Warning! Your computer is at risk of malware attacks.

re,

voici le rapport de BitDefender :


QuickScan Beta 32-bit v0.9.9.52
-------------------------------
Date de l'analyse : Tue Nov 23 20:51:24 2010
ID de la machine : E0A43F13



Aucune infection détectée.
--------------------------



Processus
---------
AntiVir Desktop 412 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
AntiVir Desktop 1568 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
AntiVir Desktop 1752 C:\Program Files\Avira\AntiVir Desktop\sched.exe
Button Manager Executable 428 C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe
Button Monitor Executable 496 C:\Program Files\Lexmark X74-X75\lxbbbmon.exe
Device Monitor 520 C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
Device Monitor Application 528 C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
Firefox 228 C:\Program Files\Mozilla Firefox\firefox.exe
Firefox 1092 C:\Program Files\Mozilla Firefox\plugin-container.exe
GoogleToolbarNotifier 556 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
InstallShield Update Service 404 C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
Java(TM) Platform SE 6 U17 480 C:\Program Files\Java\jre6\bin\jqs.exe
Java(TM) Platform SE 6 U17 3692 C:\Program Files\Java\jre6\bin\jucheck.exe
Java(TM) Platform SE 6 U17 444 C:\Program Files\Java\jre6\bin\jusched.exe
MarkVision for Windows (32 bit) 1576 C:\WINDOWS\system32\LEXBCES.EXE
MarkVision for Windows (32 bit) 1632 C:\WINDOWS\system32\LEXPPS.EXE
Microsoft® Windows® Operating System 3392 C:\WINDOWS\system32\alg.exe
Microsoft® Windows® Operating System 688 C:\WINDOWS\system32\csrss.exe
Microsoft® Windows® Operating System 768 C:\WINDOWS\system32\lsass.exe
Microsoft® Windows® Operating System 1624 C:\WINDOWS\system32\spoolsv.exe
Microsoft® Windows® Operating System 3844 C:\WINDOWS\system32\svchost.exe
Microsoft® Windows® Operating System 1148 C:\WINDOWS\system32\svchost.exe
Microsoft® Windows® Operating System 1212 C:\WINDOWS\system32\svchost.exe
Microsoft® Windows® Operating System 1376 C:\WINDOWS\system32\svchost.exe
Microsoft® Windows® Operating System 1004 C:\WINDOWS\system32\svchost.exe
Microsoft® Windows® Operating System 1868 C:\WINDOWS\system32\svchost.exe
Microsoft® Windows® Operating System 252 C:\WINDOWS\system32\svchost.exe
Microsoft® Windows® Operating System 956 C:\WINDOWS\system32\svchost.exe
Microsoft® Windows® Operating System 196 C:\WINDOWS\system32\wscntfy.exe
Microsoft® Windows® Operating System 1988 C:\WINDOWS\system32\wuauclt.exe
NVIDIA Driver Helper Service, Version 1 1308 C:\WINDOWS\system32\nvsvc32.exe
Printer Communication System 1208 C:\WINDOWS\system32\lxdicoms.exe
Ralink Wireless Utility 1128 C:\WINDOWS\RaUI.exe
Realtek HD Audio Sound Effect Manager 312 C:\WINDOWS\RTHDCPL.EXE
Système d'exploitation Microsoft® Windo 2000 C:\WINDOWS\explorer.exe
Système d'exploitation Microsoft® Windo 420 C:\WINDOWS\system32\rundll32.exe
Système d'exploitation Microsoft® Windo 756 C:\WINDOWS\system32\services.exe
Système d'exploitation Microsoft® Windo 640 C:\WINDOWS\system32\smss.exe
Système d'exploitation Microsoft® Windo 3168 C:\WINDOWS\system32\wbem\wmiapsrv.exe
Système d'exploitation Microsoft® Windo 712 C:\WINDOWS\system32\winlogon.exe


