Sujet Précédent Sujet Suivant

Détection de TR/Spy.Banker.DS.1909248

Résolu/Fermé
matelot83 Messages postés 53 Date d'inscription jeudi 27 mars 2008 Statut Membre Dernière intervention 8 septembre 2013 - 25 juil. 2009 à 22:16
kduc Messages postés 1462 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 novembre 2011 - 30 juil. 2009 à 23:33
Bonjour,
Avira antivir premium v9 détecte TR/Spy.Banker.DS.1909248 sur Outlook express d'un des 3 ID utilisateurs définis sur mon PC sous windows XP Pro SP3. J'utilise GOTO Vade Retro antispam la détection a souvent lieu quand je mets à jour Vade Retro, mais aussi lors de la réception de mails. Rien sous les 2 autres ID Utilisateurs.
J'ai scané le PC avec Avira, il n'a rien trouvé (alors que le Guard le détecte en utilisation), avec Malwarebytes antimalware, il n'a rien trouvé. Jai fait un scan avec HiJackthis qe je joins ici.
Quelqu'un peut-il m'aider, s'agit-il d'un faux positif ? sinon comment l'éradiquer ?
Merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:54:38, on 25/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\SearchIndexer.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINNT\System32\wbem\wmiapsrv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\WINNT\system32\WF2K.EXE
C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
C:\Program Files\CardDetector\ICON225\CardDetector.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINNT\system32\SearchProtocolHost.exe
C:\WINNT\system32\SearchProtocolHost.exe
C:\WINNT\system32\wscntfy.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinFoxV2] C:\WINNT\system32\WF2K.EXE Initial
O4 - HKLM\..\Run: [VadeRetro Desktop] C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
O4 - HKLM\..\Run: [CardDetectorICON225] C:\Program Files\CardDetector\ICON225\CardDetector.exe
O4 - HKLM\..\Run: [BEWINTERNET-FR-DMGP-V2SessionManager] C:\Program Files\Orange\IEWInternet\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Service McAfee Framework (McAfeeFramework) - Unknown owner - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe (file missing)
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

12 réponses

Réponse 1 / 12
kduc Messages postés 1462 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 novembre 2011 133
25 juil. 2009 à 22:24
Salut,

Fais un scan en ligne ...
http://www.kaspersky.com/kos/eng/partner/default/languages/english/check.html?n=1224931742375

Clique sur > Accept.
Il est possible qu’ une barre jaune te demande d’ installer le
Kavwebscan_Unicode.cab (ActiveX) ; installe-le.
Clique une nouvelle fois sur > Accept.
Les mises à jour vont s’ installer. Patiente un moment.
Clique sur > Next.
Clique sur > My Computer. Le scan va commencer.
Attends la fin du scan (ne ferme pas la fenêtre, sinon il va stopper).
Une fois le scan achevé, poste le rapport.

Utilise Internet Explorer pour le scan et désactive Antivir le temps du scan.
0
Réponse 2 / 12
matelot83 Messages postés 53 Date d'inscription jeudi 27 mars 2008 Statut Membre Dernière intervention 8 septembre 2013
26 juil. 2009 à 08:24
Rien trouvé, voici le rappor :

KASPERSKY ONLINE SCANNER 7.0: rapport d'analyse
dimanche 26 juillet 2009
Système d'exploitation : Microsoft Windows XP Professional Service Pack 3 (build 2600)
Version de Kaspersky Online Scanner : 7.0.26.13
Dernière mise à jour de la base : Sunday, July 26, 2009 00:14:59
Enregistrements dans la base : 2532990
--------------------------------------------------------------------------------

Paramètres d'analyse:
analyser avec la base suivante: étendue
Analyser les archives: oui
Analyser les bases de messagerie: oui

Zone d'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\

Statistiques d'analyse:
Objets analysés: 371897
Menaces trouvées: 0
Objets infectés trouvés: 0
Objets suspects trouvés: 0
Durée d'analyse: 05:34:32

Aucune menace trouvée. La zone d'analyse est propre.

La zone sélectionnée a été analysée.
0
Réponse 3 / 12
kduc Messages postés 1462 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 novembre 2011 133
26 juil. 2009 à 18:03
Salut,

Ce n' est pas un faux positif.

Fais ce scan en ligne : http://www.bitdefender.fr/scan_fr/scan8/ie.html

Clique sur J' accepte > Démarrer l' analyse, etc ...

Une fois le scan achevé, sauvegarde le rapport et poste-le.

