Trojan : GunHashes

Bonjour CUCINA et bienvenue sur Sosordi

- Les directives sont spécifiques à chaque PC commence par faire ce scan


Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.
Le rapport de ZHPDiag posté directement dans une réponse ne sera pas pris en compte


Étape 1

Télécharge ZHPDiag (de Nicolas coolman) http://telechargement.zebulon.fr/zhpdiag.html

- En cas de problèmes ici http://www.commentcamarche.net/down[...]4066799-zhpdiag

- Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)

** Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur

- Lance ZHPDiag en double cliquant sur le raccourci de ZHPDiag présent sur ton bureau

- Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

- Laisse l'outil travailler, il peut être assez long.


- Une fois le scan terminé, le rapport (ZHPDiag.txt) s'affichera sur le bureau.

- Sinon le rapport sera aussi sauvegardé dans ce dossier ==> C:\Program files\ZHPDiag


Étape 2


Pour poster le rapport en lien rends toi sur ce site : http://www.cijoint.fr/

* Clique sur Parcourir et va jusqu'au rapport que tu as sauvegardé .

* Clic gauche dessus clique ensuite sur ouvrir
* Clique ensuite sur Cliquer ici pour déposer le fichier
* Une fois l'upload fini un lien apparaît copie/colle le dans ta prochaine réponse


- Aide pour ZHPDiag http://stopovirus.xooit.fr/t85-Guid[...]HPDiag.htm#p706

Et voila le lien pour le rapport malwarebytes

http://www.cijoint.fr/cjlink.php?fi[...]/cij43bxV8x.txt

oups je vient de voir la reponse,j'y vient aussi

Edité par CUCINA le 08/01/2011 à 18:54

Et voila le rapport ZHPDiag
http://www.cijoint.fr/cjlink.php?fi[...]/cijZerbySr.txt

Merci de votre aide

Fais analyser C:\Windows\system32\audiodev32.dll ici http://www.virustotal.com/ poste le rapport qui sera créé

- Répète cette opération avec bitsprx2wow.exe

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: 62cc2d858326b9a635e4542d8ab33421
Date first seen: 2010-12-31 06:06:10 (UTC)
Date last seen: 2010-12-31 06:06:10 (UTC)
Detection ratio: 3/43

Ceci est la reponse sur Audiodev
Ca suffit?

Fais l'autre

c a arrive..mais treeees doucementk arive plus sur virus total ...

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: 3a0084039d1a845be595e5ae62db687a
Date first seen: 2009-07-04 07:42:20 (UTC)
Date last seen: 2011-01-06 11:45:17 (UTC)
Detection ratio: 0/43

What do you wish to do?

- As tu installé un produit de Borland Software Corporation ?

File name: bitsprx2.dll
Submission date: 2011-01-08 20:13:42 (UTC)
Current status: queued (#2) queued (#2) analysing finished


Result: 0/ 42 (0.0%)

cela me dit qqu chose...
soit mde unlocker
carfactou , Garage Xp et kfz kaufmann ( tout en version test)
alors j'ai effectivement essaye de trouver une version ouverte de kfz kaufmann....

Ok

- Mais fais tout de même analyser ce fichier C:\Windows\system32\config\systemprofile\AppData\Roaming\SysWin\lsass.exe ici http://virusscan.jotti.org/fr poste le rapport

- lsass.exe n'est pas à sa place il devrait se trouver dans le dossier System32

dans roaming il y a seulement :
Microsoft , PC suite , team viewer et winrar
ou bien est ce que je doit encore debloquer qqu chose ?

Autorise l'affichage des fichiers et dossiers cachés

hehehe scusi
c'etait fait mais j'ai encore ouvert les extensions et celui en dessous
http://virusscan.jotti.org/fr/scanr[...]d54c4d3f2df2f41
c est ceci ?

