cette bestiole.fallait que je redémarre 3 ou 4 fois avant que j'ai mon bureau :/
Par contre, tu sembles avoir d'autres problèmes d'ordre logiciel, mais tant que cette bestiole sera là, on ne pourra pas faire la parte des choses.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Problème et demande d'analyse
par Domi974 » 12 Avr 2010 17:22
y a eu 2 problèmes pendant le reboot :
un écran bleu avec un message dont le systeme a été arrêter
apres le chargement de mon compte utilisateur y av eu un 2eme écran bleu dont apparemment c'est le graphique.
Voici donc le rapport de avenger :
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
Hidden driver "_VOIDd.sys" found!
ImagePath: \systemroot\system32\drivers\_VOIDmirjleqqci.sys
Start Type: 4 (Disabled)
Hidden driver "_VOIDekciouoiev" found!
ImagePath: \systemroot\_VOIDekciouoiev\_VOIDd.sys
Start Type: 4 (Disabled)
Rootkit scan completed.
Error: file "C:\WINDOWS\Temp\_VOID20cc.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\_VOID20cc.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS\Temp\_VOID4967.tmp" deleted successfully.
File "C:\WINDOWS\Temp\_VOID5049.tmp" deleted successfully.
File "C:\WINDOWS\Temp\_VOID5fce.tmp" deleted successfully.
File "C:\WINDOWS\Temp\_VOIDmainqt.dll" deleted successfully.
File "C:\WINDOWS\system32\_VOIDguvpwcpqfw.dll" deleted successfully.
File "C:\WINDOWS\system32\_VOIDjrorkkwkip.dll" deleted successfully.
File "C:\WINDOWS\system32\_VOIDouhkacafyx.dll" deleted successfully.
File "C:\WINDOWS\system32\_VOIDqmkofnlhud.dat" deleted successfully.
File "C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys" deleted successfully.
Error: file "C:\WINDOWS\system32\drivers\_VOIDmirjleqqci.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\_VOIDmirjleqqci.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys" not found!
Deletion of file "C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Folder "C:\WINDOWS\_VOIDekciouoiev" deleted successfully.
Driver "_VOIDd.sys" disabled successfully.
Driver "_VOIDekciouoiev" disabled successfully.
Driver "_VOIDd.sys" deleted successfully.
Driver "_VOIDekciouoiev" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
ps : mon avira antivir personal est revenu
un écran bleu avec un message dont le systeme a été arrêter
apres le chargement de mon compte utilisateur y av eu un 2eme écran bleu dont apparemment c'est le graphique.
Voici donc le rapport de avenger :
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
Hidden driver "_VOIDd.sys" found!
ImagePath: \systemroot\system32\drivers\_VOIDmirjleqqci.sys
Start Type: 4 (Disabled)
Hidden driver "_VOIDekciouoiev" found!
ImagePath: \systemroot\_VOIDekciouoiev\_VOIDd.sys
Start Type: 4 (Disabled)
Rootkit scan completed.
Error: file "C:\WINDOWS\Temp\_VOID20cc.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\_VOID20cc.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS\Temp\_VOID4967.tmp" deleted successfully.
File "C:\WINDOWS\Temp\_VOID5049.tmp" deleted successfully.
File "C:\WINDOWS\Temp\_VOID5fce.tmp" deleted successfully.
File "C:\WINDOWS\Temp\_VOIDmainqt.dll" deleted successfully.
File "C:\WINDOWS\system32\_VOIDguvpwcpqfw.dll" deleted successfully.
File "C:\WINDOWS\system32\_VOIDjrorkkwkip.dll" deleted successfully.
File "C:\WINDOWS\system32\_VOIDouhkacafyx.dll" deleted successfully.
File "C:\WINDOWS\system32\_VOIDqmkofnlhud.dat" deleted successfully.
File "C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys" deleted successfully.
