pb virus C:\eyt.exe+Rootkit : processus caché Fermé

Question

Bonjour,
j ai un probleme avec un virus detecte par avast mais qui revient tout le temps
voici un scan 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:10:34, on 29/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [DetectorApp] C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://copainsdavant.linternaute.com/html_include_bibliotheque/objimageuploader/5.0.15.0/ImageUploader5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

afideg · Answer

Bonjour

Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe 
Enregistre-le sur le bureau. 

1°- Installation 
Lis la première partie de ce tutoriel pour bien l'installer 
http://site-naheulbeuk.com/ 
- Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation. 
- Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). 
- MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. 
Note : N'apporte aucune modification aux réglages par défaut, et en fin d'installation vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées ==> clic sur [Terminer] 
*** NB : Si un message s’affiche signalant qu'il te manque COMCTL32.OCX alors télécharge-le ici : https://www.malekal.com/tutorial-aboutbuster/ ; et fais les mises à jour (clique sur "Mises à jour" puis "Recherche de mises à jour") 

2°- Branche les disques amovibles (clés USB) sans les ouvrir. 

3°- Analyse 
Une autre aide précieuse ici https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". 
Sélectionne "Exécuter un examen rapide" 
Clique sur "Rechercher" 
L'analyse démarre, le scan est relativement long, c'est normal. 
A la fin de l'analyse, un message s'affiche ==> Citation : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
==> Clique sur "Ok" pour poursuivre. (Si MBAM n'a rien trouvé, il te le dira aussi). 
Si des malwares ont été détectés, clique sur "Afficher les résultats". 
Sélectionne tout (ou laisse coché) et clique sur "supprimer la sélection", MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. 
Copie-colle ce rapport et poste-le dans ta prochaine réponse. 

NB : si MBAM te demande à redémarrer, fais-le après avoir posté ton rapport. 
Après le redémarrage, poste un nouveau rapport HijackThis


Merci
Al

afideg · Answer

Re,

Bien; nette amélioration.

Il faut passer à l'étape supérieure avec cette infection dans ton PC.
Garde bien MalwareByteAntiMalware sur ton PC.

Nous allons donc tenter d'opérer comme ceci:

A)-Désactive la restauration système. 
Clic droit sur poste de travail > propriétés > onglet restauration système 
Coche "désactiver la restauration système sur tous les lecteurs". 
 



B)- Télécharger l'outil Flash_Disinfector de sUBs: 
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe  
Enregistrer Flash_Disinfector.exe sur le bureau. 
Double-cliquer sur Flash_Disinfector.exe pour l'exécuter. 
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra : 
Connecter au pc, clé USB, DD externe, susceptibles d'avoir été infectés. ===> et les laisser branchés tout au long des analyses (attention: pas de double-clic dessus !!) ==> les garder branchés lors des analyses ultérieures. 
Puis cliquer sur Ok 
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: [Done!!] 
Appuyer ensuite sur OK, pour faire réapparaître le bureau.



C)- Spybot  et son Tea-Timer  sont totalement dépassés, et ne servent pour le moment qu'à empêcher les outils de désinfections de fonctionner. 
Il faut faire un clic-droit sur le lien ci dessous, puis choisir « Enregistrer la cible du lien sous ». 
http://www.safer-networking.org/files/remove-spybotsd-settings.reg 
Placer le fichier remove-spybotsd-settings.reg  sur le Bureau.
Faire un clic-droit sur le fichier remove-spybotsd-settings.reg ; puis choisir « Fusionner » et accepter la fusion dans le Registre. 
Redémarrer le PC 



D)- Avertissement
Vous allez télécharger Combofix.
Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles. ComboFix est un outil dangereux s'il est mal utilisé, et est réservé exclusivement aux helpers formés à son utilisation
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.
Chaque script est spécifique à la machine traitée ici !

Par précaution, télécharge cet outil de récupération d’accès au Net sur ton bureau.
http://www.windowsfacile.com/winsock_xp_fix.html 

Préalable: lire cette procédure en intégralité avant de te lancer.
Un guide et un tutoriel sur l'utilisation de ComboFix https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
Faire supprimer les derniers cracks téléchargés par l’internaute

Procédure :
Télécharge combofix.exe   http://download.bleepingcomputer.com/sUBs/ComboFix.exe  de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

Assure-toi que tous les programmes sont fermés avant de commencer.
==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
==> Connecter tous les disques amovibles (disque dur externe, clé USB…).

• Double-clique combofix.exe afin de l'exécuter.
Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. 
Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. 
Ou bien --> Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. 
Laisse se dérouler le scan.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 50 étapes d’analyse)./i\
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copie-colle ce rapport dans ta prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).


Merci
Al

afideg · Answer

(suite) Je vais devoir m'absenter. Donc, je te place ici ce qu'il faudra faire après l'application précédente. A)- C:\Program Files\Java\jre1.6.0_01 Faille de sécurité ! La dernière version Java Runtime Environment est disponible ici : https://filehippo.com/download_jre_32/?ex=CORE-116.0 Ensuite, vas dans "Panneau de configuration" > "Ajout/suppr.de programmes", et supprime tes anciennes versions éventuellement. B)- O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0 Faille de sécurité ! Il faut faire la mise à jour version 9,1: https://get2.adobe.com/reader/otherversions/ L'installation d' une nouvelle version désinstallera l' ancienne si besoin est. - Décocher "Téléchargez également :Adobe Photoshop® Album Édition" - Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions. D)- O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe 1°- Il ne faut qu'un seul antivirus actif sur un PC. 2°- Si tu n'as pas acheté AVG, supprime-le. 3°- Encore, remplace AVAST comme ceci: Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!). a)- Télécharger ANTIVIR à partir de ce lien et tuto [ http://www.libellules.ch/tuto_antivir.php ] http://www.zebulon.fr/actualites/3001-antivir-francais.html ==> enregistre-le sur ton bureau pour y accéder facilement. Vidéo de configuration par Angélique https://www.malekal.com/fichiers/antivir/ConfigurationAntivir.avi b)- Désinstaller AVAST: < https://www.avast.com/fr-fr/uninstall-utility > c)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation. - Attention : Sers-toi du tutoriel pour installer ANTIVIR, 4°- Procédure d'utilisation: Après l'installation du programme et avant de lancer l'analyse, ... ...il faut redémarrer le PC en mode sans échec, comme ceci: < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > L'analyse: - Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) et choisis « Configure Antivir » Dans la fenêtre, coche la case Expert Mode Juste en dessous, clique sur le menu SCAN Sur le panneau de droite, coche la case Search for Rootkits before scan Vérifier pour « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut) . - Une fenêtre va s’ouvrir « Luke Filewalker » - Le scan va démarrer. - Mettre tout ce qu il trouve en "quarantine" Le rapport: Une fois le scan achevé, fermer les deux fenêtres d'Antivir et enregistre sur le bureau le rapport qui vient d'apparaître. Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau). Voici un lien pour ne plus avoir de popup intempestif pour acheter la version payante lors des mises à jour [ https://forum.malekal.com/viewtopic.php?p=45326#p45326 ] E)- Ensuite réactive ta restauration système; comme ceci: Clic-droit sur « Poste de travail », puis clic sur « Propriétés », Vas sur l’onglet « Restauration système » Tu décoches la case « Désactiver la restauration » Termine par [Appliquer], attendre, terminer par [OK] Merci À ce soir. En cas de besoin, mes amis helpers viendront d'aider.(mais il faut suivre d'abord cette procédure entière, SVP. Merci). Al.

Lyonnais92 · Answer

Bonjour à vous deux,

pour suivi dans la journée.

afideg · Answer

Bonjour et merci Lyonnais
Content de te lire.
Je quitte maintenant en vitesse.
Albert

afideg · Answer

Re, Bien Merci A)- La suite. 1°- Etant donné que ANTIVIR détecte un risque sécuritaire dans l'outil suivant : nircmd.cfexe qui appartient en fait à ComboFix, il faut que tu désactives le bouclier d'Antivir le temps du scan : ==> Fais un clic-droit sur l'icône d'Antivir dans la barre des tâches et décoche "Antivir Guard enable" ==> Réactive-le en fin de cette procédure ComboFix. 2°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant : killall:: File:: C:\opgde.exe C:\ur0.com C:\qphdin.com C:\w2.com C:\i.com Suspect:: c:\windows\system32\dllcache\wmiprvsd.dll c:\windows\system32\dllcache\lsasrv.dll c:\windows\system32\dllcache\wmiprvse.exe c:\windows\system32\dllcache\services.exe 3°- Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C. Ouvre le bloc-notes (programme>Accessoires >bloc-notes). Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V . Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript1.txt • Regarde ici (ce n’est qu’un exemple !) < http://img509.imageshack.us/img509/5984/screenshot332wc3.png > 4°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ gras>CFScript1.txt ” sur le fichier “ComboFix.exe” comme sur la capture: < http://apu.mabul.org/up/apu/2008/08/12/img-210914jjufm.gif > L'icône ComboFix.exe change alors de "brillance" dans sa couleur. Un module s'affiche ==> clic sur "Exécuter" Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! (CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.) 5°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum. Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt B)- NOTE: Tu vas recevoir des fichiers sur le bureau, ne les jette pas. Merci. C)- Termine avec ce Scan en ligne de Kaspersky sous "Internet Explorer". https://www.kaspersky.fr/downloads Branche ton Disque Externe (clé USB) éventuellement - Clique là où la flèche de cette image l’indique https://imageshack.com/ (ouvrir l’image après clic sur « Show Adv Links », tu obtiens le lien direct qui affiche l’image) - Clique maintenant sur "J'accepte". - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. - Patiente pendant l'installation des "Mises à jour". Clic sur « Paramètres d'analyse » Coche la case "Étendue" >> Ok - Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ». - Sauvegarde puis colle le rapport généré en fin d'analyse. http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 > Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : http://www.infos-du-net.com/forum/267224-11-scan-ligne-kaspersky Je passe à table. Al.

afideg · Answer

Re, Bien Parfait Termine l'analyse KasperkyOnline; comme indiqué au post # 11 C) . Merci A)- c:\windows\system32\dllcache\Suspect_lsasrv.dll.vir <-- ce fichier suspect !! Ce fichier compressé est enregistré sur le bureau sous la forme "Submit_aaaa-mm-jj@hh-mm.zip". - Un formulaire d'upload (CF-Submit.html) t'a-t-il été proposé ? - Si NON, procède comme ceci: 1. Vas sur le site Web : https://www.bleepingcomputer.com/submit-malware.php?channel=35 2. Copie/colle ceci dans la case 'Link to Topic' : http://www.commentcamarche.net/forum/affich 12226860 pb virus c eyt exe rootkit processus cache#13 3. Copie/colle ceci dans la case 'Browse to the File' : le fichier zippé qui est sur le bureau; puis valide [OK] 4. Si le fichier est envoyé, tu peux supprimer celui sur le bureau. B)- Ensuite, il faudra faire analyser ce(s) fichier(s) en gras, chez VirusTotal c:\windows\system32\lsasrv.dll c:\windows\system32\dllcache\lsasrv.dll c:\windows\system32\dllcache\wmiprvse.exe ; comme ceci: 1°- S’assurer d'avoir accès aux dossiers/fichiers cachés ; comme ceci Sous XP: Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage" Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage » Et là : Cocher la case devant les lignes: - afficher les fichiers et dossier cachés - afficher contenu dossier système Décocher la case devant les lignes: - masquer les extensions des fichiers dont le type est connu - masquer les fichiers protégés du système d'exploitation Un message annonce que cela peut endommager le système ; ne pas en tenir compte. Puis cliquer "APPLIQUER à TOUS les Dossiers" > [OK] NOTE: Si pas à l'aise dans la navigation des dossiers ; alors, suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php > 2°- Ensuite ouvrir ce lien: < http://www.virustotal.com/en/indexf.html > Copier ce qui suit (toute la ligne) et la coller dans la zone de saisie en face de « Parcourir »: c:\windows\system32\lsasrv.dll Cliquer sur Send File ( = " Envoyer le fichier " ). - Possible que la demande soit mise en file d'attente ; il faut alors patienter - Possible qu’un message signale que le fichier ait déjà été analysé ; si c'est le cas, choisir une “nouvelle analyse”. - Les résultats d'analyse apparaîtront progressivement ; cela ne prend qu'une ou deux minutes. - Dans l'encadré “Situation actuelle: terminé”, cliquer sur “Formaté”. - Une nouvelle fenêtre du navigateur apparaîtra... Dans la nouvelle fenêtre, cliquer sur cette image : < http://img138.imageshack.us/img138/2743/hhnw1.jpg > Faire un clic-droit sur la page, choisir => Sélectionner tout, puis encore clic-droit => Copier... Enfin , clic-droit => Coller le(s) résultat(s) dans le WordPad ou Bloc-Notes. DONC, refaire la manipulation fichier par fichier; c'est-à-dire: celui-ci c:\windows\system32\dllcache\lsasrv.dll et celui-là c:\windows\system32\dllcache\wmiprvse.exe dont on colle le rapport à chaque fois, à la suite dans WordPad. Et pour finir, pour la prochaine réponse sur le forum, reprendre WordPad ou Bloc-Notes (qui contient le résultat d’analyse des fichiers litigieux analysés), appuyer sur (CTRL+A), puis (CTRL+C) et en réponse sur CCM terminer par (CTRL+V) pour coller les analyses sur le forum. Merci pour ta collaboration C)- Termine alors, SVP, la suite du post # 6. Pas besoin de réactiver la restauration système, ComboFix s'en est occupé. Dans l'immédiat, Lyonnais, vois-tu quelque chose de déterminant, ou qui m'aurait échappé; s'il te plaît ? Merci Al.

Utilisateur anonyme · Answer

Salut Al ;


O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe 


Traité par usbFix .

afideg · Answer

Salut Ced,

Oui, merci.
Je m'en suis souvenu lors de la correction du lien pour Flash_Disinfector.
Mais les analyses ne le montrent plus.

Cependant, il semblait garder des reliquats (actifs ??).
C'est pourquoi ==> KasperkyOnline.
C'est pourquoi ==> VirusTotal.

J'ai été particulièrement interrompu sur le topic.
J'ai fait au plus pressé. Désolé; ce n'est pas l'idéal.

Le souci semble toucher à sa fin.
En final, je ferai lancer UsbFix, ne fût-ce que pour vacciner tous les supports amovibles utilisés avec ce PC.
Qu'en penses-tu ?

Albert.

afideg · Answer

Re, A)- Désolé Difficile pour moi de m'expliquer mieux qu'au post # 14 A) J'avais écrit: «c:\windows\system32\dllcache\Suspect_lsasrv.dll.vir <-- ce fichier suspect !! Ce fichier compressé est enregistré sur le bureau sous la forme "Submit_aaaa-mm-jj@hh-mm.zip". ===>> Un formulaire d'upload (CF-Submit.html) t'a-t-il été proposé ? <== ??? - Si NON, procède comme ceci: .... As-tu oui ou non un nouveau fichier sur ton bureau ? (contenant le mot "Submit") B)- C:\Program Files\IncrediMail\bin\IncrediMail_Install.exe Utilises-tu IncrediMail ? Où l'as-tu téléchargé ? Kaspersky ne l'aime pas. Soit tu le supprimes dans "Program Files", soit tu fais analyser IncrediMail_Install.exe chez VirusTotal --> méthode expliquée plus haut. Je suis impatient de lire les applications demandées #6 (rapport AntiVir) Bonne soirée. Al.

afideg · Answer

Bonsoir,

1°- Ce n'est pas grave.

Il ne s'agit pas d'un dossier, mais d'un fichier avec l'extension .zip annoncé dans la procédure sous ± la forme "Submit_aaaa-mm-jj@hh-mm.zip". 
Je ne sais pas t'indiquer le chemin des répertoires où le retrouver (puisqu'il devrait être uniquement sur le bureau). Mais en cliquant sur [Parcourir] en face de "Browse to the file you want to submit:" , puis choisir "Bureau" , ne vois-tu pas dans la liste affichée ce fcihier avec l'extension .zip ?

Navigue dans les répertoires c:\windows\system32\dllcache\, et recherche la présence du fichier Suspect_lsasrv.dll.vir ==> supprime-le.

2°- Je regrette ne recevoir aucune information sur l'application des postes # 14 B) et 21 B).

Content de lire le rapport de AntiVir qui est encourageant.
Bonne soirée.
Al.

richard13 · Answer

ca y est enfin j ai reussi le dossier etait dans c : qoobox
avec bleeping computer le rapport est en anglais:

Your file was successfully submitted. Please let the user helping you know that you have submitted the file. 

j ai supprimer le fichier incredimail

je suis en train de faire la partie avec virus total 14b

afideg · Answer

Re,
Bien, merci.

