Virus "virtumonde" comment s'en débarrasser ?

re
il reste une infection par périphériques externes décelée par RSIT

Télécharge et installe UsbFix de C_XX & Chiquitine29

Branche
tes sources de données externes à ton PC, (clé USB, disque dur externe,
etc...) susceptibles d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisi l'option 1( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

#
Note : "Process.exe", une composante de l'outil, est détecté par
certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant
un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des
logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par
ces antivirus.

C'est fait. J'avais bien désinstaller Spyhunter mais il retait le fichier dans c:
Pour Spybot, avant de la lancer, dans "outils" dois-je cocher les 2 options : sdhelper ou teatimer ou seulement la 1ère comme c'était avant ?
Merci

############################## [ UsbFix V3.028 | Scan ]
# User : Pascal Zimmer (Administrateurs) # ZIMMER
# Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 11:23:40 | 03/06/2009
# AMD Sempron(tm) Processor 2600+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090602-0] 4.8.1335 [ Enabled | Updated ]
# C:\ # Disque fixe local # 44,35 Go (37,68 Go free) [Disque local] # NTFS
# D:\ # Disque fixe local # 46,64 Go (38,45 Go free) [STOCKAGE] # NTFS
# E:\ # Disque amovible # 968,25 Mo (966,66 Mo free) [HP935] # FAT
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque fixe local # 1,53 Go (1,12 Go free) [INSTALL] # FAT32
# J:\ # Disque CD-ROM
############################## [ Processus actifs ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## [ Registre Startup ]
HKCU_Main: "Local Page"="C:\\windows\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://www.google.fr/"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Pascal Zimmer"
HKLM_logon: "AltDefaultUserName"="Pascal Zimmer"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: VTTimer=VTTimer.exe
HKLM_Run: avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKLM_Run: VTtrayp=VTtrayp.exe
HKLM_Run: OpwareSE4="C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
HKLM_Run: VadeRetro Outlook=C:\Program Files\Goto Software\Vade Retro\VrMoRegister.exe -s
HKLM_Run: VadeRetro Desktop=C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
HKLM_Run: CARPService=carpserv.exe
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM_Run: TomcatStartup=C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
HKLM_Run: LXCGCATS=rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: Cld2000.exe=C:\Program Files\Calendrier\Cld2000.exe
HKCU_Run: swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
HKCU_Run: SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
################## [ Fichiers # Dossiers infectieux ]
Found ! C:\WINDOWS\system32\tmp.reg
################## [ Registre # Clés Run infectieuses ]

################## [ Registre # Mountpoints2 ]

################## [ ! Fin du rapport # UsbFix V3.028 ! ]

Après passage de spybot, Virtumonde est toujours présent dans Windows\system32\ZSPOOL.DLL
Désolé

Bonjour Ami Chrifleur et AMHi zimmer,

Il me vient une petite idée et quand j'ai des idées, il faut en profiter même quand on n'y comprend rien.... lolll (je parle de moi)

Par le panneau de configuration, supprime tout ce qui a rapport avec ton imprimante. Tout.

Bien sûr, je prend pour acquis que tu pourras la réinstaller plus tard car tu as les fichiers nécessaires...

Alors, supprime tout (qui est en rapport avec ton imprimante)

Redémarre et vois avec Spŷbot si ...le problème existe encore.

J'ai hâte que tu reviennnes avec tes commentaires.

Bien AMHicalement

il y a bien un infection par périphériques externes
Branche tes sources de données externes à ton PC,
(clé USB, disque dur externe, etc...) susceptibles d'avoir été
infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
#
effectivement le fichier donné mauvais par Spybot semble être celui d'une imprimante
on va faire comme ceci avant de le supprimer si besoin..
suis ce tutoriel et fais le examiner sur virus total
poste le résultat obtenu
#
si ce fichier est sain, c'est que Spybot te donne un faux positif, cela arrive parfois
s'il est malsain, tu le supprimes

############################## [ UsbFix V3.028 | Cleaning ]
# User : Pascal Zimmer (Administrateurs) # ZIMMER
# Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 10:01:11 | 04/06/2009
# AMD Sempron(tm) Processor 2600+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090603-0] 4.8.1335 [ Enabled | Updated ]
# C:\ # Disque fixe local # 44,35 Go (37,68 Go free) [Disque local] # NTFS
# D:\ # Disque fixe local # 46,64 Go (38,53 Go free) [STOCKAGE] # NTFS
# E:\ # Disque amovible # 968,25 Mo (966,66 Mo free) [HP935] # FAT
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque fixe local # 1,53 Go (1,12 Go free) [INSTALL] # FAT32
# J:\ # Disque CD-ROM
############################## [ Processus actifs ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
################## [ Fichiers # Dossiers infectieux ]
Deleted ! C:\WINDOWS\system32\tmp.reg
################## [ Registre # Clés Run infectieuses ]

