c:\windows\system32\shell32.dll est endommagé et illisible [Résolu]

Bonjour,

Depuis quelques jours mon pc m'informe de ce problème :

c:\windows\system32\shell32.dll est endommagé et illisible. Exécutez l'utilitaire CHKDSK.

A chaque redémarrage il s'exécute => aucuns problèmes mais lorsque je me connecte sur MSN il me le demande de nouveau...

Suis-je infecté ?

Cordialement,

PoPeY.

Ps : Rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:33 PoPeY, on 15/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\srksrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\install\EXE\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BigDogPath323VMSnap] C:\WINDOWS\VMSnap23.exe
O4 - HKLM\..\Run: [BigDogPath323Domino] C:\WINDOWS\Domino.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SetPointII.lnk = ?
O4 - Global Startup: WiFi Station pour Livebox.lnk = ?
O4 - Global Startup: WiFi Station.lnk = C:\Program Files\Hercules\WiFi Station\WiFiStation.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SarkoService (SarkophageService) - Unknown owner - C:\WINDOWS\system32\srksrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5124 bytes

Message édité par fenomax le 17-12-2008 à 14:59:10

------------------------------ PoPeY

Répondre

Inscrivez-vous ou connectez-vous pour masquer ceci.

Bonjour,

As-tu le CD de Windows ?

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal

Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : C:\WINDOWS\VMSnap23.exe
Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
Lorsque l'analyse est terminée ("Situation actuelle: terminé" ), clique sur Formaté
Une nouvelle fenêtre de ton navigateur va apparaître
Clique alors sur cette image :
Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
Enfin colle le résultat dans ta prochaine réponse.

Fais la même chose avec ces fichiers : C:\WINDOWS\

Domino.exe

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

Répondre à FanDANGELDARK

Salut ! :hello:

Merci pour ton aide,

Ce matin mon pc ne voulait plus démarrer (écran bleu, puis reboot).

Du coup en ce moment même je fais une réparation d'Xpet :lol:

Je te tient informé de la suite, encore merci !

Cordialement,

PoPeY.

------------------------------ PoPeY
Répondre à fenomax

Alors voilà :

Il me dit sur la première page : Prevx1 /V2 /2008.12.06 /Malicious Software...