Activité du réseau
------------------
Processus firefox.exe (228) connecté sur le port 80 (HTTP) --> 88.221.73.115
Processus firefox.exe (228) connecté sur le port 80 (HTTP) --> 209.85.229.102
Processus firefox.exe (228) connecté sur le port 80 (HTTP) --> 193.252.22.120
Processus firefox.exe (228) connecté sur le port 80 (HTTP) --> 193.252.22.120
Processus firefox.exe (228) connecté sur le port 80 (HTTP) --> 209.85.229.100
Processus firefox.exe (228) connecté sur le port 80 (HTTP) --> 209.85.229.100
Processus firefox.exe (228) connecté sur le port 80 (HTTP) --> 81.52.140.17
Processus firefox.exe (228) connecté sur le port 80 (HTTP) --> 209.85.229.100
Processus firefox.exe (228) connecté sur le port 80 (HTTP) --> 209.85.229.149
Processus firefox.exe (228) connecté sur le port 80 (HTTP) --> 66.235.142.20
Processus firefox.exe (228) connecté sur le port 80 (HTTP) --> 69.175.21.82
Processus firefox.exe (228) connecté sur le port 80 (HTTP) --> 69.175.21.82

Processus lxdimon.exe (520) écoute sur les ports: 1057
Processus lxdiamon.exe (528) écoute sur les ports: 38191
Processus svchost.exe (1004) écoute sur les ports: 135 (RPC)
Processus lxdicoms.exe (1208) écoute sur les ports: 10065
Processus svchost.exe (1376) écoute sur les ports: 2869 (SSDP event notification, UPNP)
Processus LEXPPS.EXE (1632) écoute sur les ports: 1025 (RPC)


Fichiers critiques et Autorun
-----------------------------
Adobe Acrobat C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
Adobe Reader and Acrobat Manager C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
Adobe Systems, Inc. Adobe Gamma Loader C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
AntiVir Desktop C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
Button Manager Executable C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe
Device Monitor C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
Device Monitor Application C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
Google Update C:\Program Files\Google\Update\GoogleUpdate.exe
GoogleToolbarNotifier C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
InstallShield Update Service C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
InstallShield Update Service C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe
Java(TM) Platform SE 6 U17 C:\Program Files\Java\jre6\bin\jusched.exe
Lexmark Fax Solutions Software C:\Program Files\\Lexmark Fax Solutions\fm3032.exe
Microsoft® Windows® Operating System C:\WINDOWS\system32\cryptnet.dll
Microsoft® Windows® Operating System C:\WINDOWS\system32\dimsntfy.dll
NVIDIA Compatible Windows 2000 Display C:\WINDOWS\system32\NvCpl.dll
NVIDIA Media Center Library C:\WINDOWS\system32\nvmctray.dll
nwiz.exe C:\WINDOWS\system32\nwiz.exe
Ralink Wireless Utility C:\WINDOWS\RaUI.exe
Realtek HD Audio Sound Effect Manager C:\WINDOWS\RTHDCPL.EXE
Steam C:\Program Files\Steam\Steam.exe
Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\browseui.dll
Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\crypt32.dll
Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\cscdll.dll
Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\logonui.exe
Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\sclgntfy.dll
Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\shell32.dll
Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\stobject.dll
Système d'exploitation Microsoft® Windo c:\windows\system32\userinit.exe
Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\webcheck.dll
Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\wlnotify.dll