################## [ Registre # Mountpoints2 ]

################## [ Listing des fichiers présent ]

Fichier 09DFD1C700B880D350FB013D536E0400C28C836C.DLL reçu le 2009.05.28 21:33:19 (UTC)
Situation actuelle: terminé
Résultat: 0/40 (0.00%)

Formaté
Impression des résultats

AntivirusVersionDernière mise à jourRésultat

a-squared	4.0.0.101	2009.05.28	-
AhnLab-V3	5.0.0.2	2009.05.28	-
AntiVir	7.9.0.180	2009.05.28	-
Antiy-AVL	2.0.3.1	2009.05.27	-
Authentium	5.1.2.4	2009.05.28	-
Avast	4.8.1335.0	2009.05.27	-
AVG	8.5.0.339	2009.05.28	-
BitDefender	7.2	2009.05.28	-
CAT-QuickHeal	10.00	2009.05.28	-
ClamAV	0.94.1	2009.05.28	-
Comodo	1199	2009.05.28	-
DrWeb	5.0.0.12182	2009.05.28	-
eSafe	7.0.17.0	2009.05.27	-
eTrust-Vet	31.6.6526	2009.05.28	-
F-Prot	4.4.4.56	2009.05.28	-
F-Secure	8.0.14470.0	2009.05.28	-
Fortinet	3.117.0.0	2009.05.28	-
GData	19	2009.05.28	-
Ikarus	T3.1.1.57.0	2009.05.28	-
K7AntiVirus	7.10.748	2009.05.28	-
Kaspersky	7.0.0.125	2009.05.28	-
McAfee	5629	2009.05.28	-
McAfee+Artemis	5629	2009.05.28	-
McAfee-GW-Edition	6.7.6	2009.05.28	-
Microsoft	1.4701	2009.05.28	-
NOD32	4113	2009.05.28	-
Norman		2009.05.28	-
nProtect	2009.1.8.0	2009.05.28	-
Panda	10.0.0.14	2009.05.28	-
PCTools	4.4.2.0	2009.05.21	-
Prevx	3.0	2009.05.28	-
Rising	21.31.21.00	2009.05.27	-
Sophos	4.42.0	2009.05.28	-
Sunbelt	3.2.1858.2	2009.05.28	-
Symantec	1.4.4.12	2009.05.28	-
TheHacker	6.3.4.3.333	2009.05.28	-
TrendMicro	8.950.0.1092	2009.05.28	-
VBA32	3.12.10.6	2009.05.27	-
ViRobot	2009.5.28.1759	2009.05.28	-
VirusBuster	4.6.5.0	2009.05.28	-

Information additionnelle

File size: 86016 bytes

MD5 : fae332da4762c6779a3845810405924f

SHA1 : 780003543bf87374402c3bc38fa565721b664953

SHA256: 00ac87163c6ecef6b9db9ec07e02dccd762cc68ee9f19ec2a434ab100f08358d

PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xA123
timedatestamp.....: 0x3B4A873C (Tue Jul 10 06:40:28 2001)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xC0DA 0xD000 6.27 f370a8e91b3d400a89903d8746c12528
.rdata 0xE000 0x1F83 0x2000 5.38 5a96953a08d181bc52d1c6d16386b1fc
.data 0x10000 0x1B2C 0x2000 2.46 dd6b6ba69a38f4790338b728c71a77ca
.rsrc 0x12000 0xA38 0x1000 2.35 1d4e55168563e6fa22ccd3aaccf460c5
.reloc 0x13000 0x1334 0x2000 3.40 35fe6208f879ec76f1aba801e4c1b362

( 0 imports )

( 0 exports )

TrID : File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)

ssdeep: 1536:Fx8S4oO58D1kw4YO/j/GTsbmQSt+qohNVhsAY:Fxqo08DSyO/j/tNs+qohNVhsAY

PEiD : Armadillo v1.xx - v2.xx

RDS : NSRL Reference Data Set

et celui ci?
Windows\system32\ZSPOOL.DLL

Je pense avoir fait une mauvaise manip la 1ère fois. Revoici le nouveau rapport : Fichier ZSPOOL.DLL reçu le 2009.06.04 09:29:07 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 0/40 (0%)

en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 50 et 71 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.