Fichier VMSnap23.exe reçu le 2008.12.06 22:14:37 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.6.0 2008.12.06 -
AntiVir 7.9.0.42 2008.12.05 -
Authentium 5.1.0.4 2008.12.06 -
Avast 4.8.1281.0 2008.12.06 -
AVG 8.0.0.199 2008.12.06 -
BitDefender 7.2 2008.12.06 -
CAT-QuickHeal 10.00 2008.12.06 -
ClamAV 0.94.1 2008.12.06 -
Comodo 698 2008.12.06 -
DrWeb 4.44.0.09170 2008.12.06 -
eSafe 7.0.17.0 2008.12.04 -
eTrust-Vet 31.6.6246 2008.12.05 -
Ewido 4.0 2008.12.06 -
F-Prot 4.4.4.56 2008.12.04 -
F-Secure 8.0.14332.0 2008.12.06 -
Fortinet 3.117.0.0 2008.12.06 -
GData 19 2008.12.06 -
Ikarus T3.1.1.45.0 2008.12.06 -
K7AntiVirus 7.10.547 2008.12.06 -
Kaspersky 7.0.0.125 2008.12.06 -
McAfee 5456 2008.12.06 -
McAfee+Artemis 5456 2008.12.06 -
Microsoft 1.4205 2008.12.06 -
NOD32 3668 2008.12.06 -
Norman 5.80.02 2008.12.05 -
Panda 9.0.0.4 2008.12.06 -
PCTools 4.4.2.0 2008.12.06 -
Prevx1 V2 2008.12.06 Malicious Software
Rising 21.06.52.00 2008.12.06 -
SecureWeb-Gateway 6.7.6 2008.12.06 -
Sophos 4.36.0 2008.12.06 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.06 -
TheHacker 6.3.1.2.179 2008.12.06 -
TrendMicro 8.700.0.1004 2008.12.05 -
VBA32 3.12.8.10 2008.12.06 -
ViRobot 2008.12.6.1504 2008.12.06 -
VirusBuster 4.5.11.0 2008.12.05 -
Information additionnelle
File size: 212992 bytes
MD5...: 24443428a501cf450d6d1e9613d06506
SHA1..: 80dc9f1210ba08c0ebaa2d00f607b0cf8d3496ed
SHA256: 441fad1c16b37b3c52cbdc2e9af19d1e0f7a8fd088cbc6e852020a15c0b6684b
SHA512: f964ec059ee6a8ff208d21e86fb2121a03e5fa0cd287d55aa19c613189943ebd 91770b7f09b772cf57f7e9da26d0860ef7227cad113c95bff029d408c796c510 
ssdeep: 1536:vIDsLMNESNS4ISIXebWk8aaEnIXN5KFACcsYARlwe8jxh/lIz:vI4LMN5c/ HXu9aEkN5mcbSwHh/lIz 
PEiD..: -
TrID..: File type identification Win32 Executable MS Visual C++ (generic) (53.1%) Windows Screen Saver (18.4%) Win32 Executable Generic (12.0%) Win32 Dynamic Link Library (generic) (10.6%) Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x41156e timedatestamp.....: 0x450f8d80 (Tue Sep 19 06:26:08 2006) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .textbss 0x1000 0x10000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .text 0x11000 0x183fe 0x19000 5.26 163398cff0d650545c8d21d1ac6679da .rdata 0x2a000 0x75db 0x8000 5.35 e7d87d05085c38c6fa8c10fa7842ee3f .data 0x32000 0x4e6c 0x2000 0.71 6d5aabca71ce5022215d1552d5f4b023 .idata 0x37000 0xec9 0x1000 4.10 8611bc593eb1fb8d411c0c20a5c17e79 .rsrc 0x38000 0xe63c 0xf000 3.68 fa13efbf14a1ddde80f9e56d15196ff2 ( 6 imports ) > KERNEL32.dll: SetStdHandle, GetLocaleInfoA, GetSystemInfo, VirtualProtect, SetFilePointer, LCMapStringW, LCMapStringA, GetStringTypeW, GetStringTypeA, Sleep, InterlockedExchange, VirtualQuery, GetOEMCP, GetACP, GetCPInfo, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, IsBadCodePtr, CreateMutexA, GetLastError, MultiByteToWideChar, CloseHandle, SetUnhandledExceptionFilter, SetConsoleCtrlHandler, VirtualAlloc, HeapReAlloc, FreeLibrary, GetProcessHeap, HeapAlloc, VirtualFree, HeapFree, HeapCreate, HeapDestroy, GetFileType, RtlUnwind, WideCharToMultiByte, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersionExA, DebugBreak, RaiseException, GetProcAddress, LoadLibraryA, IsBadWritePtr, IsBadReadPtr, HeapValidate, GetStdHandle, WriteFile, InterlockedDecrement, OutputDebugStringA, InterlockedIncrement, GetModuleFileNameA, TerminateProcess, GetCurrentProcess, ExitProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, FlushFileBuffers > USER32.dll: TranslateAcceleratorA, GetMessageA, LoadAcceleratorsA, TranslateMessage, DispatchMessageA, BeginPaint, EndDialog, SetTimer, DialogBoxParamA, DestroyWindow, RegisterClassExA, KillTimer, DefWindowProcA, EndPaint, PostQuitMessage, FindWindowA, SendMessageA, CreateWindowExA, LoadIconA, LoadCursorA > ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegOpenKeyA > SHELL32.dll: ShellExecuteA > ole32.dll: CoUninitialize, CoInitialize, CoCreateInstance, CoGetMalloc, MkParseDisplayName, CreateBindCtx > OLEAUT32.dll: -, - ( 0 exports ) 
Prevx info: <a href="http://info.prevx.com/aboutprogramtext.asp?PX5=9016C9CB0049167140940390CEDDA400DD64038D" target="_blank">http://info.prevx.com/aboutprogramtext.asp?PX5=9016C9CB0049167140940390CEDDA400DD64038D</a>
CWSandbox info: <a href="http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=24443428a501cf450d6d1e9613d06506" target="_blank">http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=24443428a501cf450d6d1e9613d06506</a>