Tuto : https://forum.pcastuces.com/default.asp

---
PS : désactive tes protections résidentes, notamment celle d' Antivir ...

https://forum.pcastuces.com/default.asp
0
matelot83 Messages postés 53 Date d'inscription jeudi 27 mars 2008 Statut Membre Dernière intervention 8 septembre 2013
27 juil. 2009 à 11:26
Voici le log de bitdefender :


BitDefender Online Scanner


Rapport d'analyse généré à: Mon, Jul 27, 2009 - 11:12:36



Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;





Statistiques
Temps
00:37:37
Fichiers
108803
Directoires
21208
Secteurs de boot
0
Archives
2021
Paquets programmes
5978



Résultats
Virus identifiés
1
Fichiers infectés
1
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
1



Info sur les moteurs
Définition virus
3849907
Version des moteurs
AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)
Analyse des plugins
17
Archive des plugins
45
Unpack des plugins
7
E-mail plugins
6
Système plugins
4



Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Excludez les extensions

Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui




Fichier analysé
Statut
C:\System Volume Information\_restore{9DDBFCAA-9B48-40EC-A49D-3F95DC524B5A}\RP56\A0020802.dll
Infecté par: DeepScan:Generic.Banker.Delf.3D090796
C:\System Volume Information\_restore{9DDBFCAA-9B48-40EC-A49D-3F95DC524B5A}\RP56\A0020802.dll
Echec de la désinfection
C:\System Volume Information\_restore{9DDBFCAA-9B48-40EC-A49D-3F95DC524B5A}\RP56\A0020802.dll
Supprimé
0
Réponse 4 / 12
matelot83 Messages postés 53 Date d'inscription jeudi 27 mars 2008 Statut Membre Dernière intervention 8 septembre 2013
26 juil. 2009 à 23:51
J'étais absent aujourd'hui, ce matin après avoir posté mon message en attendant le tien, j'ai lancé escan antivirus toolkit en mode sans échec (on me l'avais déja fait utiliser) à tout hasard, je lancerai demain soir bitdefender en attendant voici le log de escan qui est positif :

Sun Jul 26 23:02:31 2009 => Checking for Parite.a Virus...
Sun Jul 26 23:02:31 2009 => ***** Scanning complete. *****
Sun Jul 26 23:02:31 2009 => Total Number of Files Scanned: 382458
Sun Jul 26 23:02:31 2009 => Total Number of Virus(es) Found: 5
Sun Jul 26 23:02:31 2009 => Total Number of Disinfected Files: 0
Sun Jul 26 23:02:31 2009 => Total Number of Files Renamed: 4
Sun Jul 26 23:02:31 2009 => Total Number of Deleted Files: 0
Sun Jul 26 23:02:31 2009 => Total Number of Errors: 17
Sun Jul 26 23:02:31 2009 => Time Elapsed: 10:54:32
Sun Jul 26 23:02:31 2009 => Virus Database Date: 2009/07/26
Sun Jul 26 23:02:31 2009 => Virus Database Count: 2534430

File C:\Documents and Settings\Maxime\Application Data\Microsoft\Office\Récents\??? fin ?;?? ..........lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Maxime\Application Data\SecuROM\UserData\???????????p????????? infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Maxime\Application Data\SecuROM\UserData\???????????p????????? infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Maxime\Mes documents\??? fin ?;?? ..........doc infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{9DDBFCAA-9B48-40EC-A49D-3F95DC524B5A}\RP39\A0017961.exe tagged as not-a-virus:NetTool.Win32.Portscan.c. No Action Taken.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
matelot83 Messages postés 53 Date d'inscription jeudi 27 mars 2008 Statut Membre Dernière intervention 8 septembre 2013
27 juil. 2009 à 00:13
Dernière nouvelle sur mes 3 ID utilisateurs du PC, un deuxième outlook express est infecté depuis ce soir
0
Réponse 6 / 12
matelot83 Messages postés 53 Date d'inscription jeudi 27 mars 2008 Statut Membre Dernière intervention 8 septembre 2013
27 juil. 2009 à 23:08
Il semble que antivir génère des faux positifs :

http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/antivir-messagerie-resolu-sujet_205318_1.htm
0
Réponse 7 / 12
kduc Messages postés 1462 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 novembre 2011 133
27 juil. 2009 à 23:48
Salut,

Fais aussi ce scan (ça ne coûte rien) :

https://www.eset.com/ (il faut utiliser Internet Explorer) …

- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt <-- le rapport
0
Réponse 8 / 12
matelot83 Messages postés 53 Date d'inscription jeudi 27 mars 2008 Statut Membre Dernière intervention 8 septembre 2013
29 juil. 2009 à 11:34
Tout ceci ne change pas l'alerte de avira antivir en tâche de fond sur le fichier : c:\documets and settings\Maxime\local settings\Temp\vr\vr00001.dll lors de la mise à jour de GOTO Vade Retro antispam. Ce fichier est un fichier de GOTO qui permet la mise à jour de l'antispam, qui est depuis bloquée par Antivir.
Si on fait contrôler ce fichier par Avira antivir ensuite, il ne trouve rien !!