Formaté
Impression des résultats

Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie. Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.

Email:

AntivirusVersionDernière mise à jourRésultat

a-squared	4.0.0.101	2009.06.04	-
AhnLab-V3	5.0.0.2	2009.06.04	-
AntiVir	7.9.0.180	2009.06.04	-
Antiy-AVL	2.0.3.1	2009.06.04	-
Authentium	5.1.2.4	2009.06.03	-
Avast	4.8.1335.0	2009.06.03	-
AVG	8.5.0.339	2009.06.04	-
BitDefender	7.2	2009.06.04	-
CAT-QuickHeal	10.00	2009.06.04	-
ClamAV	0.94.1	2009.06.04	-
Comodo	1254	2009.06.04	-
DrWeb	5.0.0.12182	2009.06.04	-
eSafe	7.0.17.0	2009.06.03	-
eTrust-Vet	31.6.6538	2009.06.04	-
F-Prot	4.4.4.56	2009.06.03	-
F-Secure	8.0.14470.0	2009.06.04	-
Fortinet	3.117.0.0	2009.06.04	-
GData	19	2009.06.04	-
Ikarus	T3.1.1.59.0	2009.06.04	-
K7AntiVirus	7.10.752	2009.06.02	-
Kaspersky	7.0.0.125	2009.06.04	-
McAfee	5635	2009.06.03	-
McAfee+Artemis	5635	2009.06.03	-
McAfee-GW-Edition	6.7.6	2009.06.04	-
Microsoft	1.4701	2009.06.04	-
NOD32	4130	2009.06.04	-
Norman	6.01.09	2009.06.03	-
nProtect	2009.1.8.0	2009.06.04	-
Panda	10.0.0.14	2009.06.03	-
PCTools	4.4.2.0	2009.06.02	-
Prevx	3.0	2009.06.04	-
Rising	21.32.31.00	2009.06.04	-
Sophos	4.42.0	2009.06.04	-
Sunbelt	3.2.1858.2	2009.06.03	-
Symantec	1.4.4.12	2009.06.04	-
TheHacker	6.3.4.3.339	2009.06.03	-
TrendMicro	8.950.0.1092	2009.06.04	-
VBA32	3.12.10.6	2009.06.03	-
ViRobot	2009.6.4.1769	2009.06.04	-
VirusBuster	4.6.5.0	2009.06.03	-

Information additionnelle

File size: 86016 bytes

MD5...: fae332da4762c6779a3845810405924f

SHA1..: 780003543bf87374402c3bc38fa565721b664953

SHA256: 00ac87163c6ecef6b9db9ec07e02dccd762cc68ee9f19ec2a434ab100f08358d

ssdeep: -

PEiD..: Armadillo v1.xx - v2.xx

TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)

PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xa123
timedatestamp.....: 0x3b4a873c (Tue Jul 10 04:40:28 2001)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc0da 0xd000 6.27 f370a8e91b3d400a89903d8746c12528
.rdata 0xe000 0x1f83 0x2000 5.38 5a96953a08d181bc52d1c6d16386b1fc
.data 0x10000 0x1b2c 0x2000 2.46 dd6b6ba69a38f4790338b728c71a77ca
.rsrc 0x12000 0xa38 0x1000 2.35 1d4e55168563e6fa22ccd3aaccf460c5
.reloc 0x13000 0x1334 0x2000 3.40 35fe6208f879ec76f1aba801e4c1b362