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.6.0 2008.12.06 -
AntiVir 7.9.0.42 2008.12.05 -
Authentium 5.1.0.4 2008.12.06 -
Avast 4.8.1281.0 2008.12.06 -
AVG 8.0.0.199 2008.12.06 -
BitDefender 7.2 2008.12.06 -
CAT-QuickHeal 10.00 2008.12.06 -
ClamAV 0.94.1 2008.12.06 -
Comodo 698 2008.12.06 -
DrWeb 4.44.0.09170 2008.12.06 -
eSafe 7.0.17.0 2008.12.04 -
eTrust-Vet 31.6.6246 2008.12.05 -
Ewido 4.0 2008.12.06 -
F-Prot 4.4.4.56 2008.12.04 -
F-Secure 8.0.14332.0 2008.12.06 -
Fortinet 3.117.0.0 2008.12.06 -
GData 19 2008.12.06 -
Ikarus T3.1.1.45.0 2008.12.06 -
K7AntiVirus 7.10.547 2008.12.06 -
Kaspersky 7.0.0.125 2008.12.06 -
McAfee 5456 2008.12.06 -
McAfee+Artemis 5456 2008.12.06 -
Microsoft 1.4205 2008.12.06 -
NOD32 3668 2008.12.06 -
Norman 5.80.02 2008.12.05 -
Panda 9.0.0.4 2008.12.06 -
PCTools 4.4.2.0 2008.12.06 -
Prevx1 V2 2008.12.06 Malicious Software
Rising 21.06.52.00 2008.12.06 -
SecureWeb-Gateway 6.7.6 2008.12.06 -
Sophos 4.36.0 2008.12.06 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.06 -
TheHacker 6.3.1.2.179 2008.12.06 -
TrendMicro 8.700.0.1004 2008.12.05 -
VBA32 3.12.8.10 2008.12.06 -
ViRobot 2008.12.6.1504 2008.12.06 -
VirusBuster 4.5.11.0 2008.12.05 -

Information additionnelle
File size: 212992 bytes
MD5...: 24443428a501cf450d6d1e9613d06506
SHA1..: 80dc9f1210ba08c0ebaa2d00f607b0cf8d3496ed
SHA256: 441fad1c16b37b3c52cbdc2e9af19d1e0f7a8fd088cbc6e852020a15c0b6684b
SHA512: f964ec059ee6a8ff208d21e86fb2121a03e5fa0cd287d55aa19c613189943ebd 91770b7f09b772cf57f7e9da26d0860ef7227cad113c95bff029d408c796c510 
ssdeep: 1536:vIDsLMNESNS4ISIXebWk8aaEnIXN5KFACcsYARlwe8jxh/lIz:vI4LMN5c/ HXu9aEkN5mcbSwHh/lIz 
PEiD..: -
TrID..: File type identification Win32 Executable MS Visual C++ (generic) (53.1%) Windows Screen Saver (18.4%) Win32 Executable Generic (12.0%) Win32 Dynamic Link Library (generic) (10.6%) Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x41156e timedatestamp.....: 0x450f8d80 (Tue Sep 19 06:26:08 2006) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .textbss 0x1000 0x10000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .text 0x11000 0x183fe 0x19000 5.26 163398cff0d650545c8d21d1ac6679da .rdata 0x2a000 0x75db 0x8000 5.35 e7d87d05085c38c6fa8c10fa7842ee3f .data 0x32000 0x4e6c 0x2000 0.71 6d5aabca71ce5022215d1552d5f4b023 .idata 0x37000 0xec9 0x1000 4.10 8611bc593eb1fb8d411c0c20a5c17e79 .rsrc 0x38000 0xe63c 0xf000 3.68 fa13efbf14a1ddde80f9e56d15196ff2 ( 6 imports ) > KERNEL32.dll: SetStdHandle, GetLocaleInfoA, GetSystemInfo, VirtualProtect, SetFilePointer, LCMapStringW, LCMapStringA, GetStringTypeW, GetStringTypeA, Sleep, InterlockedExchange, VirtualQuery, GetOEMCP, GetACP, GetCPInfo, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, IsBadCodePtr, CreateMutexA, GetLastError, MultiByteToWideChar, CloseHandle, SetUnhandledExceptionFilter, SetConsoleCtrlHandler, VirtualAlloc, HeapReAlloc, FreeLibrary, GetProcessHeap, HeapAlloc, VirtualFree, HeapFree, HeapCreate, HeapDestroy, GetFileType, RtlUnwind, WideCharToMultiByte, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersionExA, DebugBreak, RaiseException, GetProcAddress, LoadLibraryA, IsBadWritePtr, IsBadReadPtr, HeapValidate, GetStdHandle, WriteFile, InterlockedDecrement, OutputDebugStringA, InterlockedIncrement, GetModuleFileNameA, TerminateProcess, GetCurrentProcess, ExitProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, FlushFileBuffers > USER32.dll: TranslateAcceleratorA, GetMessageA, LoadAcceleratorsA, TranslateMessage, DispatchMessageA, BeginPaint, EndDialog, SetTimer, DialogBoxParamA, DestroyWindow, RegisterClassExA, KillTimer, DefWindowProcA, EndPaint, PostQuitMessage, FindWindowA, SendMessageA, CreateWindowExA, LoadIconA, LoadCursorA > ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegOpenKeyA > SHELL32.dll: ShellExecuteA > ole32.dll: CoUninitialize, CoInitialize, CoCreateInstance, CoGetMalloc, MkParseDisplayName, CreateBindCtx > OLEAUT32.dll: -, - ( 0 exports ) 
Prevx info: <a href="http://info.prevx.com/aboutprogramtext.asp?PX5=9016C9CB0049167140940390CEDDA400DD64038D" target="_blank">http://info.prevx.com/aboutprogramtext.asp?PX5=9016C9CB0049167140940390CEDDA400DD64038D</a>
CWSandbox info: <a href="http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=24443428a501cf450d6d1e9613d06506" target="_blank">http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=24443428a501cf450d6d1e9613d06506</a>