J'aurais besoin d'un détail, s'il te plaît; en effet, tu annonces: « Ca y est enfin j ai reussi le dossier etait dans c : qoobox  ... avec bleeping computer le rapport est en anglais »
Rappel: Je précisais au post # 24: «Il ne s'agit pas d'un dossier, mais d'un fichier avec l'extension .zip»
- Donc, eux-tu parler de ce fichier avec l'extension .zip annoncé dans la procédure sous ± la forme "Submit_aaaa-mm-jj@hh-mm.zip", et que tu as enfin réussi à envoyer chez bleeping computer ?
- Si c'est cela, te souviens-tu du nom de ce fichier (dont je ne pouvais citer qu'un exemple d'intitulé).
NOTE: Cela mes tablettes, ce n'est pas normal d'avoir trouvé ce fichier à envoyer pour analyse dans la poubelle de ComboFix, à savoir C:\Qoobox (N'était-il pas dans C:\Qoobox\Quarantine ?).
En effet, les tablettes énoncent: «Le fichier en question ne sera pas supprimé par la fonction Suspect::».
Merci pour ta collaboration.

richard13 · Answer

pour la phase avec virus total 
il m est impossible d envoyer les fichiers que je dois envoyer
le fichier ne s envoie pas meme en attendant toute la nuit

je vais reesayer aujourd hui

afideg · Answer

Re,
Bonjour,
Désolé, pas pu lire ton message plus tôt.

C'est bizarre cette affaire.

Dans le doute fais analyser ici: https://virusscan.jotti.org/
ou là :http://scanner.virus.org/

Les méthodes doivent être analogues, sinon il faut suivre le chemin des fichiers pas à pas (alors, suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php > si tu éprouves des difficultés à opérer à partir de la touche [Parcourir=Browser].

richard13 · Answer

rapport virus total Fichier lsasrv.dll reçu le 2009.05.03 13:44:20 (CET)Antivirus Version Dernière mise à jour Résultat a-squared 4.0.0.101 2009.05.03 - AhnLab-V3 5.0.0.2 2009.05.01 - AntiVir 7.9.0.160 2009.05.02 - Antiy-AVL 2.0.3.1 2009.04.30 - Authentium 5.1.2.4 2009.05.02 - Avast 4.8.1335.0 2009.05.02 - AVG 8.5.0.327 2009.05.02 - BitDefender 7.2 2009.05.03 - CAT-QuickHeal 10.00 2009.05.02 - ClamAV 0.94.1 2009.05.03 - Comodo 1147 2009.05.02 - DrWeb 4.44.0.09170 2009.05.03 - eSafe 7.0.17.0 2009.04.30 - eTrust-Vet 31.6.6487 2009.05.02 - F-Prot 4.4.4.56 2009.05.02 - F-Secure 8.0.14470.0 2009.05.02 - Fortinet 3.117.0.0 2009.05.03 - GData 19 2009.05.03 - Ikarus T3.1.1.49.0 2009.05.03 - K7AntiVirus 7.10.722 2009.05.02 - Kaspersky 7.0.0.125 2009.05.03 - McAfee 5603 2009.05.02 - McAfee+Artemis 5603 2009.05.02 - McAfee-GW-Edition 6.7.6 2009.05.02 - Microsoft 1.4602 2009.05.03 - NOD32 4049 2009.05.01 - Norman 6.01.05 2009.04.30 - nProtect 2009.1.8.0 2009.05.03 - Panda 10.0.0.14 2009.05.03 - PCTools 4.4.2.0 2009.05.02 - Prevx1 3.0 2009.05.03 - Rising 21.27.41.00 2009.05.01 - Sophos 4.41.0 2009.05.03 - Sunbelt 3.2.1858.2 2009.05.02 - Symantec 1.4.4.12 2009.05.03 - TheHacker 6.3.4.1.317 2009.05.02 - TrendMicro 8.950.0.1092 2009.05.01 - VBA32 3.12.10.4 2009.05.03 - ViRobot 2009.5.1.1717 2009.05.01 - VirusBuster 4.6.5.0 2009.05.02 - Information additionnelle File size: 735744 bytes MD5...: e8af47dbadc708d1e640b062fd302993 SHA1..: d42e5576cea3b60ebcc77a0a17078e9ee0d70fb8 SHA256: 6d3df05b460e7be986102806984909d3116be9a6c3334262c87c68de464d17a2 SHA512: e922ec81bbbbb447aa90ba1ae22f658eb894ff9d089c626cb286aba7064f5587
0d79d81b12b1334f1531885f85fc49bd5813a76ffecfa8c753122b9182dafac0 ssdeep: 12288:z2PUgQplCKi1SDWaqM/b7gx11nSRRBVQ4TlY88Osf/:zsUUAWaqM3gx11n
oqKmf/
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xecb1
timedatestamp.....: 0x49900b43 (Mon Feb 09 10:53:55 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9dbc7 0x9dc00 6.60 f778efb71f987549c71f5c2121d6caa5
.data 0x9f000 0x4474 0x4000 2.55 42957bad8558dba8352482f0eaf868a9
.rsrc 0xa4000 0xac54 0xae00 3.50 e6d775b2dcd2abdb1673c74b3e60dcab
.reloc 0xaf000 0x6a68 0x6c00 6.78 fff0bf08cb23c2cc6787046aae3372f4

( 13 imports )
> ADVAPI32.dll: GetUserNameA, RegisterTraceGuidsW, TraceEvent, LsaClose, CredFree, CredUnmarshalCredentialW, SystemFunction036, RegQueryValueExA, SystemFunction005, SystemFunction004, RegSetValueExA, RegDeleteKeyA, RegCreateKeyExA, CryptAcquireContextA, CryptGetProvParam, CryptSetKeyParam, CryptCreateHash, SystemFunction040, CryptHashData, CryptDeriveKey, CryptDestroyHash, CryptGetHashParam, CryptGetKeyParam, CryptExportKey, LsaRetrievePrivateData, LsaStorePrivateData, AllocateAndInitializeSid, FreeSid, GetSidIdentifierAuthority, GetSidSubAuthority, LookupAccountNameW, LogonUserW, IsValidSid, A_SHAInit, A_SHAUpdate, A_SHAFinal, ImpersonateSelf, SetThreadToken, OpenSCManagerW, QueryServiceStatus, ChangeServiceConfigW, EnumDependentServicesW, ControlService, StartServiceW, OpenServiceW, QueryServiceConfigW, CloseServiceHandle, RegCreateKeyW, LsaSetDomainInformationPolicy, LookupAccountSidW, LsaSetInformationPolicy, AccessCheck, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, SetSecurityDescriptorDacl, RegLoadKeyW, RegUnLoadKeyW, LsaQueryDomainInformationPolicy, LsaQueryTrustedDomainInfoByName, LsaCreateTrustedDomainEx, LsaOpenTrustedDomain, LsaOpenTrustedDomainByName, LsaDelete, ImpersonateLoggedOnUser, SystemFunction029, SystemFunction007, LsaICLookupSidsWithCreds, LsaICLookupNamesWithCreds, ConvertSidToStringSidW, LsaOpenPolicy, LsaQueryInformationPolicy, EqualSid, LsaICLookupSids, LsaICLookupNames, GetWindowsAccountDomainSid, EqualDomainSid, ConvertStringSidToSidW, DuplicateTokenEx, AllocateLocallyUniqueId, OpenProcessToken, GetTokenInformation, FileEncryptionStatusW, I_ScIsSecurityProcess, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, IsWellKnownSid, MD5Init, MD5Update, MD5Final, CheckTokenMembership, ReportEventA, RegDeleteKeyW, CryptGenKey, SystemFunction035, IsTokenRestricted, RegNotifyChangeKeyValue, RegOpenKeyW, GetSidSubAuthorityCount, CryptGetUserKey, CryptAcquireContextW, AdjustTokenPrivileges, RegisterEventSourceW, ReportEventW, DeregisterEventSource, CryptDecrypt, CryptImportKey, CryptDestroyKey, RevertToSelf, CryptEncrypt, GetLengthSid, CopySid, CryptGenRandom, LsaFreeMemory, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, CryptSetProvParam, CryptReleaseContext, OpenThreadToken, CredpEncodeCredential, CredpDecodeCredential, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, RegOpenKeyExA, GetTraceLoggerHandle
> KERNEL32.dll: GetDiskFreeSpaceA, GlobalMemoryStatus, SetComputerNameExW, DebugBreak, OpenFileMappingW, GetModuleFileNameA, GetProfileStringA, CreateFileA, GetVersionExA, GetModuleHandleA, DuplicateHandle, CompareFileTime, lstrcmpW, DeleteCriticalSection, InitializeCriticalSection, FlushViewOfFile, GetSystemDirectoryW, GetDriveTypeW, IsBadWritePtr, FlushFileBuffers, GetLocalTime, MoveFileW, CopyFileW, GetWindowsDirectoryW, VerifyVersionInfoA, GetComputerNameA, ExitThread, GetThreadLocale, SetThreadLocale, LocalReAlloc, MultiByteToWideChar, WideCharToMultiByte, GetDateFormatW, FileTimeToLocalFileTime, GetTimeFormatW, SetWaitableTimer, OpenProcess, CompareStringW, CreateWaitableTimerW, LoadLibraryA, VerifyVersionInfoW, SetProcessShutdownParameters, SetConsoleCtrlHandler, OpenEventW, SetEnvironmentVariableW, GetEnvironmentVariableW, OutputDebugStringA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, QueryPerformanceCounter, DisableThreadLibraryCalls, InterlockedCompareExchange, CreateMutexW, ReleaseMutex, GetSystemTime, SystemTimeToFileTime, FileTimeToSystemTime, ReleaseSemaphore, SetProcessWorkingSetSize, CreateSemaphoreW, InitializeCriticalSectionAndSpinCount, EnterCriticalSection, LeaveCriticalSection, lstrcmpiW, SearchPathW, TlsAlloc, RaiseException, QueueUserWorkItem, CreateTimerQueueTimer, RegisterWaitForSingleObjectEx, DeleteTimerQueueTimer, UnregisterWaitEx, WaitForSingleObjectEx, HeapFree, MapViewOfFileEx, VirtualAllocEx, ExpandEnvironmentStringsW, GetComputerNameExW, FormatMessageW, GetTickCount, GetCurrentProcess, GetCurrentThreadId, SetEvent, GetSystemDefaultLCID, GetLocaleInfoW, FreeLibrary, FindFirstFileW, lstrcpyW, GetModuleFileNameW, GetModuleHandleW, CloseHandle, GetLastError, CreateThread, lstrlenA, LocalFree, InterlockedDecrement, InterlockedIncrement, TlsSetValue, TlsGetValue, LocalAlloc, VirtualFree, VirtualLock, VirtualAlloc, DnsHostnameToComputerNameW, SetFileAttributesW, CreateDirectoryW, lstrlenW, GetCurrentThread, GetProcAddress, LoadLibraryW, CreateFileW, DeleteFileW, GetSystemTimeAsFileTime, WriteFile, GetComputerNameW, ReadFile, GetFileSize, ResetEvent, Sleep, InterlockedExchange, SetLastError, IsBadReadPtr, GetVolumePathNameW, DeviceIoControl, UnmapViewOfFile, MapViewOfFile, GetFileAttributesW, GetVolumeInformationW, WaitForSingleObject, CreateFileMappingW, SetFilePointer, GetSystemInfo, SetFileTime, GetFileTime, GetCurrentProcessId, CreateEventW, GetVersionExW, FindClose, FindNextFileW
> MPR.dll: WNetCancelConnection2W, WNetAddConnection2W
> MSASN1.dll: ASN1DecAlloc, ASN1BERDecObjectIdentifier, ASN1BERDecEndOfContents, ASN1BEREncExplicitTag, ASN1BEREncObjectIdentifier, ASN1BEREncEndOfContents, ASN1_CreateModule, ASN1BEREncOctetString, ASN1BERDecPeekTag, ASN1Free, ASN1objectidentifier_free, ASN1BERDecOctetString, ASN1octetstring_free, ASN1ztcharstring_free, ASN1BEREncU32, ASN1BERDecU32Val, ASN1DecSetError, ASN1BEREncBitString, ASN1BERDecNotEndOfContents, ASN1BEREncCharString, ASN1BERDecZeroCharString, ASN1BEREncRemoveZeroBits, ASN1BERDecBitString, ASN1bitstring_free, ASN1_CreateDecoder, ASN1_CreateEncoder, ASN1_CloseDecoder, ASN1_FreeDecoded, ASN1_Encode, ASN1_FreeEncoded, ASN1_Decode, ASN1_CloseEncoder, ASN1BERDecExplicitTag
> msvcrt.dll: _resetstkoflw, _ultoa, wcstol, _vsnprintf, strrchr, _strnicmp, strchr, _strcmpi, _ltow, _except_handler3, wcsncpy, swprintf, wcscmp, wcscat, wcscpy, _wcsicmp, wcschr, wcsrchr, memmove, wcslen, mbstowcs, strncpy, sprintf, _snwprintf, _wcsnicmp, wcsncat, qsort, wcsncmp, wcsstr, free, malloc
> NETAPI32.dll: NetUserGetInfo, DsGetDcNameW, DsEnumerateDomainTrustsW, NetShareGetInfo, DsRoleFreeMemory, Netbios, NetUseDel, DsGetDcNameWithAccountW, NetUseAdd, I_NetNameValidate, NetApiBufferAllocate, NetAlertRaiseEx, I_NetNameCanonicalize, NetUserModalsGet, NetShareDel, NetRemoteTOD, NetApiBufferFree
> ntdll.dll: RtlDeleteCriticalSection, RtlLeaveCriticalSection, RtlEnterCriticalSection, RtlInitializeCriticalSection, NtQuerySystemTime, RtlEqualUnicodeString, RtlInitUnicodeString, RtlUpcaseUnicodeStringToOemString, RtlFreeUnicodeString, RtlConvertSidToUnicodeString, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, RtlInitAnsiString, NtClose, NtQueryInformationToken, NtOpenThreadToken, RtlLengthSid, RtlEqualSid, RtlNtStatusToDosError, RtlRegisterWait, RtlDeregisterWait, RtlAcquireResourceShared, RtlReleaseResource, NtSetInformationThread, NtQueryInformationFile, NtFsControlFile, NtCreateFile, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, RtlAddAccessAllowedAceEx, RtlSubAuthoritySid, RtlInitializeSid, RtlLengthRequiredSid, NtReadFile, NtSetInformationFile, RtlFreeHeap, RtlDosPathNameToNtPathName_U, NtFlushBuffersFile, RtlGetDaclSecurityDescriptor, NtWriteFile, NtQueryVolumeInformationFile, RtlAcquireResourceExclusive, NtQueryObject, RtlCompareMemory, RtlAllocateAndInitializeSid, NtSetEvent, NtOpenEvent, NtCreateEvent, RtlInitializeResource, NtSetSecurityObject, RtlAddAccessAllowedAce, RtlCreateAcl, NtCreatePort, NtCompleteConnectPort, NtAcceptConnectPort, NtReplyPort, NtReplyWaitReceivePort, NtFreeVirtualMemory, NtAllocateVirtualMemory, RtlAnsiStringToUnicodeString, NtRequestWaitReplyPort, RtlCompareUnicodeString, NtDuplicateObject, RtlCreateUnicodeStringFromAsciiz, RtlInitString, RtlGetNtProductType, RtlRunDecodeUnicodeString, NtAllocateLocallyUniqueId, RtlSubAuthorityCountSid, RtlCopySid, RtlTimeFieldsToTime, RtlCopyUnicodeString, RtlCreateHeap, NtMapViewOfSection, NtUnmapViewOfSection, RtlDestroyHeap, RtlAllocateHeap, DbgBreakPoint, NtOpenProcessToken, NtQuerySystemInformation, NtPrivilegedServiceAuditAlarm, NtPrivilegeCheck, NtOpenProcess, NtOpenThread, NtQueryInformationProcess, NtWriteVirtualMemory, NtReadVirtualMemory, NtImpersonateClientOfPort, RtlImpersonateSelf, NtWaitForSingleObject, NtSetInformationObject, NtSetInformationToken, NtDuplicateToken, RtlCopyLuid, NtQueryValueKey, NtOpenKey, NtDeviceIoControlFile, NtOpenFile, RtlQueryInformationAcl, VerSetConditionMask, RtlAdjustPrivilege, NtCreateToken, RtlSetOwnerSecurityDescriptor, RtlIdentifierAuthoritySid, NtQuerySymbolicLinkObject, NtOpenSymbolicLinkObject, RtlCopyString, RtlEqualString, NtListenPort, NtConnectPort, NtRaiseHardError, NtFlushKey, NtSetValueKey, NtImpersonateAnonymousToken, NtAdjustPrivilegesToken, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, RtlAppendUnicodeToString, NtEnumerateValueKey, NtEnumerateKey, RtlValidSid, RtlPrefixUnicodeString, RtlConvertSharedToExclusive, RtlEqualDomainName, RtlGetAce, RtlLengthSecurityDescriptor, RtlMakeSelfRelativeSD, RtlRandom, NtQueryInformationThread, RtlFreeSid, RtlpNtOpenKey, RtlInitializeRXact, RtlDeleteElementGenericTableAvl, RtlInitializeGenericTableAvl, RtlLookupElementGenericTableAvl, RtlEnumerateGenericTableAvl, RtlInsertElementGenericTableAvl, RtlConvertExclusiveToShared, RtlpNtEnumerateSubKey, NtDeleteObjectAuditAlarm, RtlVerifyVersionInfo, LdrLoadDll, RtlpNtQueryValueKey, RtlAreAllAccessesGranted, NtAccessCheckByTypeAndAuditAlarm, NtAccessCheckByTypeResultListAndAuditAlarm, RtlMapGenericMask, RtlSetSecurityObject, RtlNewSecurityObject, NtAccessCheckAndAuditAlarm, RtlIntegerToChar, NtPrivilegeObjectAuditAlarm, NtQuerySecurityObject, RtlFreeOemString, RtlUnicodeStringToOemString, RtlOemStringToUnicodeString, RtlImageNtHeader, RtlValidRelativeSecurityDescriptor, RtlStartRXact, RtlAbortRXact, RtlApplyRXact, RtlAddActionToRXact, NtCloseObjectAuditAlarm, RtlUnicodeStringToInteger, RtlTimeToSecondsSince1970, RtlRunEncodeUnicodeString, NtSetSystemTime, NtResetEvent, RtlMoveMemory, DbgPrint
> NTDSAPI.dll: DsFreeNameResultW, DsCrackNamesW, DsBindW, DsCrackSpn3W, DsUnBindW
> RPCRT4.dll: UuidToStringW, RpcServerListen, I_RpcExceptionFilter, RpcBindingVectorFree, RpcEpRegisterW, RpcServerInqBindings, RpcRevertToSelf, RpcImpersonateClient, UuidCreate, I_RpcMapWin32Status, NdrServerCall2, RpcBindingServerFromClient, RpcBindingToStringBindingW, RpcStringBindingParseW, RpcStringFreeW, RpcServerUseProtseqEpW, RpcServerRegisterAuthInfoW, I_RpcBindingInqLocalClientPID, I_RpcBindingIsClientLocal, I_RpcBindingInqTransportType, RpcUserFree, RpcMgmtEnableIdleCleanup, RpcBindingInqAuthClientW, RpcBindingSetAuthInfoW, RpcSsGetContextBinding, NdrClientCall2, RpcBindingFromStringBindingW, RpcBindingFree, RpcStringBindingComposeW, RpcServerInqDefaultPrincNameW, RpcServerRegisterIf, NdrMesTypeDecode2, NdrMesTypeEncode2, NdrMesTypeAlignSize2, MesDecodeIncrementalHandleCreate, MesEncodeIncrementalHandleCreate, RpcRevertToSelfEx, RpcServerUnregisterIf, RpcServerRegisterIfEx, UuidFromStringW, RpcBindingSetAuthInfoExW, RpcEpResolveBinding, RpcNetworkIsProtseqValidW, MesHandleFree, MesIncrementalHandleReset
> SAMLIB.dll: SamFreeMemory
> SAMSRV.dll: SamIChangePasswordForeignUser2, SamrOpenUser, SamIFree_SAMPR_ULONG_ARRAY, SamIOpenUserByAlternateId, SamrCloseHandle, SamIFree_SAMPR_GET_GROUPS_BUFFER, SamIFree_SAMPR_USER_INFO_BUFFER, SamrGetGroupsForUser, SamrQueryInformationUser, SamIFreeSidAndAttributesList, SamIGetUserLogonInformation, SampUsingDsData, SamIFreeSidArray, SamIGetResourceGroupMembershipsTransitive, SamIIsSetupInProgress, SamrOpenDomain, SamIConnect, SamIGetAliasMembership, SamISetAuditingInformation, SamIQueryServerRole, SamrEnumerateUsersInDomain, SamIAmIGC, SamIMixedDomain, SamIIsDownlevelDcUpgrade, SamIGetBootKeyInformation, SamIDoFSMORoleChange, SamIIsRebootAfterPromotion, SamIGCLookupNames, SamIFreeVoid, SamrRidToSid, SamIIsExtendedSidMode, SamIFree_SAMPR_RETURNED_USTRING_ARRAY, SamrLookupIdsInDomain, SamIGCLookupSids, SamrSetInformationUser, SamrCreateUser2InDomain, SamrDeleteUser, SamIGetInterdomainTrustAccountPasswordsForUpgrade, SamIEnumerateInterdomainTrustAccountsForUpgrade, SamIMixedDomain2, SamrLookupNamesInDomain
> Secur32.dll: CredUnmarshalTargetInfo, SecpTranslateNameEx, SecpTranslateName, SecCacheSspiPackages, LsaRegisterPolicyChangeNotification, SecpFreeMemory
> USER32.dll: GetSystemMetrics, wsprintfW, LoadStringW, GetMessageTime, GetCursorPos