( 4 imports )
> KERNEL32.dll: WinExec, WritePrivateProfileStringA, GlobalDeleteAtom, GlobalAddAtomA, UnmapViewOfFile, GetPrivateProfileStringA, GetTempPathA, MapViewOfFile, GetCurrentThreadId, GetCurrentProcessId, GlobalAlloc, GlobalFree, FreeLibrary, GetProfileStringA, LoadLibraryA, CreateFileMappingA, WriteFile, GetProfileIntA, MultiByteToWideChar, WideCharToMultiByte, HeapFree, HeapAlloc, GetProcessHeap, GetVersion, GetVersionExA, LocalAlloc, LocalFree, LoadLibraryExA, DeviceIoControl, GetPrivateProfileIntA, InitializeCriticalSection, DeleteCriticalSection, GetSystemDirectoryA, ReadFile, EnterCriticalSection, CloseHandle, CreateFileA, DisableThreadLibraryCalls, LeaveCriticalSection, Sleep, SetLastError, GetModuleHandleA, GetProcAddress, WriteProfileStringA, lstrlenA, GetLastError, GetFileType, InterlockedIncrement, InterlockedDecrement, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetModuleFileNameA, GetStartupInfoA, RtlUnwind, GetStdHandle, SetHandleCount, GetCurrentProcess, TerminateProcess, GetOEMCP, GetACP, GetCPInfo, HeapReAlloc, VirtualAlloc, ExitProcess, VirtualFree, HeapCreate, HeapDestroy, TlsGetValue, TlsFree, TlsAlloc, TlsSetValue, GetCommandLineA, GetFileAttributesA, CreateDirectoryA
> USER32.dll: FindWindowA, GetActiveWindow, PostMessageA, SendMessageA, MessageBeep, LoadStringA, wsprintfA, PeekMessageA, DispatchMessageA, TranslateMessage
> WINSPOOL.DRV: EnumPrintersA, StartDocPrinterA, EndDocPrinter, StartPagePrinter, GetPrintProcessorDirectoryA, DeletePrintProcessorA, EnumPrintProcessorDatatypesA, EnumPrintProcessorsA, AddPrintProcessorA, PrinterProperties, DeviceCapabilitiesA, DocumentPropertiesA, GetPrinterDataW, GetPrinterDataA, SetPrinterDataW, SetPrinterDataA, DeletePrinterConnectionA, ConnectToPrinterDlg, AbortPrinter, DeletePrinter, EndPagePrinter, SetPrinterA, GetPrinterA, AddPrinterA, ClosePrinter, EnumMonitorsA, DeleteMonitorA, AddMonitorA, ConfigurePortA, DeletePortA, AddPortA, EnumPortsA, EnumJobsA, SetJobA, GetJobA, AddJobA, ScheduleJob, FindClosePrinterChangeNotification, FindNextPrinterChangeNotification, FindFirstPrinterChangeNotification, EnumPrinterDriversA, GetPrinterDriverDirectoryA, DeletePrinterDriverA, GetPrinterDriverA, AddPrinterDriverA, ReadPrinter, WritePrinter, OpenPrinterA
> ADVAPI32.dll: RegCreateKeyA, RegCreateKeyExA, RegQueryInfoKeyA, RegOpenKeyExA, RegSetValueExA, RegOpenKeyA, RegEnumValueA, RegCloseKey, RegQueryValueExA, RegDeleteKeyA, RegEnumKeyA, RegDeleteValueA, GetUserNameA

( 100 exports )
AbortPrinter, AddJobA, AddMonitorA, AddPortA, AddPrintProcessorA, AddPrinterA, AddPrinterDriverA, ClosePrinter, ConfigurePortA, ConnectToPrinterDlg, DeleteMonitorA, DeletePortA, DeletePrintProcessorA, DeletePrinter, DeletePrinterConnectionA, DeletePrinterDataExA, DeletePrinterDriverA, DeletePrinterKeyA, DeviceCapabilitiesA, DeviceIoControl, DocumentPropertiesA, EndDocPrinter, EndPagePrinter, EnumJobsA, EnumMonitorsA, EnumPortsA, EnumPrintProcessorDatatypesA, EnumPrintProcessorsA, EnumPrinterDataExA, EnumPrinterDriversA, EnumPrinterKeyA, EnumPrintersA, FindClosePrinterChangeNotification, FindFirstPrinterChangeNotification, FindNextPrinterChangeNotification, GetJobA, GetPrintProcessorA, GetPrintProcessorDirectoryA, GetPrinterA, GetPrinterDataA, GetPrinterDataExA, GetPrinterDriverA, GetPrinterDriverDirectoryA, GetUserNameA, InitializeMonitorEx, IsProcessorFeaturePresent, OpenPrinterA, PrinterProperties, ReadPrinter, RegCloseKey, RegCreateKeyA, RegCreateKeyExA, RegDeleteKeyA, RegDeleteValueA, RegEnumKeyA, RegEnumValueA, RegOpenKeyA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, ScheduleJob, SetJobA, SetPrinterA, SetPrinterDataA, SetPrinterDataExA, StartDocPrinterA, StartPagePrinter, WritePrinter, ZSP_BrowseDialog, ZSP_GetMonitor, ZSP_GetObjectType, ZSP_GetSharePath, ZSP_InitializeMonitor, ZSP_LoadDriverLibraryEx, ZSP_MakeSpoolFilePath, ZSP_ShareAsDialog, ZSP_StructCopy, s2ANSI, s2ByteLength, s2ClosePrinter, s2Disable, s2Enable, s2EnumLocalPrinterDrivers, s2EnumLocalPrinters, s2GetJob, s2GetModuleHandle, s2GetPrinter, s2GetPrinterData, s2GetPrinterDriver, s2IsJobCancelled, s2Native, s2OpenPrinter, s2Set, s2SetJob, s2SetPort, s2SetPrinterData, s2Something, s2StartDocPrinter, zlmGetControlInt, zlmGetControlString