Plugins du navigateur
---------------------
AcroIEHelperShim Library c:\program files\fichiers communs\adobe\acrobat\activex\acroiehelpershim.dll
Adobe Acrobat C:\Program Files\Mozilla Firefox\plugins\nppdf32.dll
BitDefender QuickScan C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\70gwfgrl.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
BitDefender QuickScan C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\70gwfgrl.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
DivX Web Player C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
Facebook Plugin C:\Documents and Settings\utilisateur\Application Data\Facebook\npfbplugin_1_0_3.dll
Garmin Communicator Plug-In C:\Program Files\Garmin GPS Plugin\npGarmin.dll
Google Earth Plugin C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll
Google Toolbar for Internet Explorer c:\program files\google\google toolbar\googletoolbar_32.dll
Google Update C:\Program Files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
GoogleToolbarNotifier C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
InstallShield Update Service C:\WINDOWS\Downloaded Program Files\dwusplay.dll
InstallShield Update Service C:\WINDOWS\Downloaded Program Files\dwusplay.exe
InstallShield Update Service C:\WINDOWS\Downloaded Program Files\isusweb.dll
Java Deployment Toolkit 6.0.170.4 C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll
Java(TM) Platform SE 6 U17 c:\program files\java\jre6\bin\jp2ssv.dll
Java(TM) Platform SE 6 U17 c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
Messenger C:\Program Files\Messenger\msmsgs.exe
Microsoft® Windows Live Login Helper c:\program files\fichiers communs\microsoft shared\windows live\windowslivelogin.dll
Microsoft® Windows Media Player Firefox C:\Program Files\Mozilla Firefox\plugins\np-mswmp.dll
Microsoft® Windows® Operating System C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Microsoft® Windows® Operating System C:\WINDOWS\system32\rsvpsp.dll
Microsoft® Windows® Operating System C:\WINDOWS\system32\winrnr.dll
Mozilla Default Plug-in C:\Program Files\Mozilla Firefox\plugins\npnul32.dll
nppdf32.FRA C:\Program Files\Mozilla Firefox\plugins\nppdf32.FRA
NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
Silverlight Plug-In c:\Program Files\Microsoft Silverlight\4.0.50524.0\npctrl.dll
Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\mswsock.dll
Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\shdocvw.dll
ToolBand Module c:\program files\daemon tools toolbar\dttoolbar.dll
WidePlay Firefox Extension C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\70gwfgrl.default\extensions\{9C6DB0AD-DEDB-492d-8483-AA4452812B5F}\components\WidePlayFF.dll
WidePlay IE Module c:\documents and settings\utilisateur\local settings\application data\wideplay\wideplie.dll
Windows Live® Photo Gallery C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll
Windows Presentation Foundation c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll


Fichiers manquants
------------------
Fichier non trouvé : C:\WINDOWS\System32\appmgmts.dll
--> HKLM\System\ControlSet001\services\AppMgmt\Parameters\"ServiceDll"

Fichier non trouvé : C:\WINDOWS\System32\hidserv.dll
--> HKLM\System\ControlSet001\services\HidServ\Parameters\"ServiceDll"


Analyse
-------

Le(s) fichier(s) suivant(s) doit/doivent être téléchargé(s) pour une analyse côté serveur:
C:\Documents and Settings\utilisateur\Local Settings\Application Data\WidePlay\mcoeacct.dll
c:\documents and settings\utilisateur\local settings\application data\wideplay\wideplie.dll
C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\70gwfgrl.default\extensions\{9C6DB0AD-DEDB-492d-8483-AA4452812B5F}\components\WidePlayFF.dll

Le téléchargement vers le serveur a démarré - 3 fichier(s)
WidePlayFF.dll (88576)
wideplie.dll (130560)
mcoeacct.dll (573952)
Vitesse de téléchargement vers le serveur - 11 KB/s
Téléchargement vers le serveur terminé - 3 téléchargés vers le serveur, 0 ont échoué

Le(s) fichier(s) téléchargé(s) vers le serveur est/sont sain(s)

Analyse terminée - la communication a duré 72 secondes
Trafic total - 0.82 Mo envoyés, 636.68 Ko reçus
1126 fichiers et modules analysés - 77 seconds

==============================================================================

re,




Rends toi sur ce lien : Virus Total



* Clique sur Parcourir
* Recherche alors notre cible à faire analyser :

* Clique sur Send File (envoyer ) le fichier est uploader sur leur server.
* Si il est affiché ce message

* clic sur le bouton "Reanalyse"
ce message apparaîtra :

Ensuite la barre avancera, patiente jusqu'au message :

Sélectionne manuellement le texte de l'analyse et fais ctrl+c et recopie ici dans le Forum par un ctrl + v


tu auras un texte comme ceci sur le Forum, ce n'est pas grave je m'en sortirai...pour info une non contamination est affichée par ceci "-"

re,

je n'ai pas trouvé le fichier demandé pour l'examiner.

en faisant "démarrer", "rechercher", il m'a trouvé le dossier "application data" dans les "moved files" de OTL, donc je n'ai rien touché car antivir a détecté le virus/trojan.

re,

question, OTL, est un outil de helper, qui t'a fait utiliser ce programme et sur quel site ?

re,

Ben toi...sur ce site, tu m'as fait télécharger OTLPEnet ! (cf page 3)

re,
autant pour moi...trop de topic en cours

hi hi hi!!!

Pas grave!

re,

donc revenons,

tu es bien certain que dans ton dossier:

C:\Documents and Settings\utilisateur\Local Settings\Application Data


tu n'as plus le dossier WidePlay ?

re,

non c'est pire que ça :

Dans le dossier C:\Documents and Settings\utilisateur je n'ai pas de dossier "local settings" !