Et pour DOMINO :

Fichier Recovery.vxe.EXE1 reçu le 2008.12.16 11:27:35 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.16.2 2008.12.16 -
AntiVir 7.9.0.45 2008.12.16 -
Authentium 5.1.0.4 2008.12.16 -
Avast 4.8.1281.0 2008.12.15 -
AVG 8.0.0.199 2008.12.15 -
BitDefender 7.2 2008.12.16 -
CAT-QuickHeal 10.00 2008.12.16 -
ClamAV 0.94.1 2008.12.16 -
Comodo 760 2008.12.15 -
DrWeb 4.44.0.09170 2008.12.16 -
eSafe 7.0.17.0 2008.12.15 -
eTrust-Vet 31.6.6263 2008.12.16 -
Ewido 4.0 2008.12.15 -
F-Prot 4.4.4.56 2008.12.14 -
F-Secure 8.0.14332.0 2008.12.16 -
Fortinet 3.117.0.0 2008.12.16 -
GData 19 2008.12.16 -
Ikarus T3.1.1.45.0 2008.12.16 -
K7AntiVirus 7.10.554 2008.12.15 -
Kaspersky 7.0.0.125 2008.12.16 -
McAfee 5465 2008.12.15 -
McAfee+Artemis 5465 2008.12.15 -
Microsoft 1.4205 2008.12.16 -
NOD32 3695 2008.12.16 -
Norman 5.80.02 2008.12.15 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.15 -
Prevx1 V2 2008.12.16 -
Rising 21.08.12.00 2008.12.16 -
SecureWeb-Gateway 6.7.6 2008.12.16 -
Sophos 4.36.0 2008.12.16 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.16 -
TheHacker 6.3.1.4.189 2008.12.16 -
TrendMicro 8.700.0.1004 2008.12.16 -
VBA32 3.12.8.10 2008.12.15 -
ViRobot 2008.12.16.1520 2008.12.16 -
VirusBuster 4.5.11.0 2008.12.15 -
Information additionnelle
File size: 49152 bytes
MD5...: e45b115037c5cb7d880236862eb7c704
SHA1..: ac70dd3908ca902bfc7c60655eac9ad8e42df3ff
SHA256: e2830a9b8dfb56a2e079add42a6476c06a8c7e6a20236e423010612890b7693c
SHA512: 64327d4c10a38ef9a07bfe0f503f37ed3007cfddec03805bade45490c0924a44 1ae24406141927367af7482a3d624e79eab53726c9ff3790cdd43da5def56adb 
ssdeep: 384:9ujIdueXM+mj83lgQbBVYvv9ewsGTybD9TPY+Ylav6/ge+cbhCDhOK6qhOaK E0US:AcXMZVCo4wsjpdCbc16qs9TUts7JKM 
PEiD..: InstallShield 2000
TrID..: File type identification Win64 Executable Generic (58.7%) Win32 Executable MS Visual C++ (generic) (25.8%) Win32 Executable Generic (5.8%) Win32 Dynamic Link Library (generic) (5.2%) Win32 Executable MS Visual FoxPro 7 (1.5%)
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4025b0 timedatestamp.....: 0x44a251bc (Wed Jun 28 09:54:04 2006) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5495 0x6000 5.99 2fb8d5a51bfed568650e881431976a53 .rdata 0x7000 0xd0e 0x1000 4.86 e51d3cbf0b1440dcfd3b2181d2b45269 .data 0x8000 0x5a98 0x3000 0.65 179f8e96cbff9a70603bddeb095df77a .rsrc 0xe000 0x3f0 0x1000 1.06 a77d995a78ed522d1217298e40883197 ( 4 imports ) > KERNEL32.dll: CloseHandle, GetLastError, CreateMutexA, UnmapViewOfFile, MapViewOfFile, Sleep, CreateFileMappingA, GetSystemTime, SetFilePointer, LoadLibraryA, GetProcAddress, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, FlushFileBuffers, SetStdHandle, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, SetUnhandledExceptionFilter, VirtualAlloc, WriteFile, VirtualFree, HeapCreate, HeapDestroy, GetFileType, GetStdHandle, SetHandleCount, RtlUnwind, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, HeapFree, HeapAlloc, WideCharToMultiByte, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, GetCPInfo, GetACP, GetOEMCP > USER32.dll: DispatchMessageA, TranslateMessage, TranslateAcceleratorA, GetMessageA, LoadAcceleratorsA, RegisterDeviceNotificationA, UnregisterDeviceNotification, RegisterClassExA, CreateWindowExA, PostQuitMessage, DefWindowProcA > ole32.dll: CoUninitialize, CreateBindCtx, CoGetMalloc, CoCreateInstance, CoInitialize, MkParseDisplayName > OLEAUT32.dll: -, - ( 0 exports ) 
ThreatExpert info: <a href="http://www.threatexpert.com/report.aspx?md5=e45b115037c5cb7d880236862eb7c704" target="_blank">http://www.threatexpert.com/report.aspx?md5=e45b115037c5cb7d880236862eb7c704</a>
CWSandbox info: <a href="http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=e45b115037c5cb7d880236862eb7c704" target="_blank">http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=e45b115037c5cb7d880236862eb7c704</a>