PDFiD.: -

RDS...: NSRL Reference Data Set
-

Je ne comprends pas tout à l'apparition de mon message on voit une barre d'attente. Or quand j'ai fait le copier-coller l'analyse était terminée ?!
Aurais-je encore une fois mal compris ?

mets Spybot à jour et essaie à nouveau de scanner pour voir...

s'il trouve encore virtumonde, fais ceci
télécharge malwarebytes,
mets le à jour
redémarre en mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le
"Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur
et scanne ton Pc, scan long
poste le rapport obtenu

zimmer a écrit:: Je ne comprends pas tout à l'apparition de mon message on voit une barre d'attente. Or quand j'ai fait le copier-coller l'analyse était terminée ?!
Aurais-je encore une fois mal compris ?

je pense que le résultat est bon, ce fichier ne semble pas infecté, je pense à un faux positif

Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2188
Windows 5.1.2600 Service Pack 3
04/06/2009 14:17:34
mbam-log-2009-06-04 (14-17-34).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 133528
Temps écoulé: 42 minute(s), 43 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Voilà le dernier rapport malware.
Si ce virtumonde est un faux positif, faut-il le laisser en place, car chaque fois que je le supprime dans spybot, je me retrouve sans imprimante. J'ai regardé les fichiers d'installation de ladite imprimante (cdrom): le znpool.dll n'est nulle part.
A ce moment-là cela n'expliquerait pas non plus ma difficultéà ouvrir parfois les pages internet (page restant blache au lancement), la perte des liens dans outlock express (je suis obligé de rouvrir internet pour aller sur le forum, les liens ne fonctionnent pas).
D'autre part j'ai des intrusions dans ma messagerie free.fr avec des messages comprenant une adresse que j'avais il y a dix ans chez Lbertysurf.fr
Voilà beaucoup de petits pbs qui ne sont donc sans doute pas lié à ce virtumonde. J'y croyais un peu mais l'informatique est plus complexe que cela visiblement.
Cordialement
Catherine et Pascal

l'infection semble éradiquée.
maintenant pour tes autres problèmes je te suggère d'essayer ce log très pratique pour résoudre ce genre de souci, toujours avec Spybot S&D le tea timer, désactivé

télécharge
Zeb Restore

http://telechargement.zebulon.fr/zeb-restore.html

Zeb-Restore
est un petit utilitaire de restauration de clés de la base de registre. Le but
du programme n'est pas de restaurer l'ensemble du système mais uniquement les
points les plus souvent touchés afin de solutionner différents problèmes qui
peuvent revenir de façon récurrente.

Voici les éléments qui peuvent être restaurés : en priorité ceux en gras
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update
- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de
programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le Bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg.
Pif.cmd.scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser
si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restaure les clés des protocoles Internet
(ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts

Voilà maintenant 3 semaines que l'ordi tourne sans pb particulier. Je tiens donc à remercier toutes les personnes qui m'ont aidé à chasser ce vrai-faux virus et qui ont mobiliser leur temps pour proposer différentes solutions.
Merci à tous et peut-être à bientôt.
Pascal

Merci AMHi zimmer pour être revenu avec tes commentaires et
bravo à l'Amie Chrifleur pour sa patience évidente et son efficacité.

Bonne journée aussi à l'Ami Monsieur Yora_senior.

C'est l'été, lâchez l'ordi et profiter du bon temps ensoleillé.

Très amicalement

» comment virer des virus ?
» Comment se débarrasser d'AVG 8 ou free ?
» mirostart1.com:comment s'en débarrasser (résolu)
» probleme "virus alert" kapersky
» Comment bloquer l'accès Internet ?