Error: file "C:\WINDOWS\system32\drivers\_VOIDmirjleqqci.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\_VOIDmirjleqqci.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys" not found!
Deletion of file "C:\WINDOWS\_VOIDekciouoiev\_VOIDd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Folder "C:\WINDOWS\_VOIDekciouoiev" deleted successfully.
Driver "_VOIDd.sys" disabled successfully.
Driver "_VOIDekciouoiev" disabled successfully.
Driver "_VOIDd.sys" deleted successfully.
Driver "_VOIDekciouoiev" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
ps : mon avira antivir personal est revenu
- Domi974
- Libellulien Junior
- Messages: 348
- Inscription: 15 Mar 2010 13:35
Re: Problème et demande d'analyse
par Falkra » 12 Avr 2010 17:27
Le script est passé ! 
Utilise MBAM pour nettoyer, mets-le à jour surtout avant.
Utilise MBAM pour nettoyer, mets-le à jour surtout avant.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Problème et demande d'analyse
par Domi974 » 12 Avr 2010 18:03
Rapport de MBAM :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3981
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12/04/2010 21:01:21
mbam-log-2010-04-12 (21-01-21).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 149885
Temps écoulé: 23 minute(s), 20 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 21
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\Program Files\Your Protection\urpext.dll (Malware.Packer.Gen) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Your Protection (Rogue.YourProtection) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Your Protection (Rogue.YourProtection) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\_VOID (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOIDd.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Paladin Antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Paladin Antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe (Security.Hijack) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mplay32xe.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\your protection (Malware.Packer.Gen) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
C:\Program Files\Your Protection (Rogue.YourProtection) -> Delete on reboot.
Fichier(s) infecté(s):
C:\Program Files\Your Protection\urpext.dll (Malware.Packer.Gen) -> Delete on reboot.
C:\WINDOWS\Temp\mplay32xe.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\urpprot.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\tnjxs.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\tpjufea.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\chgecfl.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\asd22.tmp.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\asd23.tmp.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\about.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\activate.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\buy.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\help.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\scan.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\settings.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\splash.mp3 (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\Uninstall.exe (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\update.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\urp.db (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\urphook.dll (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\virus.mp3 (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Favoris\_favdata.dat (Malware.Trace) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3981
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12/04/2010 21:01:21
mbam-log-2010-04-12 (21-01-21).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 149885
Temps écoulé: 23 minute(s), 20 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 21
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\Program Files\Your Protection\urpext.dll (Malware.Packer.Gen) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Your Protection (Rogue.YourProtection) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Your Protection (Rogue.YourProtection) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\_VOID (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOIDd.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Paladin Antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Paladin Antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe (Security.Hijack) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mplay32xe.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\your protection (Malware.Packer.Gen) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
C:\Program Files\Your Protection (Rogue.YourProtection) -> Delete on reboot.
Fichier(s) infecté(s):
C:\Program Files\Your Protection\urpext.dll (Malware.Packer.Gen) -> Delete on reboot.
C:\WINDOWS\Temp\mplay32xe.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\urpprot.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\tnjxs.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\tpjufea.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\chgecfl.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\asd22.tmp.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\asd23.tmp.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\about.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\activate.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\buy.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\help.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\scan.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\settings.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\splash.mp3 (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\Uninstall.exe (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\update.ico (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\urp.db (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\urphook.dll (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Program Files\Your Protection\virus.mp3 (Rogue.YourProtection) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Favoris\_favdata.dat (Malware.Trace) -> Quarantined and deleted successfully.
- Domi974
- Libellulien Junior
- Messages: 348
- Inscription: 15 Mar 2010 13:35
Re: Problème et demande d'analyse
par Falkra » 12 Avr 2010 20:26
Ca va aller beaucoup mieux. 
Redémarre si ce n'est pas déjà fait, et vois si ça tourne mieux.