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.16.2 2008.12.16 -
AntiVir 7.9.0.45 2008.12.16 -
Authentium 5.1.0.4 2008.12.16 -
Avast 4.8.1281.0 2008.12.15 -
AVG 8.0.0.199 2008.12.15 -
BitDefender 7.2 2008.12.16 -
CAT-QuickHeal 10.00 2008.12.16 -
ClamAV 0.94.1 2008.12.16 -
Comodo 760 2008.12.15 -
DrWeb 4.44.0.09170 2008.12.16 -
eSafe 7.0.17.0 2008.12.15 -
eTrust-Vet 31.6.6263 2008.12.16 -
Ewido 4.0 2008.12.15 -
F-Prot 4.4.4.56 2008.12.14 -
F-Secure 8.0.14332.0 2008.12.16 -
Fortinet 3.117.0.0 2008.12.16 -
GData 19 2008.12.16 -
Ikarus T3.1.1.45.0 2008.12.16 -
K7AntiVirus 7.10.554 2008.12.15 -
Kaspersky 7.0.0.125 2008.12.16 -
McAfee 5465 2008.12.15 -
McAfee+Artemis 5465 2008.12.15 -
Microsoft 1.4205 2008.12.16 -
NOD32 3695 2008.12.16 -
Norman 5.80.02 2008.12.15 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.15 -
Prevx1 V2 2008.12.16 -
Rising 21.08.12.00 2008.12.16 -
SecureWeb-Gateway 6.7.6 2008.12.16 -
Sophos 4.36.0 2008.12.16 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.16 -
TheHacker 6.3.1.4.189 2008.12.16 -
TrendMicro 8.700.0.1004 2008.12.16 -
VBA32 3.12.8.10 2008.12.15 -
ViRobot 2008.12.16.1520 2008.12.16 -
VirusBuster 4.5.11.0 2008.12.15 -