J'ai fait contrôler le fichier par virus total :

Antivirus;Version;Dernière mise à jour;Résultat
a-squared;4.5.0.24;2009.07.28;Generic.Banker.Delf!IK
AhnLab-V3;5.0.0.2;2009.07.28;-
Antiy-AVL;2.0.3.7;2009.07.28;-
Authentium;5.1.2.4;2009.07.27;-
Avast;4.8.1335.0;2009.07.27;-
AVG;8.5.0.387;2009.07.27;-
CAT-QuickHeal;10.00;2009.07.28;-
ClamAV;0.94.1;2009.07.28;-
Comodo;1791;2009.07.28;-
DrWeb;5.0.0.12182;2009.07.28;-
eSafe;7.0.17.0;2009.07.27;-
eTrust-Vet;31.6.6642;2009.07.27;-
F-Prot;4.4.4.56;2009.07.27;-
F-Secure;8.0.14470.0;2009.07.28;-
Fortinet;3.120.0.0;2009.07.27;PossibleThreat
GData;19;2009.07.28;DeepScan:Generic.Banker.Delf.3D090796
Ikarus;T3.1.1.64.0;2009.07.28;Generic.Banker.Delf
Jiangmin;11.0.800;2009.07.28;-
K7AntiVirus;7.10.803;2009.07.27;-
Kaspersky;7.0.0.125;2009.07.28;-
McAfee;5690;2009.07.27;-
McAfee+Artemis;5690;2009.07.27;Artemis!13F52CD02583
Microsoft;1.4903;2009.07.28;-
NOD32;4283;2009.07.28;-
Norman;6.01.09;2009.07.27;-
nProtect;2009.1.8.0;2009.07.28;-
Panda;10.0.0.14;2009.07.27;Trj/CI.A
PCTools;4.4.2.0;2009.07.27;-
Prevx;3.0;2009.07.28;Medium Risk Malware
Rising;21.40.11.00;2009.07.28;-
Sophos;4.44.0;2009.07.28;Mal/Generic-A
Sunbelt;3.2.1858.2;2009.07.28;-
Symantec;1.4.4.12;2009.07.28;Infostealer.Bancos
TheHacker;6.3.4.3.375;2009.07.28;-
TrendMicro;8.950.0.1094;2009.07.28;-
ViRobot;2009.7.28.1856;2009.07.28;-
VirusBuster;4.6.5.0;2009.07.27;-

Information additionnelle
File size: 1909248 bytes
MD5...: 13f52cd02583c9b310b630e85f58db22
SHA1..: 6e811bb5c40531140c73bc98d18ee69ac19ad9ce
SHA256: 8695f2e5889517eee81cbecf5cb8d62c6c9f04660193bbc4b9e0eda39dc7fe52
ssdeep: 24576:bndbPZRNR+sMTmV1U1yzk999kCB6+gJ2n9NrXSG425eQG3OiQ:7t5bODb9<BR>NxgS9lm+<BR>
PEiD..: -
TrID..: File type identification<BR>Win32 Executable Generic (58.3%)<BR>Win16/32 Executable Delphi generic (14.1%)<BR>Generic Win/DOS Executable (13.7%)<BR>DOS Executable Generic (13.6%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1c1694<BR>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 8 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x1bfb70 0x1bfc00 6.01 6323ef4cc9f65e759086926192dd06a0<BR>.itext 0x1c1000 0x6ac 0x800 5.48 efcd7f27e10bb35a3e7a31ad5d2e3819<BR>.data 0x1c2000 0x9524 0x9600 5.00 705abc6499407dc51d3f48fb64c7c039<BR>.bss 0x1cc000 0x33bc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.idata 0x1d0000 0xb78 0xc00 4.78 9bf12fa55801c721e2aaf7158b4bb75c<BR>.edata 0x1d1000 0x1be 0x200 4.72 a97d276c159a233f7a91da1410028f83<BR>.reloc 0x1d2000 0x5354 0x5400 6.67 60404204fa6f101a3b45cea82dd03b4b<BR>.rsrc 0x1d8000 0x2200 0x2200 3.78 b90ef872cf98c6344dd17ff250c82d9f<BR><BR>( 10 imports ) <BR>> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen<BR>> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<BR>> user32.dll: GetKeyboardType, DestroyWindow, LoadStringA, MessageBoxA, CharNextA<BR>> kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle<BR>> kernel32.dll: TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc<BR>> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA<BR>> kernel32.dll: WritePrivateProfileStringA, WriteFile, WaitForSingleObject, VirtualQuery, SetFilePointer, SetEvent, SetEndOfFile, ResetEvent, ReadFile, LeaveCriticalSection, InitializeCriticalSection, GetVersionExA, GetTimeZoneInformation, GetThreadLocale, GetStdHandle, GetProcAddress, GetPrivateProfileStringA, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileAttributesA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCPInfo, FreeLibrary, FormatMessageA, FileTimeToSystemTime, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CompareStringA, CloseHandle<BR>> kernel32.dll: Sleep<BR>> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit<BR>> wsock32.dll: ntohl<BR><BR>( 16 exports ) <BR>VadeRetroNotes, VrBufInfo, VrClearInfos, VrDecodeKeywords, VrFileScore, VrGetSpamState, VrMsgDate, VrMsgInfo, VrOutlookFilter, VrSetDefaultUserSetup, VrSetSpamState, VrSpamFilter, VrUpdateKeywords, VrUserSetupFromIni, VrVersion, vrGetSpamThreshold<BR>
PDFiD.: -
RDS...: NSRL Reference Data Set<BR>-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=CC0B16FA008DFA4622D91DB5F85AAF005DBA148F' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=CC0B16FA008DFA4622D91DB5F85AAF005DBA148F</a>