Nom du fichier: lsass.exe
Statut: Scan fini. 9 sur 18 logiciels malveillants trouvés.
En scan sur: sam 8 jan 2011 21:40:18 (CET) Votre lien permanent au résultat

Taille du fichier: 180736 Bytes
Type du fichier: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5: 17b67fe8d168577045825638841474a1
SHA1: 407051277c45aab744ec436005298e9a6a560bea

http://virusscan.jotti.org/fr/scanr[...]1e4bf9b7744e674
??

- Refais un scan avec Malwarebytes'

- Si MalwareByte's a détecté des infections :

* Clique sur Afficher les résultats
* Ensuite sur Supprimer la sélection


- Poste le rapport de MalwareByte's Anti-Malware
- Le rapport de MalwareByte's peut être retrouvé sous l'onglet Rapports/logs

Je ne dois pas voir dans le rapport posté No action taken. mais Quarantined and deleted successfully.

OK resultats dans une heure vingt... lol
ou bien un scan rapide?

Fais un scan rapide

ok c'est parti....

- Pendant ce temps la je te prépare un script

voila
http://www.cijoint.fr/cjlink.php?fi[...]/cijxLuCp05.txt
j aiaussi telecharger Usenet.nl toujours a la recherche de ma db ouverte....

- C'est parfait la première fois tu ne les avez pas supprimés

- On passe au script

- Double clique sur ZHPFix qui est sur le bureau.

** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur


- Clique maintenant sur le H bleu http://img51.xooimage.com/files/f/3[...]leu-226894a.jpg (coller les lignes helper) puis copie/colle le texte en gras et vert ci-dessous dans la fenêtre de ZHPFix

http://img48.xooimage.com/files/9/4[...]_gf-1b3a004.jpg


R3 - URLSearchHook: (no name) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
R3 - URLSearchHook: (no name) - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll
O4 - HKLM\..\Run: [NokiaMServer]
O4 - HKLM\..\Run: [NokiaMusic FastStart]
O4 - HKLM\..\Run: [ToolBoxFX]
O4 - HKLM\..\Run: [HPUsageTracking]
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] -- conduitEngine
[HKCU\Software\AppDataLow\Software\conduitEngine]
O43 - CFD: 2/01/2011 - 13:46:44 ----D- C:\Program Files\ConduitEngine
[HKCU\Software\AppDataLow\Software\Conduit]
[HKCU\Software\AppDataLow\Software\uTorrentBar_FR]
[HKCU\Software\AppDataLow\Toolbar]
[HKLM\Software\Conduit]
[HKCU\Software\AppDataLow\Software\conduitEngine]


- Clique sur Ok ensuite sur Tous et enfin Nettoyer

Remove conduit engine and all my apps...

Rapport de ZHPFix 1.12.3236 par Nicolas Coolman, Update du 05/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-8-01-2011-22-32-24.txt
Run by andre at 8/01/2011 22:32:24
Windows Vista Home Premium Edition, 32-bit (Build 6000)
Web site : http://www.premiumorange.com/zeb-he[...]ess/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] -- conduitEngine => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll => Clé absente
HKCU\Software\AppDataLow\Software\conduitEngine => Clé absente
HKCU\Software\AppDataLow\Software\Conduit => Clé absente
HKCU\Software\AppDataLow\Software\uTorrentBar_FR => Clé supprimée avec succès
HKCU\Software\AppDataLow\Toolbar => Clé absente
HKLM\Software\Conduit => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
R3 - URLSearchHook: (no name) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} => Valeur supprimée avec succès
R3 - URLSearchHook: (no name) - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} => Valeur supprimée avec succès
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll => Valeur absente
O4 - HKLM\..\Run: [NokiaMServer] => Valeur supprimée avec succès
O4 - HKLM\..\Run: [NokiaMusic FastStart] => Valeur supprimée avec succès
O4 - HKLM\..\Run: [ToolBoxFX] => Valeur supprimée avec succès
O4 - HKLM\..\Run: [HPUsageTracking] => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\ConduitEngine => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files\conduitengine\conduitengine.dll => Supprimé et mis en quarantaine


========== Récapitulatif ==========
7 : Clé(s) du Registre
7 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of the scan