Information additionnelle
File size: 49152 bytes
MD5...: e45b115037c5cb7d880236862eb7c704
SHA1..: ac70dd3908ca902bfc7c60655eac9ad8e42df3ff
SHA256: e2830a9b8dfb56a2e079add42a6476c06a8c7e6a20236e423010612890b7693c
SHA512: 64327d4c10a38ef9a07bfe0f503f37ed3007cfddec03805bade45490c0924a44 1ae24406141927367af7482a3d624e79eab53726c9ff3790cdd43da5def56adb 
ssdeep: 384:9ujIdueXM+mj83lgQbBVYvv9ewsGTybD9TPY+Ylav6/ge+cbhCDhOK6qhOaK E0US:AcXMZVCo4wsjpdCbc16qs9TUts7JKM 
PEiD..: InstallShield 2000
TrID..: File type identification Win64 Executable Generic (58.7%) Win32 Executable MS Visual C++ (generic) (25.8%) Win32 Executable Generic (5.8%) Win32 Dynamic Link Library (generic) (5.2%) Win32 Executable MS Visual FoxPro 7 (1.5%)
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4025b0 timedatestamp.....: 0x44a251bc (Wed Jun 28 09:54:04 2006) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5495 0x6000 5.99 2fb8d5a51bfed568650e881431976a53 .rdata 0x7000 0xd0e 0x1000 4.86 e51d3cbf0b1440dcfd3b2181d2b45269 .data 0x8000 0x5a98 0x3000 0.65 179f8e96cbff9a70603bddeb095df77a .rsrc 0xe000 0x3f0 0x1000 1.06 a77d995a78ed522d1217298e40883197 ( 4 imports ) > KERNEL32.dll: CloseHandle, GetLastError, CreateMutexA, UnmapViewOfFile, MapViewOfFile, Sleep, CreateFileMappingA, GetSystemTime, SetFilePointer, LoadLibraryA, GetProcAddress, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, FlushFileBuffers, SetStdHandle, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, SetUnhandledExceptionFilter, VirtualAlloc, WriteFile, VirtualFree, HeapCreate, HeapDestroy, GetFileType, GetStdHandle, SetHandleCount, RtlUnwind, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, HeapFree, HeapAlloc, WideCharToMultiByte, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, GetCPInfo, GetACP, GetOEMCP > USER32.dll: DispatchMessageA, TranslateMessage, TranslateAcceleratorA, GetMessageA, LoadAcceleratorsA, RegisterDeviceNotificationA, UnregisterDeviceNotification, RegisterClassExA, CreateWindowExA, PostQuitMessage, DefWindowProcA > ole32.dll: CoUninitialize, CreateBindCtx, CoGetMalloc, CoCreateInstance, CoInitialize, MkParseDisplayName > OLEAUT32.dll: -, - ( 0 exports ) 
ThreatExpert info: <a href="http://www.threatexpert.com/report.aspx?md5=e45b115037c5cb7d880236862eb7c704" target="_blank">http://www.threatexpert.com/report.aspx?md5=e45b115037c5cb7d880236862eb7c704</a>
CWSandbox info: <a href="http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=e45b115037c5cb7d880236862eb7c704" target="_blank">http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=e45b115037c5cb7d880236862eb7c704</a>

Message édité par fenomax le 16-12-2008 à 15:16:51

------------------------------ PoPeY
Répondre à fenomax

Est-ce possible de les effacés manuellement et de faire un coup de propre avec Ccleaner ?

------------------------------ PoPeY
Répondre à fenomax

Re,

Pas la peine de les effacer.
Ça va mieux depuis la réparation ?

Répondre à FanDANGELDARK

Salut,
Bah je sais pas trop, après la réparation j'ai refait la manip et il me dit dans le rapport : Prevx1 /V2 /2008.12.06 /Malicious Software...

Chaque fois que je refais cette manip, c'est toujours là...