( 147 exports )
DsRolerDcAsDc, DsRolerDcAsReplica, DsRolerDemoteDc, DsRolerGetDcOperationProgress, DsRolerGetDcOperationResults, LsaIAddNameToLogonSession, LsaIAllocateHeap, LsaIAllocateHeapZero, LsaIAuditAccountLogon, LsaIAuditAccountLogonEx, LsaIAuditKdcEvent, LsaIAuditKerberosLogon, LsaIAuditLogonUsingExplicitCreds, LsaIAuditNotifyPackageLoad, LsaIAuditPasswordAccessEvent, LsaIAuditSamEvent, LsaICallPackage, LsaICallPackageEx, LsaICallPackagePassthrough, LsaICancelNotification, LsaIChangeSecretCipherKey, LsaICryptProtectData, LsaICryptUnprotectData, LsaIDsNotifiedObjectChange, LsaIEnumerateSecrets, LsaIEventNotify, LsaIFilterSids, LsaIForestTrustFindMatch, LsaIFreeForestTrustInfo, LsaIFreeHeap, LsaIFreeReturnBuffer, LsaIFree_LSAI_PRIVATE_DATA, LsaIFree_LSAI_SECRET_ENUM_BUFFER, LsaIFree_LSAPR_ACCOUNT_ENUM_BUFFER, LsaIFree_LSAPR_CR_CIPHER_VALUE, LsaIFree_LSAPR_POLICY_DOMAIN_INFORMATION, LsaIFree_LSAPR_POLICY_INFORMATION, LsaIFree_LSAPR_PRIVILEGE_ENUM_BUFFER, LsaIFree_LSAPR_PRIVILEGE_SET, LsaIFree_LSAPR_REFERENCED_DOMAIN_LIST, LsaIFree_LSAPR_SR_SECURITY_DESCRIPTOR, LsaIFree_LSAPR_TRANSLATED_NAMES, LsaIFree_LSAPR_TRANSLATED_SIDS, LsaIFree_LSAPR_TRUSTED_DOMAIN_INFO, LsaIFree_LSAPR_TRUSTED_ENUM_BUFFER, LsaIFree_LSAPR_TRUSTED_ENUM_BUFFER_EX, LsaIFree_LSAPR_TRUST_INFORMATION, LsaIFree_LSAPR_UNICODE_STRING, LsaIFree_LSAPR_UNICODE_STRING_BUFFER, LsaIFree_LSAP_SITENAME_INFO, LsaIFree_LSAP_SITE_INFO, LsaIFree_LSAP_SUBNET_INFO, LsaIFree_LSAP_UPN_SUFFIXES, LsaIFree_LSA_FOREST_TRUST_COLLISION_INFORMATION, LsaIFree_LSA_FOREST_TRUST_INFORMATION, LsaIGetBootOption, LsaIGetCallInfo, LsaIGetForestTrustInformation, LsaIGetLogonGuid, LsaIGetNbAndDnsDomainNames, LsaIGetPrivateData, LsaIGetSerialNumberPolicy, LsaIGetSerialNumberPolicy2, LsaIGetSiteName, LsaIHealthCheck, LsaIImpersonateClient, LsaIInitializeWellKnownSids, LsaIIsClassIdLsaClass, LsaIIsDsPaused, LsaIKerberosRegisterTrustNotification, LsaILookupWellKnownName, LsaINotifyChangeNotification, LsaINotifyNetlogonParametersChangeW, LsaINotifyPasswordChanged, LsaIOpenPolicyTrusted, LsaIQueryForestTrustInfo, LsaIQueryInformationPolicyTrusted, LsaIQuerySiteInfo, LsaIQuerySubnetInfo, LsaIQueryUpnSuffixes, LsaIRegisterNotification, LsaIRegisterPolicyChangeNotificationCallback, LsaISafeMode, LsaISamIndicatedDsStarted, LsaISetBootOption, LsaISetClientDnsHostName, LsaISetLogonGuidInLogonSession, LsaISetPrivateData, LsaISetSerialNumberPolicy, LsaISetTimesSecret, LsaISetupWasRun, LsaITestCall, LsaIUnregisterAllPolicyChangeNotificationCallback, LsaIUnregisterPolicyChangeNotificationCallback, LsaIUpdateForestTrustInformation, LsaIWriteAuditEvent, LsapAuOpenSam, LsapCheckBootMode, LsapDsDebugInitialize, LsapDsInitializeDsStateInfo, LsapDsInitializePromoteInterface, LsapInitLsa, LsarAddPrivilegesToAccount, LsarClose, LsarCreateAccount, LsarCreateSecret, LsarCreateTrustedDomain, LsarCreateTrustedDomainEx, LsarDelete, LsarEnumerateAccounts, LsarEnumeratePrivileges, LsarEnumeratePrivilegesAccount, LsarEnumerateTrustedDomains, LsarEnumerateTrustedDomainsEx, LsarGetQuotasForAccount, LsarGetSystemAccessAccount, LsarLookupNames, LsarLookupPrivilegeDisplayName, LsarLookupPrivilegeName, LsarLookupPrivilegeValue, LsarLookupSids, LsarLookupSids2, LsarOpenAccount, LsarOpenPolicy, LsarOpenPolicySce, LsarOpenSecret, LsarOpenTrustedDomain, LsarOpenTrustedDomainByName, LsarQueryDomainInformationPolicy, LsarQueryForestTrustInformation, LsarQueryInfoTrustedDomain, LsarQueryInformationPolicy, LsarQuerySecret, LsarQuerySecurityObject, LsarQueryTrustedDomainInfo, LsarQueryTrustedDomainInfoByName, LsarRemovePrivilegesFromAccount, LsarSetDomainInformationPolicy, LsarSetForestTrustInformation, LsarSetInformationPolicy, LsarSetInformationTrustedDomain, LsarSetQuotasForAccount, LsarSetSecret, LsarSetSecurityObject, LsarSetSystemAccessAccount, LsarSetTrustedDomainInfoByName, ServiceInit
PDFiD.: - RDS...: NSRL Reference Data Set
- Antivirus Version Dernière mise à jour Résultat a-squared 4.0.0.101 2009.05.03 - AhnLab-V3 5.0.0.2 2009.05.01 - AntiVir 7.9.0.160 2009.05.02 - Antiy-AVL 2.0.3.1 2009.04.30 - Authentium 5.1.2.4 2009.05.02 - Avast 4.8.1335.0 2009.05.02 - AVG 8.5.0.327 2009.05.02 - BitDefender 7.2 2009.05.03 - CAT-QuickHeal 10.00 2009.05.02 - ClamAV 0.94.1 2009.05.03 - Comodo 1147 2009.05.02 - DrWeb 4.44.0.09170 2009.05.03 - eSafe 7.0.17.0 2009.04.30 - eTrust-Vet 31.6.6487 2009.05.02 - F-Prot 4.4.4.56 2009.05.02 - F-Secure 8.0.14470.0 2009.05.02 - Fortinet 3.117.0.0 2009.05.03 - GData 19 2009.05.03 - Ikarus T3.1.1.49.0 2009.05.03 - K7AntiVirus 7.10.722 2009.05.02 - Kaspersky 7.0.0.125 2009.05.03 - McAfee 5603 2009.05.02 - McAfee+Artemis 5603 2009.05.02 - McAfee-GW-Edition 6.7.6 2009.05.02 - Microsoft 1.4602 2009.05.03 - NOD32 4049 2009.05.01 - Norman 6.01.05 2009.04.30 - nProtect 2009.1.8.0 2009.05.03 - Panda 10.0.0.14 2009.05.03 - PCTools 4.4.2.0 2009.05.02 - Prevx1 3.0 2009.05.03 - Rising 21.27.41.00 2009.05.01 - Sophos 4.41.0 2009.05.03 - Sunbelt 3.2.1858.2 2009.05.02 - Symantec 1.4.4.12 2009.05.03 - TheHacker 6.3.4.1.317 2009.05.02 - TrendMicro 8.950.0.1092 2009.05.01 - VBA32 3.12.10.4 2009.05.03 - ViRobot 2009.5.1.1717 2009.05.01 - VirusBuster 4.6.5.0 2009.05.02 - Information additionnelle File size: 735744 bytes MD5...: e8af47dbadc708d1e640b062fd302993 SHA1..: d42e5576cea3b60ebcc77a0a17078e9ee0d70fb8 SHA256: 6d3df05b460e7be986102806984909d3116be9a6c3334262c87c68de464d17a2 SHA512: e922ec81bbbbb447aa90ba1ae22f658eb894ff9d089c626cb286aba7064f5587
0d79d81b12b1334f1531885f85fc49bd5813a76ffecfa8c753122b9182dafac0 ssdeep: 12288:z2PUgQplCKi1SDWaqM/b7gx11nSRRBVQ4TlY88Osf/:zsUUAWaqM3gx11n
oqKmf/
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xecb1
timedatestamp.....: 0x49900b43 (Mon Feb 09 10:53:55 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9dbc7 0x9dc00 6.60 f778efb71f987549c71f5c2121d6caa5
.data 0x9f000 0x4474 0x4000 2.55 42957bad8558dba8352482f0eaf868a9
.rsrc 0xa4000 0xac54 0xae00 3.50 e6d775b2dcd2abdb1673c74b3e60dcab
.reloc 0xaf000 0x6a68 0x6c00 6.78 fff0bf08cb23c2cc6787046aae3372f4