-------------------------------------------------------------------------------------------------------------------------------

Quelques antivirus le déterminent comme un "banker" possible.

J'en conclue provisoirement que c'est bien un faux positif et que pour avoir la paix, je dois demander à antivir de l'ignorer, et je fais un mail à GOTO pour leur demander ce qu'ils savent de leur produit.
0
Réponse 9 / 12
matelot83 Messages postés 53 Date d'inscription jeudi 27 mars 2008 Statut Membre Dernière intervention 8 septembre 2013
29 juil. 2009 à 12:56
et le rapport de ESETONLINE :

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=6
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.5889
# api_version=3.0.2
# EOSSerial=629cd6b6b1675a47a554caf50ffde4ee
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2009-07-28 11:51:34
# local_time=2009-07-29 01:51:34 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 37 75 100 943466875000
# scanned=370419
# found=4
# cleaned=1
# scan_time=8121
C:\Documents and Settings\Jean-Paul\Local Settings\Application Data\Identities\{B359F001-49A1-4372-9DE4-8AFEC220C868}\Microsoft\Outlook Express\Éléments envoyés.dbx une variante probable de Win32/SdBot cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
C:\Documents and Settings\Maxime\Local Settings\Application Data\Identities\{4215B730-F5D6-4680-82EE-370EE3196A20}\Microsoft\Outlook Express\Boîte de réception.dbx Win32/Joke.ScreenMate application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\Documents and Settings\Maxime\Mes documents\Felix.exe Win32/Joke.ScreenMate application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\Maxime\Mes documents\Outlook Express\Boîte de réception.dbx Win32/Joke.ScreenMate application (impossible de nettoyer) 00000000000000000000000000000000 I
0
Réponse 10 / 12
kduc Messages postés 1462 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 novembre 2011 133
29 juil. 2009 à 22:39
Salut,

Tu as certainement un peu de ménage à faire dans ta boite Outlook Express ...
0
Réponse 11 / 12
matelot83 Messages postés 53 Date d'inscription jeudi 27 mars 2008 Statut Membre Dernière intervention 8 septembre 2013
30 juil. 2009 à 10:50
Vu OK, pour le pb voici la réponse du support GOTO Vade Retro :

"Le souci est bien connu au niveau de nos services, c'est ce qu'on appelle un faux positif, nous avons contacté Antivir et le souci est normalement réglé suite à une mise à jour de leur base.
A mon avis une réinstallation de votre antivirus devrait pallier au problème, si ce n'est pas le cas, il faudra ajouter la dll de vade retro dans les exceptions d'analyse de votre antivirus pour que la mise à jour de l'antispam puisse s'opérer normalement."

affaire résolue.
Merci pour toute l'intervention, tjrs beaucoup d'aide spontanée sur le site, merci à tous les helpers et toi en particulier.
0
Réponse 12 / 12
kduc Messages postés 1462 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 novembre 2011 133
30 juil. 2009 à 23:33
Salut,

Pas de quoi pour l' aide apportée ...

Quelques conseils ...
https://www.malekal.com/proteger-pc-virus-pirates/
et aussi ...
https://www.malekal.com/securiser-votre-navigateur-internet-explorer-2/

Sur ton tout premier message, mets le statut "résolu" :

https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

Bon surf.
0

Discussions similaires

Verrouillage par fermeture de coque Samsung Galaxy
jicece33 -
Sylv -

6 réponses
Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
Verrouiller écran lors de la fermeture du clapet
helyane -
HelpiOS -

13 réponses
Etui magnetique Samsung S21 Ultra
Gil -
loisou17 -

4 réponses