===>

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.6.0 2008.12.06 -
AntiVir 7.9.0.42 2008.12.05 -
Authentium 5.1.0.4 2008.12.06 -
Avast 4.8.1281.0 2008.12.06 -
AVG 8.0.0.199 2008.12.06 -
BitDefender 7.2 2008.12.06 -
CAT-QuickHeal 10.00 2008.12.06 -
ClamAV 0.94.1 2008.12.06 -
Comodo 698 2008.12.06 -
DrWeb 4.44.0.09170 2008.12.06 -
eSafe 7.0.17.0 2008.12.04 -
eTrust-Vet 31.6.6246 2008.12.05 -
Ewido 4.0 2008.12.06 -
F-Prot 4.4.4.56 2008.12.04 -
F-Secure 8.0.14332.0 2008.12.06 -
Fortinet 3.117.0.0 2008.12.06 -
GData 19 2008.12.06 -
Ikarus T3.1.1.45.0 2008.12.06 -
K7AntiVirus 7.10.547 2008.12.06 -
Kaspersky 7.0.0.125 2008.12.06 -
McAfee 5456 2008.12.06 -
McAfee+Artemis 5456 2008.12.06 -
Microsoft 1.4205 2008.12.06 -
NOD32 3668 2008.12.06 -
Norman 5.80.02 2008.12.05 -
Panda 9.0.0.4 2008.12.06 -
PCTools 4.4.2.0 2008.12.06 -
Prevx1 V2 2008.12.06 Malicious Software
Rising 21.06.52.00 2008.12.06 -
SecureWeb-Gateway 6.7.6 2008.12.06 -
Sophos 4.36.0 2008.12.06 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.06 -
TheHacker 6.3.1.2.179 2008.12.06 -
TrendMicro 8.700.0.1004 2008.12.05 -
VBA32 3.12.8.10 2008.12.06 -
ViRobot 2008.12.6.1504 2008.12.06 -
VirusBuster 4.5.11.0 2008.12.05 -

------------------------------ PoPeY
Répondre à fenomax

Re,

Tu parles de Shell32.DLL ?

Si tu as fait CHKDSK avec le CD, normalement c'est bon

Répondre à FanDANGELDARK

Salut !

Oui en fait c'est réparé mais je doit avoir un autre problème (hardware surement..) car j'ai toujours des pages bleus puis reboot, perte des pilotes et a chaque fois il faut que je réinstalle carte graphique, carte réseau etc...

Pfffff ça devient lourd a supporter tout ça, enfin merci encore pour ton aide et bonne continuation,
cordialement,

PoPeY.

------------------------------ PoPeY
Répondre à fenomax

Hello,

Effectivement, tu as posté dans Hardware pour voir ?

Répondre à FanDANGELDARK

Salut,

Non, en fait j'ai plusieurs pc a la maison alors pour l'instant je fait des tests ( carte graphique, mémoire vive, alimentation ) mais en vain...

De plus petite surprise d'infection virtual monde sur un autre pc pas allumé depuis 2 mois...Grrrr...

------------------------------ PoPeY
Répondre à fenomax

Re,

On peut s'occuper de ton autre PC

Je ne vois rien dans celui-là, ce qui ne veut bien-sûr pas dire qu'il n'y a rien.

Répondre à FanDANGELDARK

Très bien, c'est vraiment sympa de ta part,

Là je viens de faire une analyse complète du system avec bitdefender total security 2008, il m'as supprimé quelques trucs.

Rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:15, on 18/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Marvell\61xx\Apache2\bin\Apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Marvell\61xx\Apache2\bin\Apache.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Marvell RAID Event Agent (Marvell RAID) - Unknown owner - C:\Program Files\Marvell\61xx\svc\mvraidsvc.exe
O23 - Service: MRU Web Service (MRUWebService) - Apache Software Foundation - C:\Program Files\Marvell\61xx\Apache2\bin\Apache.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 5105 bytes

------------------------------ PoPeY
Répondre à fenomax

Re,

Boarf, ça semble clean aussi..

Télécharge Random's System Information Tool (RSIT) (de random/random) et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (qui sera affiché)

ainsi que de info.txt (qui sera réduit dans la Barre des Tâches)

NB : Les rapports sont sauvegardés dans le dossier C:\rsit
Veille bien à me poster l'intégralité des rapports, vérifie qu'ils soient complets une fois que tu les as postés.

Répondre à FanDANGELDARK

Salut,

Désolé je suis un peu pris ces temps-ci.

Donc pour ce pc c'est résolu réinstallation complète pour repartir sur de bonne base.

Merci et bonne continuation...

------------------------------ PoPeY
Répondre à fenomax

Re,

Oki,
@+

Répondre à FanDANGELDARK

[Résolu] c:\windows\system32\shell32.dll est endommagé et illisible

Forum Sécurité - Virus : [Résolu] c:\windows\system32\shell32.dll est endommagé et illisible

Attention