( 13 imports )
> ADVAPI32.dll: GetUserNameA, RegisterTraceGuidsW, TraceEvent, LsaClose, CredFree, CredUnmarshalCredentialW, SystemFunction036, RegQueryValueExA, SystemFunction005, SystemFunction004, RegSetValueExA, RegDeleteKeyA, RegCreateKeyExA, CryptAcquireContextA, CryptGetProvParam, CryptSetKeyParam, CryptCreateHash, SystemFunction040, CryptHashData, CryptDeriveKey, CryptDestroyHash, CryptGetHashParam, CryptGetKeyParam, CryptExportKey, LsaRetrievePrivateData, LsaStorePrivateData, AllocateAndInitializeSid, FreeSid, GetSidIdentifierAuthority, GetSidSubAuthority, LookupAccountNameW, LogonUserW, IsValidSid, A_SHAInit, A_SHAUpdate, A_SHAFinal, ImpersonateSelf, SetThreadToken, OpenSCManagerW, QueryServiceStatus, ChangeServiceConfigW, EnumDependentServicesW, ControlService, StartServiceW, OpenServiceW, QueryServiceConfigW, CloseServiceHandle, RegCreateKeyW, LsaSetDomainInformationPolicy, LookupAccountSidW, LsaSetInformationPolicy, AccessCheck, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, SetSecurityDescriptorDacl, RegLoadKeyW, RegUnLoadKeyW, LsaQueryDomainInformationPolicy, LsaQueryTrustedDomainInfoByName, LsaCreateTrustedDomainEx, LsaOpenTrustedDomain, LsaOpenTrustedDomainByName, LsaDelete, ImpersonateLoggedOnUser, SystemFunction029, SystemFunction007, LsaICLookupSidsWithCreds, LsaICLookupNamesWithCreds, ConvertSidToStringSidW, LsaOpenPolicy, LsaQueryInformationPolicy, EqualSid, LsaICLookupSids, LsaICLookupNames, GetWindowsAccountDomainSid, EqualDomainSid, ConvertStringSidToSidW, DuplicateTokenEx, AllocateLocallyUniqueId, OpenProcessToken, GetTokenInformation, FileEncryptionStatusW, I_ScIsSecurityProcess, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, IsWellKnownSid, MD5Init, MD5Update, MD5Final, CheckTokenMembership, ReportEventA, RegDeleteKeyW, CryptGenKey, SystemFunction035, IsTokenRestricted, RegNotifyChangeKeyValue, RegOpenKeyW, GetSidSubAuthorityCount, CryptGetUserKey, CryptAcquireContextW, AdjustTokenPrivileges, RegisterEventSourceW, ReportEventW, DeregisterEventSource, CryptDecrypt, CryptImportKey, CryptDestroyKey, RevertToSelf, CryptEncrypt, GetLengthSid, CopySid, CryptGenRandom, LsaFreeMemory, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, CryptSetProvParam, CryptReleaseContext, OpenThreadToken, CredpEncodeCredential, CredpDecodeCredential, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, RegOpenKeyExA, GetTraceLoggerHandle
> KERNEL32.dll: GetDiskFreeSpaceA, GlobalMemoryStatus, SetComputerNameExW, DebugBreak, OpenFileMappingW, GetModuleFileNameA, GetProfileStringA, CreateFileA, GetVersionExA, GetModuleHandleA, DuplicateHandle, CompareFileTime, lstrcmpW, DeleteCriticalSection, InitializeCriticalSection, FlushViewOfFile, GetSystemDirectoryW, GetDriveTypeW, IsBadWritePtr, FlushFileBuffers, GetLocalTime, MoveFileW, CopyFileW, GetWindowsDirectoryW, VerifyVersionInfoA, GetComputerNameA, ExitThread, GetThreadLocale, SetThreadLocale, LocalReAlloc, MultiByteToWideChar, WideCharToMultiByte, GetDateFormatW, FileTimeToLocalFileTime, GetTimeFormatW, SetWaitableTimer, OpenProcess, CompareStringW, CreateWaitableTimerW, LoadLibraryA, VerifyVersionInfoW, SetProcessShutdownParameters, SetConsoleCtrlHandler, OpenEventW, SetEnvironmentVariableW, GetEnvironmentVariableW, OutputDebugStringA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, QueryPerformanceCounter, DisableThreadLibraryCalls, InterlockedCompareExchange, CreateMutexW, ReleaseMutex, GetSystemTime, SystemTimeToFileTime, FileTimeToSystemTime, ReleaseSemaphore, SetProcessWorkingSetSize, CreateSemaphoreW, InitializeCriticalSectionAndSpinCount, EnterCriticalSection, LeaveCriticalSection, lstrcmpiW, SearchPathW, TlsAlloc, RaiseException, QueueUserWorkItem, CreateTimerQueueTimer, RegisterWaitForSingleObjectEx, DeleteTimerQueueTimer, UnregisterWaitEx, WaitForSingleObjectEx, HeapFree, MapViewOfFileEx, VirtualAllocEx, ExpandEnvironmentStringsW, GetComputerNameExW, FormatMessageW, GetTickCount, GetCurrentProcess, GetCurrentThreadId, SetEvent, GetSystemDefaultLCID, GetLocaleInfoW, FreeLibrary, FindFirstFileW, lstrcpyW, GetModuleFileNameW, GetModuleHandleW, CloseHandle, GetLastError, CreateThread, lstrlenA, LocalFree, InterlockedDecrement, InterlockedIncrement, TlsSetValue, TlsGetValue, LocalAlloc, VirtualFree, VirtualLock, VirtualAlloc, DnsHostnameToComputerNameW, SetFileAttributesW, CreateDirectoryW, lstrlenW, GetCurrentThread, GetProcAddress, LoadLibraryW, CreateFileW, DeleteFileW, GetSystemTimeAsFileTime, WriteFile, GetComputerNameW, ReadFile, GetFileSize, ResetEvent, Sleep, InterlockedExchange, SetLastError, IsBadReadPtr, GetVolumePathNameW, DeviceIoControl, UnmapViewOfFile, MapViewOfFile, GetFileAttributesW, GetVolumeInformationW, WaitForSingleObject, CreateFileMappingW, SetFilePointer, GetSystemInfo, SetFileTime, GetFileTime, GetCurrentProcessId, CreateEventW, GetVersionExW, FindClose, FindNextFileW
> MPR.dll: WNetCancelConnection2W, WNetAddConnection2W
> MSASN1.dll: ASN1DecAlloc, ASN1BERDecObjectIdentifier, ASN1BERDecEndOfContents, ASN1BEREncExplicitTag, ASN1BEREncObjectIdentifier, ASN1BEREncEndOfContents, ASN1_CreateModule, ASN1BEREncOctetString, ASN1BERDecPeekTag, ASN1Free, ASN1objectidentifier_free, ASN1BERDecOctetString, ASN1octetstring_free, ASN1ztcharstring_free, ASN1BEREncU32, ASN1BERDecU32Val, ASN1DecSetError, ASN1BEREncBitString, ASN1BERDecNotEndOfContents, ASN1BEREncCharString, ASN1BERDecZeroCharString, ASN1BEREncRemoveZeroBits, ASN1BERDecBitString, ASN1bitstring_free, ASN1_CreateDecoder, ASN1_CreateEncoder, ASN1_CloseDecoder, ASN1_FreeDecoded, ASN1_Encode, ASN1_FreeEncoded, ASN1_Decode, ASN1_CloseEncoder, ASN1BERDecExplicitTag
> msvcrt.dll: _resetstkoflw, _ultoa, wcstol, _vsnprintf, strrchr, _strnicmp, strchr, _strcmpi, _ltow, _except_handler3, wcsncpy, swprintf, wcscmp, wcscat, wcscpy, _wcsicmp, wcschr, wcsrchr, memmove, wcslen, mbstowcs, strncpy, sprintf, _snwprintf, _wcsnicmp, wcsncat, qsort, wcsncmp, wcsstr, free, malloc
> NETAPI32.dll: NetUserGetInfo, DsGetDcNameW, DsEnumerateDomainTrustsW, NetShareGetInfo, DsRoleFreeMemory, Netbios, NetUseDel, DsGetDcNameWithAccountW, NetUseAdd, I_NetNameValidate, NetApiBufferAllocate, NetAlertRaiseEx, I_NetNameCanonicalize, NetUserModalsGet, NetShareDel, NetRemoteTOD, NetApiBufferFree
> ntdll.dll: RtlDeleteCriticalSection, RtlLeaveCriticalSection, RtlEnterCriticalSection, RtlInitializeCriticalSection, NtQuerySystemTime, RtlEqualUnicodeString, RtlInitUnicodeString, RtlUpcaseUnicodeStringToOemString, RtlFreeUnicodeString, RtlConvertSidToUnicodeString, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, RtlInitAnsiString, NtClose, NtQueryInformationToken, NtOpenThreadToken, RtlLengthSid, RtlEqualSid, RtlNtStatusToDosError, RtlRegisterWait, RtlDeregisterWait, RtlAcquireResourceShared, RtlReleaseResource, NtSetInformationThread, NtQueryInformationFile, NtFsControlFile, NtCreateFile, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, RtlAddAccessAllowedAceEx, RtlSubAuthoritySid, RtlInitializeSid, RtlLengthRequiredSid, NtReadFile, NtSetInformationFile, RtlFreeHeap, RtlDosPathNameToNtPathName_U, NtFlushBuffersFile, RtlGetDaclSecurityDescriptor, NtWriteFile, NtQueryVolumeInformationFile, RtlAcquireResourceExclusive, NtQueryObject, RtlCompareMemory, RtlAllocateAndInitializeSid, NtSetEvent, NtOpenEvent, NtCreateEvent, RtlInitializeResource, NtSetSecurityObject, RtlAddAccessAllowedAce, RtlCreateAcl, NtCreatePort, NtCompleteConnectPort, NtAcceptConnectPort, NtReplyPort, NtReplyWaitReceivePort, NtFreeVirtualMemory, NtAllocateVirtualMemory, RtlAnsiStringToUnicodeString, NtRequestWaitReplyPort, RtlCompareUnicodeString, NtDuplicateObject, RtlCreateUnicodeStringFromAsciiz, RtlInitString, RtlGetNtProductType, RtlRunDecodeUnicodeString, NtAllocateLocallyUniqueId, RtlSubAuthorityCountSid, RtlCopySid, RtlTimeFieldsToTime, RtlCopyUnicodeString, RtlCreateHeap, NtMapViewOfSection, NtUnmapViewOfSection, RtlDestroyHeap, RtlAllocateHeap, DbgBreakPoint, NtOpenProcessToken, NtQuerySystemInformation, NtPrivilegedServiceAuditAlarm, NtPrivilegeCheck, NtOpenProcess, NtOpenThread, NtQueryInformationProcess, NtWriteVirtualMemory, NtReadVirtualMemory, NtImpersonateClientOfPort, RtlImpersonateSelf, NtWaitForSingleObject, NtSetInformationObject, NtSetInformationToken, NtDuplicateToken, RtlCopyLuid, NtQueryValueKey, NtOpenKey, NtDeviceIoControlFile, NtOpenFile, RtlQueryInformationAcl, VerSetConditionMask, RtlAdjustPrivilege, NtCreateToken, RtlSetOwnerSecurityDescriptor, RtlIdentifierAuthoritySid, NtQuerySymbolicLinkObject, NtOpenSymbolicLinkObject, RtlCopyString, RtlEqualString, NtListenPort, NtConnectPort, NtRaiseHardError, NtFlushKey, NtSetValueKey, NtImpersonateAnonymousToken, NtAdjustPrivilegesToken, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, RtlAppendUnicodeToString, NtEnumerateValueKey, NtEnumerateKey, RtlValidSid, RtlPrefixUnicodeString, RtlConvertSharedToExclusive, RtlEqualDomainName, RtlGetAce, RtlLengthSecurityDescriptor, RtlMakeSelfRelativeSD, RtlRandom, NtQueryInformationThread, RtlFreeSid, RtlpNtOpenKey, RtlInitializeRXact, RtlDeleteElementGenericTableAvl, RtlInitializeGenericTableAvl, RtlLookupElementGenericTableAvl, RtlEnumerateGenericTableAvl, RtlInsertElementGenericTableAvl, RtlConvertExclusiveToShared, RtlpNtEnumerateSubKey, NtDeleteObjectAuditAlarm, RtlVerifyVersionInfo, LdrLoadDll, RtlpNtQueryValueKey, RtlAreAllAccessesGranted, NtAccessCheckByTypeAndAuditAlarm, NtAccessCheckByTypeResultListAndAuditAlarm, RtlMapGenericMask, RtlSetSecurityObject, RtlNewSecurityObject, NtAccessCheckAndAuditAlarm, RtlIntegerToChar, NtPrivilegeObjectAuditAlarm, NtQuerySecurityObject, RtlFreeOemString, RtlUnicodeStringToOemString, RtlOemStringToUnicodeString, RtlImageNtHeader, RtlValidRelativeSecurityDescriptor, RtlStartRXact, RtlAbortRXact, RtlApplyRXact, RtlAddActionToRXact, NtCloseObjectAuditAlarm, RtlUnicodeStringToInteger, RtlTimeToSecondsSince1970, RtlRunEncodeUnicodeString, NtSetSystemTime, NtResetEvent, RtlMoveMemory, DbgPrint
> NTDSAPI.dll: DsFreeNameResultW, DsCrackNamesW, DsBindW, DsCrackSpn3W, DsUnBindW
> RPCRT4.dll: UuidToStringW, RpcServerListen, I_RpcExceptionFilter, RpcBindingVectorFree, RpcEpRegisterW, RpcServerInqBindings, RpcRevertToSelf, RpcImpersonateClient, UuidCreate, I_RpcMapWin32Status, NdrServerCall2, RpcBindingServerFromClient, RpcBindingToStringBindingW, RpcStringBindingParseW, RpcStringFreeW, RpcServerUseProtseqEpW, RpcServerRegisterAuthInfoW, I_RpcBindingInqLocalClientPID, I_RpcBindingIsClientLocal, I_RpcBindingInqTransportType, RpcUserFree, RpcMgmtEnableIdleCleanup, RpcBindingInqAuthClientW, RpcBindingSetAuthInfoW, RpcSsGetContextBinding, NdrClientCall2, RpcBindingFromStringBindingW, RpcBindingFree, RpcStringBindingComposeW, RpcServerInqDefaultPrincNameW, RpcServerRegisterIf, NdrMesTypeDecode2, NdrMesTypeEncode2, NdrMesTypeAlignSize2, MesDecodeIncrementalHandleCreate, MesEncodeIncrementalHandleCreate, RpcRevertToSelfEx, RpcServerUnregisterIf, RpcServerRegisterIfEx, UuidFromStringW, RpcBindingSetAuthInfoExW, RpcEpResolveBinding, RpcNetworkIsProtseqValidW, MesHandleFree, MesIncrementalHandleReset
> SAMLIB.dll: SamFreeMemory
> SAMSRV.dll: SamIChangePasswordForeignUser2, SamrOpenUser, SamIFree_SAMPR_ULONG_ARRAY, SamIOpenUserByAlternateId, SamrCloseHandle, SamIFree_SAMPR_GET_GROUPS_BUFFER, SamIFree_SAMPR_USER_INFO_BUFFER, SamrGetGroupsForUser, SamrQueryInformationUser, SamIFreeSidAndAttributesList, SamIGetUserLogonInformation, SampUsingDsData, SamIFreeSidArray, SamIGetResourceGroupMembershipsTransitive, SamIIsSetupInProgress, SamrOpenDomain, SamIConnect, SamIGetAliasMembership, SamISetAuditingInformation, SamIQueryServerRole, SamrEnumerateUsersInDomain, SamIAmIGC, SamIMixedDomain, SamIIsDownlevelDcUpgrade, SamIGetBootKeyInformation, SamIDoFSMORoleChange, SamIIsRebootAfterPromotion, SamIGCLookupNames, SamIFreeVoid, SamrRidToSid, SamIIsExtendedSidMode, SamIFree_SAMPR_RETURNED_USTRING_ARRAY, SamrLookupIdsInDomain, SamIGCLookupSids, SamrSetInformationUser, SamrCreateUser2InDomain, SamrDeleteUser, SamIGetInterdomainTrustAccountPasswordsForUpgrade, SamIEnumerateInterdomainTrustAccountsForUpgrade, SamIMixedDomain2, SamrLookupNamesInDomain
> Secur32.dll: CredUnmarshalTargetInfo, SecpTranslateNameEx, SecpTranslateName, SecCacheSspiPackages, LsaRegisterPolicyChangeNotification, SecpFreeMemory
> USER32.dll: GetSystemMetrics, wsprintfW, LoadStringW, GetMessageTime, GetCursorPos

( 147 exports )
DsRolerDcAsDc, DsRolerDcAsReplica, DsRolerDemoteDc, DsRolerGetDcOperationProgress, DsRolerGetDcOperationResults, LsaIAddNameToLogonSession, LsaIAllocateHeap, LsaIAllocateHeapZero, LsaIAuditAccountLogon, LsaIAuditAccountLogonEx, LsaIAuditKdcEvent, LsaIAuditKerberosLogon, LsaIAuditLogonUsingExplicitCreds, LsaIAuditNotifyPackageLoad, LsaIAuditPasswordAccessEvent, LsaIAuditSamEvent, LsaICallPackage, LsaICallPackageEx, LsaICallPackagePassthrough, LsaICancelNotification, LsaIChangeSecretCipherKey, LsaICryptProtectData, LsaICryptUnprotectData, LsaIDsNotifiedObjectChange, LsaIEnumerateSecrets, LsaIEventNotify, LsaIFilterSids, LsaIForestTrustFindMatch, LsaIFreeForestTrustInfo, LsaIFreeHeap, LsaIFreeReturnBuffer, LsaIFree_LSAI_PRIVATE_DATA, LsaIFree_LSAI_SECRET_ENUM_BUFFER, LsaIFree_LSAPR_ACCOUNT_ENUM_BUFFER, LsaIFree_LSAPR_CR_CIPHER_VALUE, LsaIFree_LSAPR_POLICY_DOMAIN_INFORMATION, LsaIFree_LSAPR_POLICY_INFORMATION, LsaIFree_LSAPR_PRIVILEGE_ENUM_BUFFER, LsaIFree_LSAPR_PRIVILEGE_SET, LsaIFree_LSAPR_REFERENCED_DOMAIN_LIST, LsaIFree_LSAPR_SR_SECURITY_DESCRIPTOR, LsaIFree_LSAPR_TRANSLATED_NAMES, LsaIFree_LSAPR_TRANSLATED_SIDS, LsaIFree_LSAPR_TRUSTED_DOMAIN_INFO, LsaIFree_LSAPR_TRUSTED_ENUM_BUFFER, LsaIFree_LSAPR_TRUSTED_ENUM_BUFFER_EX, LsaIFree_LSAPR_TRUST_INFORMATION, LsaIFree_LSAPR_UNICODE_STRING, LsaIFree_LSAPR_UNICODE_STRING_BUFFER, LsaIFree_LSAP_SITENAME_INFO, LsaIFree_LSAP_SITE_INFO, LsaIFree_LSAP_SUBNET_INFO, LsaIFree_LSAP_UPN_SUFFIXES, LsaIFree_LSA_FOREST_TRUST_COLLISION_INFORMATION, LsaIFree_LSA_FOREST_TRUST_INFORMATION, LsaIGetBootOption, LsaIGetCallInfo, LsaIGetForestTrustInformation, LsaIGetLogonGuid, LsaIGetNbAndDnsDomainNames, LsaIGetPrivateData, LsaIGetSerialNumberPolicy, LsaIGetSerialNumberPolicy2, LsaIGetSiteName, LsaIHealthCheck, LsaIImpersonateClient, LsaIInitializeWellKnownSids, LsaIIsClassIdLsaClass, LsaIIsDsPaused, LsaIKerberosRegisterTrustNotification, LsaILookupWellKnownName, LsaINotifyChangeNotification, LsaINotifyNetlogonParametersChangeW, LsaINotifyPasswordChanged, LsaIOpenPolicyTrusted, LsaIQueryForestTrustInfo, LsaIQueryInformationPolicyTrusted, LsaIQuerySiteInfo, LsaIQuerySubnetInfo, LsaIQueryUpnSuffixes, LsaIRegisterNotification, LsaIRegisterPolicyChangeNotificationCallback, LsaISafeMode, LsaISamIndicatedDsStarted, LsaISetBootOption, LsaISetClientDnsHostName, LsaISetLogonGuidInLogonSession, LsaISetPrivateData, LsaISetSerialNumberPolicy, LsaISetTimesSecret, LsaISetupWasRun, LsaITestCall, LsaIUnregisterAllPolicyChangeNotificationCallback, LsaIUnregisterPolicyChangeNotificationCallback, LsaIUpdateForestTrustInformation, LsaIWriteAuditEvent, LsapAuOpenSam, LsapCheckBootMode, LsapDsDebugInitialize, LsapDsInitializeDsStateInfo, LsapDsInitializePromoteInterface, LsapInitLsa, LsarAddPrivilegesToAccount, LsarClose, LsarCreateAccount, LsarCreateSecret, LsarCreateTrustedDomain, LsarCreateTrustedDomainEx, LsarDelete, LsarEnumerateAccounts, LsarEnumeratePrivileges, LsarEnumeratePrivilegesAccount, LsarEnumerateTrustedDomains, LsarEnumerateTrustedDomainsEx, LsarGetQuotasForAccount, LsarGetSystemAccessAccount, LsarLookupNames, LsarLookupPrivilegeDisplayName, LsarLookupPrivilegeName, LsarLookupPrivilegeValue, LsarLookupSids, LsarLookupSids2, LsarOpenAccount, LsarOpenPolicy, LsarOpenPolicySce, LsarOpenSecret, LsarOpenTrustedDomain, LsarOpenTrustedDomainByName, LsarQueryDomainInformationPolicy, LsarQueryForestTrustInformation, LsarQueryInfoTrustedDomain, LsarQueryInformationPolicy, LsarQuerySecret, LsarQuerySecurityObject, LsarQueryTrustedDomainInfo, LsarQueryTrustedDomainInfoByName, LsarRemovePrivilegesFromAccount, LsarSetDomainInformationPolicy, LsarSetForestTrustInformation, LsarSetInformationPolicy, LsarSetInformationTrustedDomain, LsarSetQuotasForAccount, LsarSetSecret, LsarSetSecurityObject, LsarSetSystemAccessAccount, LsarSetTrustedDomainInfoByName, ServiceInit
PDFiD.: - RDS...: NSRL Reference Data Set
-