Redémarre si ce n'est pas déjà fait, et vois si ça tourne mieux.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Problème et demande d'analyse
par Domi974 » 12 Avr 2010 21:34
c'est déja fait )
merci beaucoup
mes respects !!!)
Ps : j'ai une petite question : quand mon ordi ne redémarrait pas, j'avais pu d'écran la luminosité était orange.j'avais du mal a redémarré
j'allumais mais pu d'écran et j'entends prêt de mon boitier : un bruit (tic tac tic tac).
qu'est ce que c'est ????
) merci beaucoup
mes respects !!!
)Ps : j'ai une petite question : quand mon ordi ne redémarrait pas, j'avais pu d'écran la luminosité était orange.j'avais du mal a redémarré
j'allumais mais pu d'écran et j'entends prêt de mon boitier : un bruit (tic tac tic tac).
qu'est ce que c'est ????
- Domi974
- Libellulien Junior
- Messages: 348
- Inscription: 15 Mar 2010 13:35
Re: Problème et demande d'analyse
par Falkra » 12 Avr 2010 21:47
Le voyanbt orange de l'écran, ça veut dire qu'il ne reçoit pas de signal, donc qu'il reste en veille.
Tic tac, c'est le disque dur en général, si c'est trop fort ça veut dire que le disque est mort ou pas loin. sauvegarde tes données personnelles et importantes, par précaution, quoi qu'il arrive. Ca en tout cas, ce n'est pas lié au virus.
Tic tac, c'est le disque dur en général, si c'est trop fort ça veut dire que le disque est mort ou pas loin. sauvegarde tes données personnelles et importantes, par précaution, quoi qu'il arrive. Ca en tout cas, ce n'est pas lié au virus.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Problème et demande d'analyse
par Domi974 » 12 Avr 2010 22:30
ok merci.
a un certain moment, quand je vais sur un lien : il ouvre (tout seul) un nouvel onglet et me dirige vers une pub directement !
est ce que c'est possible de les enlever ?
a un certain moment, quand je vais sur un lien : il ouvre (tout seul) un nouvel onglet et me dirige vers une pub directement !
est ce que c'est possible de les enlever ?
- Domi974
- Libellulien Junior
- Messages: 348
- Inscription: 15 Mar 2010 13:35
Re: Problème et demande d'analyse
par Domi974 » 13 Avr 2010 16:52
bon je vais pas ouvrir un nouveau topic :
Voilà j'ai redémarrer au -4 ou 5 fois pour retrouver mon bureau. Mon écran était en veille comme tu dis avec la luminosité orange. l'écran était éteind quoi!!!! disont que le pc a été bloquer ! j'entends des tic tacs dans mon boitier au démarrage mais sans écran d'affichage !!
avant d'être bloqué encore une fois, j'avais eu un signalement d'erreur : le système a été bloqué.
je voulais poster ce rapport d'erreur, mais le pc a été rebloqué :/
donc je ne sais pas comment récupérer ce rapport :
j'ai eu le temps de screener.
je vous montre le screen
Voilà j'ai redémarrer au -4 ou 5 fois pour retrouver mon bureau. Mon écran était en veille comme tu dis avec la luminosité orange. l'écran était éteind quoi!!!! disont que le pc a été bloquer ! j'entends des tic tacs dans mon boitier au démarrage mais sans écran d'affichage !!
avant d'être bloqué encore une fois, j'avais eu un signalement d'erreur : le système a été bloqué.
je voulais poster ce rapport d'erreur, mais le pc a été rebloqué :/
donc je ne sais pas comment récupérer ce rapport :
j'ai eu le temps de screener.
je vous montre le screen
- Domi974
- Libellulien Junior
- Messages: 348
- Inscription: 15 Mar 2010 13:35
64 messages
• Page 2 sur 4 • 1, 2, 3, 4
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités
Développé par phpBB® Forum Software © phpBB Group
Traduction par phpBB-fr.com
Traduction par phpBB-fr.com
phpBB Metro Theme by PixelGoose Studio