A quoi sert Wide Play?

re,

lorsque tu lances ta machine....tu es dans quelle session ?


( pour en être certain attribue un mot de passe à ta session...)

re,

je suis dans la session "utilisateur", c'est le mot écrit à côté du dessin en haut du menu démarrer, c'est ça?

re,

Assure toi d'avoir accès à tous les fichiers et dossiers :

* Ouvrir Explorer ==> clic droit sur le poste de travail, choisir Explorer, ou taper explorer.exe dans Démarrer/Exécuter
* Pour Vista la barre de menu ne s'affiche pas par défaut ! il faut taper sur "alt" gauche, pour faire apparaître la dite barre au dessus ...:x
* Menu "Outils", "Option des dossiers", onglet "Affichage" :
* Active la case : "Afficher les fichiers et dossiers cachés"
* Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
* Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
* Clique sur "Appliquer".


Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection.

re,

j'ai fait analysé le fichier C:\Documents and Settings\utilisateur\Local Settings\Application Data\WidePlay\mcoeacct.dll par Virus Total,

voici le rapport :

AhnLab-V3 2010.11.28.00 2010.11.27 -
AntiVir 7.10.14.126 2010.11.27 -
Antiy-AVL 2.0.3.7 2010.11.28 -
Avast 4.8.1351.0 2010.11.27 -
Avast5 5.0.594.0 2010.11.27 Win32:StartPage-AFD
AVG 9.0.0.851 2010.11.28 -
BitDefender 7.2 2010.11.28 -
CAT-QuickHeal 11.00 2010.11.27 -
ClamAV 0.96.4.0 2010.11.28 -
Command 5.2.11.5 2010.11.27 -
Comodo 6877 2010.11.28 -
DrWeb 5.0.2.03300 2010.11.28 -
Emsisoft 5.0.0.50 2010.11.28 -
eSafe 7.0.17.0 2010.11.24 -
eTrust-Vet 36.1.8003 2010.11.26 -
F-Prot 4.6.2.117 2010.11.27 -
F-Secure 9.0.16160.0 2010.11.28 -
Fortinet 4.2.254.0 2010.11.27 -
GData 21 2010.11.28 -
Ikarus T3.1.1.90.0 2010.11.28 -
Jiangmin 13.0.900 2010.11.28 -
K7AntiVirus 9.69.3103 2010.11.27 -
Kaspersky 7.0.0.125 2010.11.28 -
McAfee 5.400.0.1158 2010.11.28 -
McAfee-GW-Edition 2010.1C 2010.11.28 -
Microsoft 1.6402 2010.11.28 -
NOD32 5654 2010.11.28 -
Norman 6.06.10 2010.11.27 -
nProtect 2010-11-28.01 2010.11.28 -
Panda 10.0.2.7 2010.11.28 -
PCTools 7.0.3.5 2010.11.28 -
Prevx 3.0 2010.11.28 -
Rising 22.75.05.00 2010.11.28 -
Sophos 4.60.0 2010.11.28 -
SUPERAntiSpyware 4.40.0.1006 2010.11.28 -
Symantec 20101.2.0.161 2010.11.28 -
TheHacker 6.7.0.1.092 2010.11.28 -
TrendMicro 9.120.0.1004 2010.11.28 PAK_Generic.012
TrendMicro-HouseCall 9.120.0.1004 2010.11.28 -
VBA32 3.12.14.2 2010.11.26 -
VIPRE 7433 2010.11.28 -
ViRobot 2010.11.19.4158 2010.11.27 -
VirusBuster 13.6.63.1 2010.11.27 -
Additional information
Show all
MD5 : ce6b306354fbc469326ba4ba527d0fe8
SHA1 : 88f93f1689c63ce88bbac660336918cd1b3811dd
SHA256: d058b7b6609b61b028c7b284e493ee620b9e329cc453d0041e1a369a7950aea0


Pas tout à fait clean, n'est-ce pas?

Après l'analyse, j'ai recoché dans explorer.exe : "ne pas afficher les fichier et dossiers cachés" et j'ai coché "masquer les fichiers protégés du système"


@ +

re,

ce fichier n'a pas l'ai infecté en tous cas....