afideg · Answer

Bonjour,
Merci.

A)- Pas d'infection dans ce fichier lsasrv.dll , mais je ne suis pas certain du quel il s'agit. 
En effet:
1°- Au post # 14 B), on lit que le fichier lsasrv.dll est situé dans deux répertoires différents:
c:\windows\system32\lsasrv.dll 
c:\windows\system32\dllcache\lsasrv.dll 
c:\windows\system32\dllcache\wmiprvse.e­xe (pas analysé?)
2°- Celui en "dllcache" avait été renommé par ComboFix en Suspect_lsasrv.dll.vir  (que je crois, sans en être sûr, tu as pu supprimer)
Se trouvait-il bien là c:\windows\system32\dllcache\Suspect_lsasrv.dll.vir  ?
Lance une recherche de ce fichier Suspect_lsasrv.dll.vir pour vérifier s'il est encore en c:\windows\system32\dllcache (relire post # 24)
3°- Post # 32 tu me donnes le rapport "Fichier lsasrv.dll (MD5...: e8af47dbadc708d1e640b062fd302993) reçu le 2009.05.03 13:44:20" uniquement.
Mais est-ce celui-ci c:\windows\system32\lsasrv.dll ou celui-là (éventuellement) c:\windows\system32\dllcache\lsasrv.dll  
4°- ==> et celui-ci c:\windows\system32\dllcache\Suspect_lsasrv.dll.vir, y est-il encore 
==> si OUI, fais-en faire l'analyse chez VirusTotal.
Merci.


B) DESINSTALLER COMBOFIX
Cliquer sur "Démarrer", puis sur "Exécuter" 
Copier/Coller  combofix /u  et valider [OK]
Regarde là http://i189.photobucket.com/albums/z176/EPL47/CF_Cleanup.png 
==> Supprime ensuite à la main les dossiers suivants:
C:\QooBox
c:\documents and settings\Titou\Bureau\ComboFix.exe 
c:\ComboFix-quarantined-files.txt
Vide ta Corbeille ensuite éventuellement.



C) Pour se débarrasser des outils utilisés à l'occasion, et devenus particulièrement caducs et obsolètes (parce que ce sont parfois des outils dangereux lorsqu'ils ne sont pas mis à jour), il y a lieu d'appliquer ceci:
Télécharge ToolsCleaner (de A.Rothstein) à l’aide de ce lien : 
< http://pc-system.fr/ >, et enregistre-le sur le “Bureau”.
Et exécute-le.
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser. 
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).



D) Telecharge UsbFix en maintenance par Cédric (merci)

http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe  par Cédric
--> Lance l’installation avec les paramètres par « default » 

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc.) suceptibles d'avoir été infectées sans les ouvrir 

Double-cliquer sur le raccourci UsbFix présent sur ton bureau .
-->choisis l' option 1 (nettoyage) 
--> Le pc va redémarrer 
-->Apres redémarrage poster le rapport UsbFix.txt qui apparaitra. 

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) ( CTRL+A pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
 
À confirmer : « Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectées, et sans les ouvrir »
- Double clic sur le raccourci UsbFix présent sur ton bureau 
- choisis l’option 2 ( Suppression )- Ton bureau disparaîtra et le pc redémarrera. 
- Au redémarrage, UsbFix scannera ton pc, laisse travailler l outil. 
- Ensuite poster le rapport UsbFix.txt qui apparaîtra avec le bureau. 
- Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque C:\UsbFix.txt  
( CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )



Merci
Al.

richard13 · Answer

le 1er rapport est le rapport du fichier c:\windows\system32\lsasrv.dll voici le rapport du 2e fichier c:\windows\system32\dllcache\lsasrv.dll Fichier lsasrv.dll_ reçu le 2009.05.03 13:46:39 (CET)Antivirus Version Dernière mise à jour Résultat a-squared 4.0.0.101 2009.05.03 - AhnLab-V3 5.0.0.2 2009.05.01 - AntiVir 7.9.0.160 2009.05.02 - Antiy-AVL 2.0.3.1 2009.04.30 - Authentium 5.1.2.4 2009.05.02 - Avast 4.8.1335.0 2009.05.02 - AVG 8.5.0.327 2009.05.02 - BitDefender 7.2 2009.05.03 - CAT-QuickHeal 10.00 2009.05.02 - ClamAV 0.94.1 2009.05.03 - Comodo 1147 2009.05.02 - DrWeb 4.44.0.09170 2009.05.03 - eSafe 7.0.17.0 2009.04.30 - eTrust-Vet 31.6.6487 2009.05.02 - F-Prot 4.4.4.56 2009.05.02 - F-Secure 8.0.14470.0 2009.05.02 - Fortinet 3.117.0.0 2009.05.03 - GData 19 2009.05.03 - Ikarus T3.1.1.49.0 2009.05.03 - K7AntiVirus 7.10.722 2009.05.02 - Kaspersky 7.0.0.125 2009.05.03 - McAfee 5603 2009.05.02 - McAfee+Artemis 5603 2009.05.02 - McAfee-GW-Edition 6.7.6 2009.05.02 - Microsoft 1.4602 2009.05.03 - NOD32 4049 2009.05.01 - Norman 6.01.05 2009.04.30 - nProtect 2009.1.8.0 2009.05.03 - Panda 10.0.0.14 2009.05.03 - PCTools 4.4.2.0 2009.05.02 - Prevx1 3.0 2009.05.03 - Rising 21.27.41.00 2009.05.01 - Sophos 4.41.0 2009.05.03 - Sunbelt 3.2.1858.2 2009.05.02 - Symantec 1.4.4.12 2009.05.03 - TheHacker 6.3.4.1.317 2009.05.02 - TrendMicro 8.950.0.1092 2009.05.01 - VBA32 3.12.10.4 2009.05.03 - ViRobot 2009.5.1.1717 2009.05.01 - VirusBuster 4.6.5.0 2009.05.02 - Information additionnelle File size: 735744 bytes MD5...: e8af47dbadc708d1e640b062fd302993 SHA1..: d42e5576cea3b60ebcc77a0a17078e9ee0d70fb8 SHA256: 6d3df05b460e7be986102806984909d3116be9a6c3334262c87c68de464d17a2 SHA512: e922ec81bbbbb447aa90ba1ae22f658eb894ff9d089c626cb286aba7064f5587
0d79d81b12b1334f1531885f85fc49bd5813a76ffecfa8c753122b9182dafac0 ssdeep: 12288:z2PUgQplCKi1SDWaqM/b7gx11nSRRBVQ4TlY88Osf/:zsUUAWaqM3gx11n
oqKmf/
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xecb1
timedatestamp.....: 0x49900b43 (Mon Feb 09 10:53:55 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9dbc7 0x9dc00 6.60 f778efb71f987549c71f5c2121d6caa5
.data 0x9f000 0x4474 0x4000 2.55 42957bad8558dba8352482f0eaf868a9
.rsrc 0xa4000 0xac54 0xae00 3.50 e6d775b2dcd2abdb1673c74b3e60dcab
.reloc 0xaf000 0x6a68 0x6c00 6.78 fff0bf08cb23c2cc6787046aae3372f4

( 13 imports )
> ADVAPI32.dll: GetUserNameA, RegisterTraceGuidsW, TraceEvent, LsaClose, CredFree, CredUnmarshalCredentialW, SystemFunction036, RegQueryValueExA, SystemFunction005, SystemFunction004, RegSetValueExA, RegDeleteKeyA, RegCreateKeyExA, CryptAcquireContextA, CryptGetProvParam, CryptSetKeyParam, CryptCreateHash, SystemFunction040, CryptHashData, CryptDeriveKey, CryptDestroyHash, CryptGetHashParam, CryptGetKeyParam, CryptExportKey, LsaRetrievePrivateData, LsaStorePrivateData, AllocateAndInitializeSid, FreeSid, GetSidIdentifierAuthority, GetSidSubAuthority, LookupAccountNameW, LogonUserW, IsValidSid, A_SHAInit, A_SHAUpdate, A_SHAFinal, ImpersonateSelf, SetThreadToken, OpenSCManagerW, QueryServiceStatus, ChangeServiceConfigW, EnumDependentServicesW, ControlService, StartServiceW, OpenServiceW, QueryServiceConfigW, CloseServiceHandle, RegCreateKeyW, LsaSetDomainInformationPolicy, LookupAccountSidW, LsaSetInformationPolicy, AccessCheck, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, SetSecurityDescriptorDacl, RegLoadKeyW, RegUnLoadKeyW, LsaQueryDomainInformationPolicy, LsaQueryTrustedDomainInfoByName, LsaCreateTrustedDomainEx, LsaOpenTrustedDomain, LsaOpenTrustedDomainByName, LsaDelete, ImpersonateLoggedOnUser, SystemFunction029, SystemFunction007, LsaICLookupSidsWithCreds, LsaICLookupNamesWithCreds, ConvertSidToStringSidW, LsaOpenPolicy, LsaQueryInformationPolicy, EqualSid, LsaICLookupSids, LsaICLookupNames, GetWindowsAccountDomainSid, EqualDomainSid, ConvertStringSidToSidW, DuplicateTokenEx, AllocateLocallyUniqueId, OpenProcessToken, GetTokenInformation, FileEncryptionStatusW, I_ScIsSecurityProcess, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, IsWellKnownSid, MD5Init, MD5Update, MD5Final, CheckTokenMembership, ReportEventA, RegDeleteKeyW, CryptGenKey, SystemFunction035, IsTokenRestricted, RegNotifyChangeKeyValue, RegOpenKeyW, GetSidSubAuthorityCount, CryptGetUserKey, CryptAcquireContextW, AdjustTokenPrivileges, RegisterEventSourceW, ReportEventW, DeregisterEventSource, CryptDecrypt, CryptImportKey, CryptDestroyKey, RevertToSelf, CryptEncrypt, GetLengthSid, CopySid, CryptGenRandom, LsaFreeMemory, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, CryptSetProvParam, CryptReleaseContext, OpenThreadToken, CredpEncodeCredential, CredpDecodeCredential, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, RegOpenKeyExA, GetTraceLoggerHandle
> KERNEL32.dll: GetDiskFreeSpaceA, GlobalMemoryStatus, SetComputerNameExW, DebugBreak, OpenFileMappingW, GetModuleFileNameA, GetProfileStringA, CreateFileA, GetVersionExA, GetModuleHandleA, DuplicateHandle, CompareFileTime, lstrcmpW, DeleteCriticalSection, InitializeCriticalSection, FlushViewOfFile, GetSystemDirectoryW, GetDriveTypeW, IsBadWritePtr, FlushFileBuffers, GetLocalTime, MoveFileW, CopyFileW, GetWindowsDirectoryW, VerifyVersionInfoA, GetComputerNameA, ExitThread, GetThreadLocale, SetThreadLocale, LocalReAlloc, MultiByteToWideChar, WideCharToMultiByte, GetDateFormatW, FileTimeToLocalFileTime, GetTimeFormatW, SetWaitableTimer, OpenProcess, CompareStringW, CreateWaitableTimerW, LoadLibraryA, VerifyVersionInfoW, SetProcessShutdownParameters, SetConsoleCtrlHandler, OpenEventW, SetEnvironmentVariableW, GetEnvironmentVariableW, OutputDebugStringA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, QueryPerformanceCounter, DisableThreadLibraryCalls, InterlockedCompareExchange, CreateMutexW, ReleaseMutex, GetSystemTime, SystemTimeToFileTime, FileTimeToSystemTime, ReleaseSemaphore, SetProcessWorkingSetSize, CreateSemaphoreW, InitializeCriticalSectionAndSpinCount, EnterCriticalSection, LeaveCriticalSection, lstrcmpiW, SearchPathW, TlsAlloc, RaiseException, QueueUserWorkItem, CreateTimerQueueTimer, RegisterWaitForSingleObjectEx, DeleteTimerQueueTimer, UnregisterWaitEx, WaitForSingleObjectEx, HeapFree, MapViewOfFileEx, VirtualAllocEx, ExpandEnvironmentStringsW, GetComputerNameExW, FormatMessageW, GetTickCount, GetCurrentProcess, GetCurrentThreadId, SetEvent, GetSystemDefaultLCID, GetLocaleInfoW, FreeLibrary, FindFirstFileW, lstrcpyW, GetModuleFileNameW, GetModuleHandleW, CloseHandle, GetLastError, CreateThread, lstrlenA, LocalFree, InterlockedDecrement, InterlockedIncrement, TlsSetValue, TlsGetValue, LocalAlloc, VirtualFree, VirtualLock, VirtualAlloc, DnsHostnameToComputerNameW, SetFileAttributesW, CreateDirectoryW, lstrlenW, GetCurrentThread, GetProcAddress, LoadLibraryW, CreateFileW, DeleteFileW, GetSystemTimeAsFileTime, WriteFile, GetComputerNameW, ReadFile, GetFileSize, ResetEvent, Sleep, InterlockedExchange, SetLastError, IsBadReadPtr, GetVolumePathNameW, DeviceIoControl, UnmapViewOfFile, MapViewOfFile, GetFileAttributesW, GetVolumeInformationW, WaitForSingleObject, CreateFileMappingW, SetFilePointer, GetSystemInfo, SetFileTime, GetFileTime, GetCurrentProcessId, CreateEventW, GetVersionExW, FindClose, FindNextFileW
> MPR.dll: WNetCancelConnection2W, WNetAddConnection2W
> MSASN1.dll: ASN1DecAlloc, ASN1BERDecObjectIdentifier, ASN1BERDecEndOfContents, ASN1BEREncExplicitTag, ASN1BEREncObjectIdentifier, ASN1BEREncEndOfContents, ASN1_CreateModule, ASN1BEREncOctetString, ASN1BERDecPeekTag, ASN1Free, ASN1objectidentifier_free, ASN1BERDecOctetString, ASN1octetstring_free, ASN1ztcharstring_free, ASN1BEREncU32, ASN1BERDecU32Val, ASN1DecSetError, ASN1BEREncBitString, ASN1BERDecNotEndOfContents, ASN1BEREncCharString, ASN1BERDecZeroCharString, ASN1BEREncRemoveZeroBits, ASN1BERDecBitString, ASN1bitstring_free, ASN1_CreateDecoder, ASN1_CreateEncoder, ASN1_CloseDecoder, ASN1_FreeDecoded, ASN1_Encode, ASN1_FreeEncoded, ASN1_Decode, ASN1_CloseEncoder, ASN1BERDecExplicitTag
> msvcrt.dll: _resetstkoflw, _ultoa, wcstol, _vsnprintf, strrchr, _strnicmp, strchr, _strcmpi, _ltow, _except_handler3, wcsncpy, swprintf, wcscmp, wcscat, wcscpy, _wcsicmp, wcschr, wcsrchr, memmove, wcslen, mbstowcs, strncpy, sprintf, _snwprintf, _wcsnicmp, wcsncat, qsort, wcsncmp, wcsstr, free, malloc
> NETAPI32.dll: NetUserGetInfo, DsGetDcNameW, DsEnumerateDomainTrustsW, NetShareGetInfo, DsRoleFreeMemory, Netbios, NetUseDel, DsGetDcNameWithAccountW, NetUseAdd, I_NetNameValidate, NetApiBufferAllocate, NetAlertRaiseEx, I_NetNameCanonicalize, NetUserModalsGet, NetShareDel, NetRemoteTOD, NetApiBufferFree
> ntdll.dll: RtlDeleteCriticalSection, RtlLeaveCriticalSection, RtlEnterCriticalSection, RtlInitializeCriticalSection, NtQuerySystemTime, RtlEqualUnicodeString, RtlInitUnicodeString, RtlUpcaseUnicodeStringToOemString, RtlFreeUnicodeString, RtlConvertSidToUnicodeString, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, RtlInitAnsiString, NtClose, NtQueryInformationToken, NtOpenThreadToken, RtlLengthSid, RtlEqualSid, RtlNtStatusToDosError, RtlRegisterWait, RtlDeregisterWait, RtlAcquireResourceShared, RtlReleaseResource, NtSetInformationThread, NtQueryInformationFile, NtFsControlFile, NtCreateFile, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, RtlAddAccessAllowedAceEx, RtlSubAuthoritySid, RtlInitializeSid, RtlLengthRequiredSid, NtReadFile, NtSetInformationFile, RtlFreeHeap, RtlDosPathNameToNtPathName_U, NtFlushBuffersFile, RtlGetDaclSecurityDescriptor, NtWriteFile, NtQueryVolumeInformationFile, RtlAcquireResourceExclusive, NtQueryObject, RtlCompareMemory, RtlAllocateAndInitializeSid, NtSetEvent, NtOpenEvent, NtCreateEvent, RtlInitializeResource, NtSetSecurityObject, RtlAddAccessAllowedAce, RtlCreateAcl, NtCreatePort, NtCompleteConnectPort, NtAcceptConnectPort, NtReplyPort, NtReplyWaitReceivePort, NtFreeVirtualMemory, NtAllocateVirtualMemory, RtlAnsiStringToUnicodeString, NtRequestWaitReplyPort, RtlCompareUnicodeString, NtDuplicateObject, RtlCreateUnicodeStringFromAsciiz, RtlInitString, RtlGetNtProductType, RtlRunDecodeUnicodeString, NtAllocateLocallyUniqueId, RtlSubAuthorityCountSid, RtlCopySid, RtlTimeFieldsToTime, RtlCopyUnicodeString, RtlCreateHeap, NtMapViewOfSection, NtUnmapViewOfSection, RtlDestroyHeap, RtlAllocateHeap, DbgBreakPoint, NtOpenProcessToken, NtQuerySystemInformation, NtPrivilegedServiceAuditAlarm, NtPrivilegeCheck, NtOpenProcess, NtOpenThread, NtQueryInformationProcess, NtWriteVirtualMemory, NtReadVirtualMemory, NtImpersonateClientOfPort, RtlImpersonateSelf, NtWaitForSingleObject, NtSetInformationObject, NtSetInformationToken, NtDuplicateToken, RtlCopyLuid, NtQueryValueKey, NtOpenKey, NtDeviceIoControlFile, NtOpenFile, RtlQueryInformationAcl, VerSetConditionMask, RtlAdjustPrivilege, NtCreateToken, RtlSetOwnerSecurityDescriptor, RtlIdentifierAuthoritySid, NtQuerySymbolicLinkObject, NtOpenSymbolicLinkObject, RtlCopyString, RtlEqualString, NtListenPort, NtConnectPort, NtRaiseHardError, NtFlushKey, NtSetValueKey, NtImpersonateAnonymousToken, NtAdjustPrivilegesToken, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, RtlAppendUnicodeToString, NtEnumerateValueKey, NtEnumerateKey, RtlValidSid, RtlPrefixUnicodeString, RtlConvertSharedToExclusive, RtlEqualDomainName, RtlGetAce, RtlLengthSecurityDescriptor, RtlMakeSelfRelativeSD, RtlRandom, NtQueryInformationThread, RtlFreeSid, RtlpNtOpenKey, RtlInitializeRXact, RtlDeleteElementGenericTableAvl, RtlInitializeGenericTableAvl, RtlLookupElementGenericTableAvl, RtlEnumerateGenericTableAvl, RtlInsertElementGenericTableAvl, RtlConvertExclusiveToShared, RtlpNtEnumerateSubKey, NtDeleteObjectAuditAlarm, RtlVerifyVersionInfo, LdrLoadDll, RtlpNtQueryValueKey, RtlAreAllAccessesGranted, NtAccessCheckByTypeAndAuditAlarm, NtAccessCheckByTypeResultListAndAuditAlarm, RtlMapGenericMask, RtlSetSecurityObject, RtlNewSecurityObject, NtAccessCheckAndAuditAlarm, RtlIntegerToChar, NtPrivilegeObjectAuditAlarm, NtQuerySecurityObject, RtlFreeOemString, RtlUnicodeStringToOemString, RtlOemStringToUnicodeString, RtlImageNtHeader, RtlValidRelativeSecurityDescriptor, RtlStartRXact, RtlAbortRXact, RtlApplyRXact, RtlAddActionToRXact, NtCloseObjectAuditAlarm, RtlUnicodeStringToInteger, RtlTimeToSecondsSince1970, RtlRunEncodeUnicodeString, NtSetSystemTime, NtResetEvent, RtlMoveMemory, DbgPrint
> NTDSAPI.dll: DsFreeNameResultW, DsCrackNamesW, DsBindW, DsCrackSpn3W, DsUnBindW
> RPCRT4.dll: UuidToStringW, RpcServerListen, I_RpcExceptionFilter, RpcBindingVectorFree, RpcEpRegisterW, RpcServerInqBindings, RpcRevertToSelf, RpcImpersonateClient, UuidCreate, I_RpcMapWin32Status, NdrServerCall2, RpcBindingServerFromClient, RpcBindingToStringBindingW, RpcStringBindingParseW, RpcStringFreeW, RpcServerUseProtseqEpW, RpcServerRegisterAuthInfoW, I_RpcBindingInqLocalClientPID, I_RpcBindingIsClientLocal, I_RpcBindingInqTransportType, RpcUserFree, RpcMgmtEnableIdleCleanup, RpcBindingInqAuthClientW, RpcBindingSetAuthInfoW, RpcSsGetContextBinding, NdrClientCall2, RpcBindingFromStringBindingW, RpcBindingFree, RpcStringBindingComposeW, RpcServerInqDefaultPrincNameW, RpcServerRegisterIf, NdrMesTypeDecode2, NdrMesTypeEncode2, NdrMesTypeAlignSize2, MesDecodeIncrementalHandleCreate, MesEncodeIncrementalHandleCreate, RpcRevertToSelfEx, RpcServerUnregisterIf, RpcServerRegisterIfEx, UuidFromStringW, RpcBindingSetAuthInfoExW, RpcEpResolveBinding, RpcNetworkIsProtseqValidW, MesHandleFree, MesIncrementalHandleReset
> SAMLIB.dll: SamFreeMemory
> SAMSRV.dll: SamIChangePasswordForeignUser2, SamrOpenUser, SamIFree_SAMPR_ULONG_ARRAY, SamIOpenUserByAlternateId, SamrCloseHandle, SamIFree_SAMPR_GET_GROUPS_BUFFER, SamIFree_SAMPR_USER_INFO_BUFFER, SamrGetGroupsForUser, SamrQueryInformationUser, SamIFreeSidAndAttributesList, SamIGetUserLogonInformation, SampUsingDsData, SamIFreeSidArray, SamIGetResourceGroupMembershipsTransitive, SamIIsSetupInProgress, SamrOpenDomain, SamIConnect, SamIGetAliasMembership, SamISetAuditingInformation, SamIQueryServerRole, SamrEnumerateUsersInDomain, SamIAmIGC, SamIMixedDomain, SamIIsDownlevelDcUpgrade, SamIGetBootKeyInformation, SamIDoFSMORoleChange, SamIIsRebootAfterPromotion, SamIGCLookupNames, SamIFreeVoid, SamrRidToSid, SamIIsExtendedSidMode, SamIFree_SAMPR_RETURNED_USTRING_ARRAY, SamrLookupIdsInDomain, SamIGCLookupSids, SamrSetInformationUser, SamrCreateUser2InDomain, SamrDeleteUser, SamIGetInterdomainTrustAccountPasswordsForUpgrade, SamIEnumerateInterdomainTrustAccountsForUpgrade, SamIMixedDomain2, SamrLookupNamesInDomain
> Secur32.dll: CredUnmarshalTargetInfo, SecpTranslateNameEx, SecpTranslateName, SecCacheSspiPackages, LsaRegisterPolicyChangeNotification, SecpFreeMemory
> USER32.dll: GetSystemMetrics, wsprintfW, LoadStringW, GetMessageTime, GetCursorPos

( 147 exports )
DsRolerDcAsDc, DsRolerDcAsReplica, DsRolerDemoteDc, DsRolerGetDcOperationProgress, DsRolerGetDcOperationResults, LsaIAddNameToLogonSession, LsaIAllocateHeap, LsaIAllocateHeapZero, LsaIAuditAccountLogon, LsaIAuditAccountLogonEx, LsaIAuditKdcEvent, LsaIAuditKerberosLogon, LsaIAuditLogonUsingExplicitCreds, LsaIAuditNotifyPackageLoad, LsaIAuditPasswordAccessEvent, LsaIAuditSamEvent, LsaICallPackage, LsaICallPackageEx, LsaICallPackagePassthrough, LsaICancelNotification, LsaIChangeSecretCipherKey, LsaICryptProtectData, LsaICryptUnprotectData, LsaIDsNotifiedObjectChange, LsaIEnumerateSecrets, LsaIEventNotify, LsaIFilterSids, LsaIForestTrustFindMatch, LsaIFreeForestTrustInfo, LsaIFreeHeap, LsaIFreeReturnBuffer, LsaIFree_LSAI_PRIVATE_DATA, LsaIFree_LSAI_SECRET_ENUM_BUFFER, LsaIFree_LSAPR_ACCOUNT_ENUM_BUFFER, LsaIFree_LSAPR_CR_CIPHER_VALUE, LsaIFree_LSAPR_POLICY_DOMAIN_INFORMATION, LsaIFree_LSAPR_POLICY_INFORMATION, LsaIFree_LSAPR_PRIVILEGE_ENUM_BUFFER, LsaIFree_LSAPR_PRIVILEGE_SET, LsaIFree_LSAPR_REFERENCED_DOMAIN_LIST, LsaIFree_LSAPR_SR_SECURITY_DESCRIPTOR, LsaIFree_LSAPR_TRANSLATED_NAMES, LsaIFree_LSAPR_TRANSLATED_SIDS, LsaIFree_LSAPR_TRUSTED_DOMAIN_INFO, LsaIFree_LSAPR_TRUSTED_ENUM_BUFFER, LsaIFree_LSAPR_TRUSTED_ENUM_BUFFER_EX, LsaIFree_LSAPR_TRUST_INFORMATION, LsaIFree_LSAPR_UNICODE_STRING, LsaIFree_LSAPR_UNICODE_STRING_BUFFER, LsaIFree_LSAP_SITENAME_INFO, LsaIFree_LSAP_SITE_INFO, LsaIFree_LSAP_SUBNET_INFO, LsaIFree_LSAP_UPN_SUFFIXES, LsaIFree_LSA_FOREST_TRUST_COLLISION_INFORMATION, LsaIFree_LSA_FOREST_TRUST_INFORMATION, LsaIGetBootOption, LsaIGetCallInfo, LsaIGetForestTrustInformation, LsaIGetLogonGuid, LsaIGetNbAndDnsDomainNames, LsaIGetPrivateData, LsaIGetSerialNumberPolicy, LsaIGetSerialNumberPolicy2, LsaIGetSiteName, LsaIHealthCheck, LsaIImpersonateClient, LsaIInitializeWellKnownSids, LsaIIsClassIdLsaClass, LsaIIsDsPaused, LsaIKerberosRegisterTrustNotification, LsaILookupWellKnownName, LsaINotifyChangeNotification, LsaINotifyNetlogonParametersChangeW, LsaINotifyPasswordChanged, LsaIOpenPolicyTrusted, LsaIQueryForestTrustInfo, LsaIQueryInformationPolicyTrusted, LsaIQuerySiteInfo, LsaIQuerySubnetInfo, LsaIQueryUpnSuffixes, LsaIRegisterNotification, LsaIRegisterPolicyChangeNotificationCallback, LsaISafeMode, LsaISamIndicatedDsStarted, LsaISetBootOption, LsaISetClientDnsHostName, LsaISetLogonGuidInLogonSession, LsaISetPrivateData, LsaISetSerialNumberPolicy, LsaISetTimesSecret, LsaISetupWasRun, LsaITestCall, LsaIUnregisterAllPolicyChangeNotificationCallback, LsaIUnregisterPolicyChangeNotificationCallback, LsaIUpdateForestTrustInformation, LsaIWriteAuditEvent, LsapAuOpenSam, LsapCheckBootMode, LsapDsDebugInitialize, LsapDsInitializeDsStateInfo, LsapDsInitializePromoteInterface, LsapInitLsa, LsarAddPrivilegesToAccount, LsarClose, LsarCreateAccount, LsarCreateSecret, LsarCreateTrustedDomain, LsarCreateTrustedDomainEx, LsarDelete, LsarEnumerateAccounts, LsarEnumeratePrivileges, LsarEnumeratePrivilegesAccount, LsarEnumerateTrustedDomains, LsarEnumerateTrustedDomainsEx, LsarGetQuotasForAccount, LsarGetSystemAccessAccount, LsarLookupNames, LsarLookupPrivilegeDisplayName, LsarLookupPrivilegeName, LsarLookupPrivilegeValue, LsarLookupSids, LsarLookupSids2, LsarOpenAccount, LsarOpenPolicy, LsarOpenPolicySce, LsarOpenSecret, LsarOpenTrustedDomain, LsarOpenTrustedDomainByName, LsarQueryDomainInformationPolicy, LsarQueryForestTrustInformation, LsarQueryInfoTrustedDomain, LsarQueryInformationPolicy, LsarQuerySecret, LsarQuerySecurityObject, LsarQueryTrustedDomainInfo, LsarQueryTrustedDomainInfoByName, LsarRemovePrivilegesFromAccount, LsarSetDomainInformationPolicy, LsarSetForestTrustInformation, LsarSetInformationPolicy, LsarSetInformationTrustedDomain, LsarSetQuotasForAccount, LsarSetSecret, LsarSetSecurityObject, LsarSetSystemAccessAccount, LsarSetTrustedDomainInfoByName, ServiceInit
PDFiD.: - RDS...: NSRL Reference Data Set
- Antivirus Version Dernière mise à jour Résultat a-squared 4.0.0.101 2009.05.03 - AhnLab-V3 5.0.0.2 2009.05.01 - AntiVir 7.9.0.160 2009.05.02 - Antiy-AVL 2.0.3.1 2009.04.30 - Authentium 5.1.2.4 2009.05.02 - Avast 4.8.1335.0 2009.05.02 - AVG 8.5.0.327 2009.05.02 - BitDefender 7.2 2009.05.03 - CAT-QuickHeal 10.00 2009.05.02 - ClamAV 0.94.1 2009.05.03 - Comodo 1147 2009.05.02 - DrWeb 4.44.0.09170 2009.05.03 - eSafe 7.0.17.0 2009.04.30 - eTrust-Vet 31.6.6487 2009.05.02 - F-Prot 4.4.4.56 2009.05.02 - F-Secure 8.0.14470.0 2009.05.02 - Fortinet 3.117.0.0 2009.05.03 - GData 19 2009.05.03 - Ikarus T3.1.1.49.0 2009.05.03 - K7AntiVirus 7.10.722 2009.05.02 - Kaspersky 7.0.0.125 2009.05.03 - McAfee 5603 2009.05.02 - McAfee+Artemis 5603 2009.05.02 - McAfee-GW-Edition 6.7.6 2009.05.02 - Microsoft 1.4602 2009.05.03 - NOD32 4049 2009.05.01 - Norman 6.01.05 2009.04.30 - nProtect 2009.1.8.0 2009.05.03 - Panda 10.0.0.14 2009.05.03 - PCTools 4.4.2.0 2009.05.02 - Prevx1 3.0 2009.05.03 - Rising 21.27.41.00 2009.05.01 - Sophos 4.41.0 2009.05.03 - Sunbelt 3.2.1858.2 2009.05.02 - Symantec 1.4.4.12 2009.05.03 - TheHacker 6.3.4.1.317 2009.05.02 - TrendMicro 8.950.0.1092 2009.05.01 - VBA32 3.12.10.4 2009.05.03 - ViRobot 2009.5.1.1717 2009.05.01 - VirusBuster 4.6.5.0 2009.05.02 - Information additionnelle File size: 735744 bytes MD5...: e8af47dbadc708d1e640b062fd302993 SHA1..: d42e5576cea3b60ebcc77a0a17078e9ee0d70fb8 SHA256: 6d3df05b460e7be986102806984909d3116be9a6c3334262c87c68de464d17a2 SHA512: e922ec81bbbbb447aa90ba1ae22f658eb894ff9d089c626cb286aba7064f5587
0d79d81b12b1334f1531885f85fc49bd5813a76ffecfa8c753122b9182dafac0 ssdeep: 12288:z2PUgQplCKi1SDWaqM/b7gx11nSRRBVQ4TlY88Osf/:zsUUAWaqM3gx11n
oqKmf/
PEiD..: - TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xecb1
timedatestamp.....: 0x49900b43 (Mon Feb 09 10:53:55 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9dbc7 0x9dc00 6.60 f778efb71f987549c71f5c2121d6caa5
.data 0x9f000 0x4474 0x4000 2.55 42957bad8558dba8352482f0eaf868a9
.rsrc 0xa4000 0xac54 0xae00 3.50 e6d775b2dcd2abdb1673c74b3e60dcab
.reloc 0xaf000 0x6a68 0x6c00 6.78 fff0bf08cb23c2cc6787046aae3372f4

( 13 imports )
> ADVAPI32.dll: GetUserNameA, RegisterTraceGuidsW, TraceEvent, LsaClose, CredFree, CredUnmarshalCredentialW, SystemFunction036, RegQueryValueExA, SystemFunction005, SystemFunction004, RegSetValueExA, RegDeleteKeyA, RegCreateKeyExA, CryptAcquireContextA, CryptGetProvParam, CryptSetKeyParam, CryptCreateHash, SystemFunction040, CryptHashData, CryptDeriveKey, CryptDestroyHash, CryptGetHashParam, CryptGetKeyParam, CryptExportKey, LsaRetrievePrivateData, LsaStorePrivateData, AllocateAndInitializeSid, FreeSid, GetSidIdentifierAuthority, GetSidSubAuthority, LookupAccountNameW, LogonUserW, IsValidSid, A_SHAInit, A_SHAUpdate, A_SHAFinal, ImpersonateSelf, SetThreadToken, OpenSCManagerW, QueryServiceStatus, ChangeServiceConfigW, EnumDependentServicesW, ControlService, StartServiceW, OpenServiceW, QueryServiceConfigW, CloseServiceHandle, RegCreateKeyW, LsaSetDomainInformationPolicy, LookupAccountSidW, LsaSetInformationPolicy, AccessCheck, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, SetSecurityDescriptorDacl, RegLoadKeyW, RegUnLoadKeyW, LsaQueryDomainInformationPolicy, LsaQueryTrustedDomainInfoByName, LsaCreateTrustedDomainEx, LsaOpenTrustedDomain, LsaOpenTrustedDomainByName, LsaDelete, ImpersonateLoggedOnUser, SystemFunction029, SystemFunction007, LsaICLookupSidsWithCreds, LsaICLookupNamesWithCreds, ConvertSidToStringSidW, LsaOpenPolicy, LsaQueryInformationPolicy, EqualSid, LsaICLookupSids, LsaICLookupNames, GetWindowsAccountDomainSid, EqualDomainSid, ConvertStringSidToSidW, DuplicateTokenEx, AllocateLocallyUniqueId, OpenProcessToken, GetTokenInformation, FileEncryptionStatusW, I_ScIsSecurityProcess, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, IsWellKnownSid, MD5Init, MD5Update, MD5Final, CheckTokenMembership, ReportEventA, RegDeleteKeyW, CryptGenKey, SystemFunction035, IsTokenRestricted, RegNotifyChangeKeyValue, RegOpenKeyW, GetSidSubAuthorityCount, CryptGetUserKey, CryptAcquireContextW, AdjustTokenPrivileges, RegisterEventSourceW, ReportEventW, DeregisterEventSource, CryptDecrypt, CryptImportKey, CryptDestroyKey, RevertToSelf, CryptEncrypt, GetLengthSid, CopySid, CryptGenRandom, LsaFreeMemory, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, CryptSetProvParam, CryptReleaseContext, OpenThreadToken, CredpEncodeCredential, CredpDecodeCredential, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, RegOpenKeyExA, GetTraceLoggerHandle
> KERNEL32.dll: GetDiskFreeSpaceA, GlobalMemoryStatus, SetComputerNameExW, DebugBreak, OpenFileMappingW, GetModuleFileNameA, GetProfileStringA, CreateFileA, GetVersionExA, GetModuleHandleA, DuplicateHandle, CompareFileTime, lstrcmpW, DeleteCriticalSection, InitializeCriticalSection, FlushViewOfFile, GetSystemDirectoryW, GetDriveTypeW, IsBadWritePtr, FlushFileBuffers, GetLocalTime, MoveFileW, CopyFileW, GetWindowsDirectoryW, VerifyVersionInfoA, GetComputerNameA, ExitThread, GetThreadLocale, SetThreadLocale, LocalReAlloc, MultiByteToWideChar, WideCharToMultiByte, GetDateFormatW, FileTimeToLocalFileTime, GetTimeFormatW, SetWaitableTimer, OpenProcess, CompareStringW, CreateWaitableTimerW, LoadLibraryA, VerifyVersionInfoW, SetProcessShutdownParameters, SetConsoleCtrlHandler, OpenEventW, SetEnvironmentVariableW, GetEnvironmentVariableW, OutputDebugStringA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, QueryPerformanceCounter, DisableThreadLibraryCalls, InterlockedCompareExchange, CreateMutexW, ReleaseMutex, GetSystemTime, SystemTimeToFileTime, FileTimeToSystemTime, ReleaseSemaphore, SetProcessWorkingSetSize, CreateSemaphoreW, InitializeCriticalSectionAndSpinCount, EnterCriticalSection, LeaveCriticalSection, lstrcmpiW, SearchPathW, TlsAlloc, RaiseException, QueueUserWorkItem, CreateTimerQueueTimer, RegisterWaitForSingleObjectEx, DeleteTimerQueueTimer, UnregisterWaitEx, WaitForSingleObjectEx, HeapFree, MapViewOfFileEx, VirtualAllocEx, ExpandEnvironmentStringsW, GetComputerNameExW, FormatMessageW, GetTickCount, GetCurrentProcess, GetCurrentThreadId, SetEvent, GetSystemDefaultLCID, GetLocaleInfoW, FreeLibrary, FindFirstFileW, lstrcpyW, GetModuleFileNameW, GetModuleHandleW, CloseHandle, GetLastError, CreateThread, lstrlenA, LocalFree, InterlockedDecrement, InterlockedIncrement, TlsSetValue, TlsGetValue, LocalAlloc, VirtualFree, VirtualLock, VirtualAlloc, DnsHostnameToComputerNameW, SetFileAttributesW, CreateDirectoryW, lstrlenW, GetCurrentThread, GetProcAddress, LoadLibraryW, CreateFileW, DeleteFileW, GetSystemTimeAsFileTime, WriteFile, GetComputerNameW, ReadFile, GetFileSize, ResetEvent, Sleep, InterlockedExchange, SetLastError, IsBadReadPtr, GetVolumePathNameW, DeviceIoControl, UnmapViewOfFile, MapViewOfFile, GetFileAttributesW, GetVolumeInformationW, WaitForSingleObject, CreateFileMappingW, SetFilePointer, GetSystemInfo, SetFileTime, GetFileTime, GetCurrentProcessId, CreateEventW, GetVersionExW, FindClose, FindNextFileW
> MPR.dll: WNetCancelConnection2W, WNetAddConnection2W
> MSASN1.dll: ASN1DecAlloc, ASN1BERDecObjectIdentifier, ASN1BERDecEndOfContents, ASN1BEREncExplicitTag, ASN1BEREncObjectIdentifier, ASN1BEREncEndOfContents, ASN1_CreateModule, ASN1BEREncOctetString, ASN1BERDecPeekTag, ASN1Free, ASN1objectidentifier_free, ASN1BERDecOctetString, ASN1octetstring_free, ASN1ztcharstring_free, ASN1BEREncU32, ASN1BERDecU32Val, ASN1DecSetError, ASN1BEREncBitString, ASN1BERDecNotEndOfContents, ASN1BEREncCharString, ASN1BERDecZeroCharString, ASN1BEREncRemoveZeroBits, ASN1BERDecBitString, ASN1bitstring_free, ASN1_CreateDecoder, ASN1_CreateEncoder, ASN1_CloseDecoder, ASN1_FreeDecoded, ASN1_Encode, ASN1_FreeEncoded, ASN1_Decode, ASN1_CloseEncoder, ASN1BERDecExplicitTag
> msvcrt.dll: _resetstkoflw, _ultoa, wcstol, _vsnprintf, strrchr, _strnicmp, strchr, _strcmpi, _ltow, _except_handler3, wcsncpy, swprintf, wcscmp, wcscat, wcscpy, _wcsicmp, wcschr, wcsrchr, memmove, wcslen, mbstowcs, strncpy, sprintf, _snwprintf, _wcsnicmp, wcsncat, qsort, wcsncmp, wcsstr, free, malloc
> NETAPI32.dll: NetUserGetInfo, DsGetDcNameW, DsEnumerateDomainTrustsW, NetShareGetInfo, DsRoleFreeMemory, Netbios, NetUseDel, DsGetDcNameWithAccountW, NetUseAdd, I_NetNameValidate, NetApiBufferAllocate, NetAlertRaiseEx, I_NetNameCanonicalize, NetUserModalsGet, NetShareDel, NetRemoteTOD, NetApiBufferFree
> ntdll.dll: RtlDeleteCriticalSection, RtlLeaveCriticalSection, RtlEnterCriticalSection, RtlInitializeCriticalSection, NtQuerySystemTime, RtlEqualUnicodeString, RtlInitUnicodeString, RtlUpcaseUnicodeStringToOemString, RtlFreeUnicodeString, RtlConvertSidToUnicodeString, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, RtlInitAnsiString, NtClose, NtQueryInformationToken, NtOpenThreadToken, RtlLengthSid, RtlEqualSid, RtlNtStatusToDosError, RtlRegisterWait, RtlDeregisterWait, RtlAcquireResourceShared, RtlReleaseResource, NtSetInformationThread, NtQueryInformationFile, NtFsControlFile, NtCreateFile, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, RtlAddAccessAllowedAceEx, RtlSubAuthoritySid, RtlInitializeSid, RtlLengthRequiredSid, NtReadFile, NtSetInformationFile, RtlFreeHeap, RtlDosPathNameToNtPathName_U, NtFlushBuffersFile, RtlGetDaclSecurityDescriptor, NtWriteFile, NtQueryVolumeInformationFile, RtlAcquireResourceExclusive, NtQueryObject, RtlCompareMemory, RtlAllocateAndInitializeSid, NtSetEvent, NtOpenEvent, NtCreateEvent, RtlInitializeResource, NtSetSecurityObject, RtlAddAccessAllowedAce, RtlCreateAcl, NtCreatePort, NtCompleteConnectPort, NtAcceptConnectPort, NtReplyPort, NtReplyWaitReceivePort, NtFreeVirtualMemory, NtAllocateVirtualMemory, RtlAnsiStringToUnicodeString, NtRequestWaitReplyPort, RtlCompareUnicodeString, NtDuplicateObject, RtlCreateUnicodeStringFromAsciiz, RtlInitString, RtlGetNtProductType, RtlRunDecodeUnicodeString, NtAllocateLocallyUniqueId, RtlSubAuthorityCountSid, RtlCopySid, RtlTimeFieldsToTime, RtlCopyUnicodeString, RtlCreateHeap, NtMapViewOfSection, NtUnmapViewOfSection, RtlDestroyHeap, RtlAllocateHeap, DbgBreakPoint, NtOpenProcessToken, NtQuerySystemInformation, NtPrivilegedServiceAuditAlarm, NtPrivilegeCheck, NtOpenProcess, NtOpenThread, NtQueryInformationProcess, NtWriteVirtualMemory, NtReadVirtualMemory, NtImpersonateClientOfPort, RtlImpersonateSelf, NtWaitForSingleObject, NtSetInformationObject, NtSetInformationToken, NtDuplicateToken, RtlCopyLuid, NtQueryValueKey, NtOpenKey, NtDeviceIoControlFile, NtOpenFile, RtlQueryInformationAcl, VerSetConditionMask, RtlAdjustPrivilege, NtCreateToken, RtlSetOwnerSecurityDescriptor, RtlIdentifierAuthoritySid, NtQuerySymbolicLinkObject, NtOpenSymbolicLinkObject, RtlCopyString, RtlEqualString, NtListenPort, NtConnectPort, NtRaiseHardError, NtFlushKey, NtSetValueKey, NtImpersonateAnonymousToken, NtAdjustPrivilegesToken, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, RtlAppendUnicodeToString, NtEnumerateValueKey, NtEnumerateKey, RtlValidSid, RtlPrefixUnicodeString, RtlConvertSharedToExclusive, RtlEqualDomainName, RtlGetAce, RtlLengthSecurityDescriptor, RtlMakeSelfRelativeSD, RtlRandom, NtQueryInformationThread, RtlFreeSid, RtlpNtOpenKey, RtlInitializeRXact, RtlDeleteElementGenericTableAvl, RtlInitializeGenericTableAvl, RtlLookupElementGenericTableAvl, RtlEnumerateGenericTableAvl, RtlInsertElementGenericTableAvl, RtlConvertExclusiveToShared, RtlpNtEnumerateSubKey, NtDeleteObjectAuditAlarm, RtlVerifyVersionInfo, LdrLoadDll, RtlpNtQueryValueKey, RtlAreAllAccessesGranted, NtAccessCheckByTypeAndAuditAlarm, NtAccessCheckByTypeResultListAndAuditAlarm, RtlMapGenericMask, RtlSetSecurityObject, RtlNewSecurityObject, NtAccessCheckAndAuditAlarm, RtlIntegerToChar, NtPrivilegeObjectAuditAlarm, NtQuerySecurityObject, RtlFreeOemString, RtlUnicodeStringToOemString, RtlOemStringToUnicodeString, RtlImageNtHeader, RtlValidRelativeSecurityDescriptor, RtlStartRXact, RtlAbortRXact, RtlApplyRXact, RtlAddActionToRXact, NtCloseObjectAuditAlarm, RtlUnicodeStringToInteger, RtlTimeToSecondsSince1970, RtlRunEncodeUnicodeString, NtSetSystemTime, NtResetEvent, RtlMoveMemory, DbgPrint
> NTDSAPI.dll: DsFreeNameResultW, DsCrackNamesW, DsBindW, DsCrackSpn3W, DsUnBindW
> RPCRT4.dll: UuidToStringW, RpcServerListen, I_RpcExceptionFilter, RpcBindingVectorFree, RpcEpRegisterW, RpcServerInqBindings, RpcRevertToSelf, RpcImpersonateClient, UuidCreate, I_RpcMapWin32Status, NdrServerCall2, RpcBindingServerFromClient, RpcBindingToStringBindingW, RpcStringBindingParseW, RpcStringFreeW, RpcServerUseProtseqEpW, RpcServerRegisterAuthInfoW, I_RpcBindingInqLocalClientPID, I_RpcBindingIsClientLocal, I_RpcBindingInqTransportType, RpcUserFree, RpcMgmtEnableIdleCleanup, RpcBindingInqAuthClientW, RpcBindingSetAuthInfoW, RpcSsGetContextBinding, NdrClientCall2, RpcBindingFromStringBindingW, RpcBindingFree, RpcStringBindingComposeW, RpcServerInqDefaultPrincNameW, RpcServerRegisterIf, NdrMesTypeDecode2, NdrMesTypeEncode2, NdrMesTypeAlignSize2, MesDecodeIncrementalHandleCreate, MesEncodeIncrementalHandleCreate, RpcRevertToSelfEx, RpcServerUnregisterIf, RpcServerRegisterIfEx, UuidFromStringW, RpcBindingSetAuthInfoExW, RpcEpResolveBinding, RpcNetworkIsProtseqValidW, MesHandleFree, MesIncrementalHandleReset
> SAMLIB.dll: SamFreeMemory
> SAMSRV.dll: SamIChangePasswordForeignUser2, SamrOpenUser, SamIFree_SAMPR_ULONG_ARRAY, SamIOpenUserByAlternateId, SamrCloseHandle, SamIFree_SAMPR_GET_GROUPS_BUFFER, SamIFree_SAMPR_USER_INFO_BUFFER, SamrGetGroupsForUser, SamrQueryInformationUser, SamIFreeSidAndAttributesList, SamIGetUserLogonInformation, SampUsingDsData, SamIFreeSidArray, SamIGetResourceGroupMembershipsTransitive, SamIIsSetupInProgress, SamrOpenDomain, SamIConnect, SamIGetAliasMembership, SamISetAuditingInformation, SamIQueryServerRole, SamrEnumerateUsersInDomain, SamIAmIGC, SamIMixedDomain, SamIIsDownlevelDcUpgrade, SamIGetBootKeyInformation, SamIDoFSMORoleChange, SamIIsRebootAfterPromotion, SamIGCLookupNames, SamIFreeVoid, SamrRidToSid, SamIIsExtendedSidMode, SamIFree_SAMPR_RETURNED_USTRING_ARRAY, SamrLookupIdsInDomain, SamIGCLookupSids, SamrSetInformationUser, SamrCreateUser2InDomain, SamrDeleteUser, SamIGetInterdomainTrustAccountPasswordsForUpgrade, SamIEnumerateInterdomainTrustAccountsForUpgrade, SamIMixedDomain2, SamrLookupNamesInDomain
> Secur32.dll: CredUnmarshalTargetInfo, SecpTranslateNameEx, SecpTranslateName, SecCacheSspiPackages, LsaRegisterPolicyChangeNotification, SecpFreeMemory
> USER32.dll: GetSystemMetrics, wsprintfW, LoadStringW, GetMessageTime, GetCursorPos

( 147 exports )
DsRolerDcAsDc, DsRolerDcAsReplica, DsRolerDemoteDc, DsRolerGetDcOperationProgress, DsRolerGetDcOperationResults, LsaIAddNameToLogonSession, LsaIAllocateHeap, LsaIAllocateHeapZero, LsaIAuditAccountLogon, LsaIAuditAccountLogonEx, LsaIAuditKdcEvent, LsaIAuditKerberosLogon, LsaIAuditLogonUsingExplicitCreds, LsaIAuditNotifyPackageLoad, LsaIAuditPasswordAccessEvent, LsaIAuditSamEvent, LsaICallPackage, LsaICallPackageEx, LsaICallPackagePassthrough, LsaICancelNotification, LsaIChangeSecretCipherKey, LsaICryptProtectData, LsaICryptUnprotectData, LsaIDsNotifiedObjectChange, LsaIEnumerateSecrets, LsaIEventNotify, LsaIFilterSids, LsaIForestTrustFindMatch, LsaIFreeForestTrustInfo, LsaIFreeHeap, LsaIFreeReturnBuffer, LsaIFree_LSAI_PRIVATE_DATA, LsaIFree_LSAI_SECRET_ENUM_BUFFER, LsaIFree_LSAPR_ACCOUNT_ENUM_BUFFER, LsaIFree_LSAPR_CR_CIPHER_VALUE, LsaIFree_LSAPR_POLICY_DOMAIN_INFORMATION, LsaIFree_LSAPR_POLICY_INFORMATION, LsaIFree_LSAPR_PRIVILEGE_ENUM_BUFFER, LsaIFree_LSAPR_PRIVILEGE_SET, LsaIFree_LSAPR_REFERENCED_DOMAIN_LIST, LsaIFree_LSAPR_SR_SECURITY_DESCRIPTOR, LsaIFree_LSAPR_TRANSLATED_NAMES, LsaIFree_LSAPR_TRANSLATED_SIDS, LsaIFree_LSAPR_TRUSTED_DOMAIN_INFO, LsaIFree_LSAPR_TRUSTED_ENUM_BUFFER, LsaIFree_LSAPR_TRUSTED_ENUM_BUFFER_EX, LsaIFree_LSAPR_TRUST_INFORMATION, LsaIFree_LSAPR_UNICODE_STRING, LsaIFree_LSAPR_UNICODE_STRING_BUFFER, LsaIFree_LSAP_SITENAME_INFO, LsaIFree_LSAP_SITE_INFO, LsaIFree_LSAP_SUBNET_INFO, LsaIFree_LSAP_UPN_SUFFIXES, LsaIFree_LSA_FOREST_TRUST_COLLISION_INFORMATION, LsaIFree_LSA_FOREST_TRUST_INFORMATION, LsaIGetBootOption, LsaIGetCallInfo, LsaIGetForestTrustInformation, LsaIGetLogonGuid, LsaIGetNbAndDnsDomainNames, LsaIGetPrivateData, LsaIGetSerialNumberPolicy, LsaIGetSerialNumberPolicy2, LsaIGetSiteName, LsaIHealthCheck, LsaIImpersonateClient, LsaIInitializeWellKnownSids, LsaIIsClassIdLsaClass, LsaIIsDsPaused, LsaIKerberosRegisterTrustNotification, LsaILookupWellKnownName, LsaINotifyChangeNotification, LsaINotifyNetlogonParametersChangeW, LsaINotifyPasswordChanged, LsaIOpenPolicyTrusted, LsaIQueryForestTrustInfo, LsaIQueryInformationPolicyTrusted, LsaIQuerySiteInfo, LsaIQuerySubnetInfo, LsaIQueryUpnSuffixes, LsaIRegisterNotification, LsaIRegisterPolicyChangeNotificationCallback, LsaISafeMode, LsaISamIndicatedDsStarted, LsaISetBootOption, LsaISetClientDnsHostName, LsaISetLogonGuidInLogonSession, LsaISetPrivateData, LsaISetSerialNumberPolicy, LsaISetTimesSecret, LsaISetupWasRun, LsaITestCall, LsaIUnregisterAllPolicyChangeNotificationCallback, LsaIUnregisterPolicyChangeNotificationCallback, LsaIUpdateForestTrustInformation, LsaIWriteAuditEvent, LsapAuOpenSam, LsapCheckBootMode, LsapDsDebugInitialize, LsapDsInitializeDsStateInfo, LsapDsInitializePromoteInterface, LsapInitLsa, LsarAddPrivilegesToAccount, LsarClose, LsarCreateAccount, LsarCreateSecret, LsarCreateTrustedDomain, LsarCreateTrustedDomainEx, LsarDelete, LsarEnumerateAccounts, LsarEnumeratePrivileges, LsarEnumeratePrivilegesAccount, LsarEnumerateTrustedDomains, LsarEnumerateTrustedDomainsEx, LsarGetQuotasForAccount, LsarGetSystemAccessAccount, LsarLookupNames, LsarLookupPrivilegeDisplayName, LsarLookupPrivilegeName, LsarLookupPrivilegeValue, LsarLookupSids, LsarLookupSids2, LsarOpenAccount, LsarOpenPolicy, LsarOpenPolicySce, LsarOpenSecret, LsarOpenTrustedDomain, LsarOpenTrustedDomainByName, LsarQueryDomainInformationPolicy, LsarQueryForestTrustInformation, LsarQueryInfoTrustedDomain, LsarQueryInformationPolicy, LsarQuerySecret, LsarQuerySecurityObject, LsarQueryTrustedDomainInfo, LsarQueryTrustedDomainInfoByName, LsarRemovePrivilegesFromAccount, LsarSetDomainInformationPolicy, LsarSetForestTrustInformation, LsarSetInformationPolicy, LsarSetInformationTrustedDomain, LsarSetQuotasForAccount, LsarSetSecret, LsarSetSecurityObject, LsarSetSystemAccessAccount, LsarSetTrustedDomainInfoByName, ServiceInit
PDFiD.: - RDS...: NSRL Reference Data Set
-

richard13 · Answer

voici le rapprt tcleaner
[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Titou\Bureau\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Titou\Bureau\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

richard13 · Answer

rapport usbfix

############################## [ UsbFix V3.016 # Scan ]

# User : Titou (Administrateurs) # SN012345678912
# Update on 02/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 23:24:51 | 03/05/2009

# Intel(R) Core(TM)2 CPU         T5500  @ 1.66GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]
# FW : Norton Internet Worm Protection[ (!) Disabled ]2006

# C:\ # Disque fixe local # 103,97 Go (82,3 Go free) [HDD] # NTFS
# D:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\filehippo.com\UpdateChecker.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [  Registre # Startup ]

HKCU_Main:  "Local Page"="C:\WINDOWS\system32\blank.htm" 
HKCU_Main:  "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:  "Start Page"="https://www.google.fr/?gws_rd=ssl" 
HKLM_logon: "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon: "DefaultUserName"="Titou" 
HKLM_logon: "AltDefaultUserName"="Titou" 
HKLM_logon: "LegalNoticeCaption"="" 
HKLM_logon: "LegalNoticeText"="" 
HKLM_Run:    IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 
HKLM_Run:    PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC 
HKLM_Run:    PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName 
HKLM_Run:    ehTray=C:\WINDOWS\ehome\ehtray.exe 
HKLM_Run:    Raccourci vers la page des propriétés de High Definition Audio=HDAShCut.exe 
HKLM_Run:    SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 
HKLM_Run:    NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
HKLM_Run:    nwiz=nwiz.exe /install 
HKLM_Run:    NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
HKLM_Run:    HControl=C:\WINDOWS\ATK0100\HControl.exe 
HKLM_Run:    DetectorApp=C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe 
HKLM_Run:    ISUSPM Startup=C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup 
HKLM_Run:    ISUSScheduler="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start 
HKLM_Run:    QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime 
HKLM_Run:    Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
HKLM_Run:    avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
HKCU_Run:    CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe  
HKCU_Run:    msnmsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background  
HKCU_Run:    filehippo.com="C:\Program Files\filehippo.com\UpdateChecker.exe" /background  

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]


################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\security center\ "AntiVirusOverride"  
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )  

################## [ Registre # Mountpoints2 ]

# -> Not Found !  

################## [ ! Fin du rapport # UsbFix V3.016 ! ]

richard13 · Answer

voici le rapprt usbfix pour la suppression

############################## [ UsbFix V3.016 # Cleaning ]

# User : Titou (Administrateurs) # SN012345678912
# Update on 02/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 23:29:08 | 03/05/2009

# Intel(R) Core(TM)2 CPU         T5500  @ 1.66GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]
# FW : Norton Internet Worm Protection[ (!) Disabled ]2006

# C:\ # Disque fixe local # 103,97 Go (82,27 Go free) [HDD] # NTFS
# D:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe

################## [ Fichiers # Dossiers infectieux ]


################## [ Registre # Clés Run infectieuses ]

# HKLM\software\microsoft\security center\ "AntiVirusOverride"  
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 ) # -> Reset sucessfully !  

################## [ Registre # Mountpoints2 ]

# -> Not Found !  

################## [ Listing des fichiers présent ]

[19/10/2006 19:01|-rahs----|208] - C:\BOOT.BAK
[29/04/2009 18:00|-rahs----|289] - C:\BOOT.INI
[10/08/2004 14:00|-rahs----|4952] - C:\Bootfont.bin
[10/08/2004 14:00|-rahs----|263488] - C:\cmldr
[19/10/2006 18:23|--a------|7399] - C:\DWNLOG.TXT
[?|?|?] - C:\hiberfil.sys
[25/03/2007 15:45|--a------|1120] - C:\INSTALL.LOG
[19/10/2006 19:03|-rahs----|0] - C:\IO.SYS
[19/10/2006 19:06|--ah-----|835] - C:\IPH.PH
[19/10/2006 19:03|-rahs----|0] - C:\MSDOS.SYS
[10/08/2004 14:00|--a------|47564] - C:\NTDETECT.COM
[05/10/2008 13:36|--a------|252240] - C:\NTLDR
[?|?|?] - C:\pagefile.sys
[12/06/2006 14:43|--a------|97] - C:\SAUDIT.TXT
[06/06/2008 13:16|--a------|90] - C:\Setup.log
[27/04/2009 21:31|--ah-----|268] - C:\sqmdata00.sqm
[14/11/2007 17:41|--ah-----|268] - C:\sqmdata01.sqm
[27/11/2007 22:26|--ah-----|268] - C:\sqmdata02.sqm
[28/11/2007 16:00|--ah-----|268] - C:\sqmdata03.sqm
[29/11/2007 00:18|--ah-----|268] - C:\sqmdata04.sqm
[29/11/2007 16:05|--ah-----|268] - C:\sqmdata05.sqm
[24/04/2008 19:21|--ah-----|268] - C:\sqmdata06.sqm
[27/10/2008 22:44|--ah-----|268] - C:\sqmdata07.sqm
[30/10/2008 08:07|--ah-----|268] - C:\sqmdata08.sqm
[30/10/2008 19:53|--ah-----|304] - C:\sqmdata09.sqm
[30/10/2008 20:13|--ah-----|304] - C:\sqmdata10.sqm
[01/11/2008 13:00|--ah-----|304] - C:\sqmdata11.sqm
[09/11/2008 01:29|--ah-----|268] - C:\sqmdata12.sqm
[10/11/2008 13:18|--ah-----|268] - C:\sqmdata13.sqm
[06/12/2008 19:43|--ah-----|268] - C:\sqmdata14.sqm
[07/12/2008 00:31|--ah-----|268] - C:\sqmdata15.sqm
[07/12/2008 01:03|--ah-----|268] - C:\sqmdata16.sqm
[19/12/2008 21:54|--ah-----|268] - C:\sqmdata17.sqm
[20/12/2008 18:45|--ah-----|268] - C:\sqmdata18.sqm
[25/01/2009 17:02|--ah-----|268] - C:\sqmdata19.sqm
[27/04/2009 21:31|--ah-----|244] - C:\sqmnoopt00.sqm
[14/11/2007 17:41|--ah-----|244] - C:\sqmnoopt01.sqm
[27/11/2007 22:26|--ah-----|244] - C:\sqmnoopt02.sqm
[28/11/2007 16:00|--ah-----|244] - C:\sqmnoopt03.sqm
[29/11/2007 00:18|--ah-----|244] - C:\sqmnoopt04.sqm
[29/11/2007 16:05|--ah-----|244] - C:\sqmnoopt05.sqm
[24/04/2008 19:21|--ah-----|244] - C:\sqmnoopt06.sqm
[27/10/2008 22:44|--ah-----|244] - C:\sqmnoopt07.sqm
[30/10/2008 08:07|--ah-----|244] - C:\sqmnoopt08.sqm
[30/10/2008 19:53|--ah-----|244] - C:\sqmnoopt09.sqm
[30/10/2008 20:13|--ah-----|244] - C:\sqmnoopt10.sqm
[01/11/2008 13:00|--ah-----|244] - C:\sqmnoopt11.sqm
[09/11/2008 01:29|--ah-----|244] - C:\sqmnoopt12.sqm
[10/11/2008 13:18|--ah-----|244] - C:\sqmnoopt13.sqm
[06/12/2008 19:43|--ah-----|244] - C:\sqmnoopt14.sqm
[07/12/2008 00:31|--ah-----|244] - C:\sqmnoopt15.sqm
[07/12/2008 01:03|--ah-----|244] - C:\sqmnoopt16.sqm
[19/12/2008 21:54|--ah-----|244] - C:\sqmnoopt17.sqm
[20/12/2008 18:45|--ah-----|244] - C:\sqmnoopt18.sqm
[25/01/2009 17:02|--ah-----|244] - C:\sqmnoopt19.sqm
[03/05/2009 23:22|--a------|1074] - C:\TCleaner.txt
[03/05/2009 23:30|--a------|5015] - C:\UsbFix.txt

################## [ Vaccination ]

# C:\autorun.inf -> Folder created by UsbFix.  

################## [ Cracks / Keygens / Serials ]

# -> Nothing found !  

################## [ ! Fin du rapport # UsbFix V3.016 ! ]

afideg · Answer

Re,
Merci
Parfait

Comment va maintenant ton PC ?

richard13 · Answer

bonjour 
et bien mon pc marche correctement 
il ne detecte plus de virus 
je vous remercie

richard13 · Answer

sur les logiciels instales lesquels je dois laisser sur le pc (qui sont utiles) et lesquels je dois supprimer

afideg · Answer

Bonjour,

ToolsCleaner ne s'est-il pas supprimé de lui-même ? (à supprimer)

Supprime UsbFix, Flash_Disinfector

Garde précieusement Malwarebytes' Anti-Malware (MBAM); et mets-le à jour avant chaque utilisation.
ANTIVIR est ton antivirus avec une fonction de protection en temps réel.

Bon vent
Merci à toi
Al.

Pb virus C:\eyt.exe+Rootkit : processus caché

25 réponses

Discussions similaires