Detection Trojan TR/Crypt.XPACK.Gen et plus - Page 3

Précédent
  • 1
  • 2
  • 3
  • 4
  1. jeannotlapin31 Messages postés 14 Statut Membre
     
    Seulement le log.txt est apparu, l'info.txt dans C:\rsit est le meme que celui que j'ai fait y a 4 jours...

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by EndUser at 2009-08-07 12:36:16
    Microsoft Windows XP Home Edition Service Pack 2
    System drive C: has 10 GB (26%) free of 38 GB
    Total RAM: 222 MB (33% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:36:33 PM, on 8/7/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\EndUser\Desktop\REPARATION ORDI\RSIT.exe
    C:\Program Files\trend micro\EndUser.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6711
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    0
  2. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    1ère chose à faire :

    Démarches à faire pour afficher les fichiers et dossiers cachés :

    * Double cliquez sur l'Icône Poste de travail qui se trouve sur votre bureau
    * Votre Poste de travail s'affichera alors comme sur cette image
    * Ensuite dans la barre des menus en haut,vous cliquez sur "Outils"
    * Puis vous cliquez sur "Options des dossiers" comme sur cette image
    * Une fois l'option "Options des dossiers" sélectionnée vous verrez apparaître une fenêtre intitulée Options des dossiers
    * Cliquez donc sur l'onglet Affichage et vous obtiendrez cette fenêtre ci
    * Dans les options qui vous sont proposées, sélectionnez " Afficher les dossiers et fichiers cachés" comme sur cette image
    * Masquer les extensions des fichiers dont le type est connu
    * Masquer les fichiers protégés du système d'exploitation
    * Voir comme sur cette image
    * Cliquez ensuite sur "Appliquer" et validez par "Ok"

    2ème chose :

    * Démarrer en mode sans échec manuellement
    * Tapez sur la touche F8 avant de voir apparaitre la barre de progression, avant l'écran de logo Windows
    * Sélectionnez alors le mode sans échec avec prise ne charge réseau et appuyez sur la touche entrée de votre clavier.

    3ème chose :

    supprime manuellement C:\3m2.exe, puis vider votre poubelle, toujours en mode sans échec.

    4ème chose :

    Ensuite toujours en mode sans échec :

    Va dans démarrer puis exécuter et tape CMD

    Dans la fenêtre noir, tape sc delete mbr

    Puis entrée et dit nous ce que la commande te dit exactement
    0
  3. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Une dernière chose mettre ce fichier C:\sertup.exe à la poubelle, sans la vider. et me dire si cela fait quelque à l'ordi?
    0
  4. jeannotlapin31 Messages postés 14 Statut Membre
     
    Salut,
    Y a un probleme, je trouve pas le fichier C:\3m2.exe la ou il est suppose' etre meme avec une recherche je trouve pas. Voici les demarches que j'ai suivi :

    1) Affichage des dossiers cache' que tu m'as dis,
    2) je demarre en mode sans echec (prise en charge reseau),
    3) au demarrage, j'ai deux comptes utilisateurs, le miens (ENDUSER) et ADMINISTRATEUR, je choisi un des deux (j'ai essaye' avec les deux),
    4) Et je trouve pas le fameux fichier 3m2.exe...

    Que faire alors?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    salut pour avancer pimprenelle :

    Télécharge OTL de OLDTimer

    enregistre le sur ton Bureau.

    ▶ Double clic sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant scan all users

    ▶ règle-le sur "60 Days"

    ▶Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    Tu feras la meme chose avec le "Extra.txt".
    0
  7. jeannotlapin31
     
    Ok c fait voila les liens gen-hackman:

    OTL:
    http://www.cijoint.fr/cjlink.php?file=cj200908/cijHDknI04.txt

    Extra:
    http://www.cijoint.fr/cjlink.php?file=cj200908/cij1VLgmAd.txt
    0
  8. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Merci gen-hackman, si tu veux finir jeannotlapin31 y a pas de souci.
    0
  9. gen-hackman
     
    ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
    * - Coche Afficher les fichiers et dossiers cachés
    * - Décoche Masquer les extensions des fichiers dont le type est connu
    * - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

    ▶ clique sur Appliquer, puis OK.

    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

    C:\WINDOWS\System32\xvassdf.exe
    C:\WINDOWS\System32\4tddfwq0.dll


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

    Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
    0
  10. jeannotlapin31
     
    Bonjour gen-hackman, desole' pour le retard j'etais absent hier...

    File xvassdf.exe received on 2009.08.09 19:37:54 (UTC)
    Antivirus Version Last Update Result
    a-squared 4.5.0.24 2009.08.09 Worm.Win32.Taterf!IK
    AhnLab-V3 5.0.0.2 2009.08.08 -
    AntiVir 7.9.0.248 2009.08.09 TR/PSW.OnlineGames.KCMJ.32
    Antiy-AVL 2.0.3.7 2009.08.07 -
    Authentium 5.1.2.4 2009.08.09 -
    Avast 4.8.1335.0 2009.08.08 Win32:Kavos
    AVG 8.5.0.406 2009.08.09 PSW.OnlineGames.2.S
    BitDefender 7.2 2009.08.09 Trojan.PWS.OnlineGames.KCMJ
    CAT-QuickHeal 10.00 2009.08.08 Worm.AutoRun.gen
    ClamAV 0.94.1 2009.08.07 -
    Comodo 1923 2009.08.09 TrojWare.Win32.Trojan.Agent.Gen
    DrWeb 5.0.0.12182 2009.08.09 Trojan.PWS.Wsgame.4983
    eSafe 7.0.17.0 2009.08.09 Win32.Horse
    eTrust-Vet 31.6.6667 2009.08.08 -
    F-Prot 4.4.4.56 2009.08.09 -
    F-Secure 8.0.14470.0 2009.08.09 -
    Fortinet 3.120.0.0 2009.08.09 W32/Gamania.N!tr.pws
    GData 19 2009.08.09 Trojan.PWS.OnlineGames.KCMJ
    Ikarus T3.1.1.64.0 2009.08.09 Worm.Win32.Taterf
    Jiangmin 11.0.800 2009.08.09 -
    K7AntiVirus 7.10.814 2009.08.08 Trojan.Win32.Malware.4
    Kaspersky 7.0.0.125 2009.08.09 -
    McAfee 5704 2009.08.09 Generic PWS.ak
    McAfee+Artemis 5704 2009.08.09 Generic PWS.ak
    McAfee-GW-Edition 6.8.5 2009.08.09 Heuristic.LooksLike.Win32.NewMalware.B
    Microsoft 1.4903 2009.08.09 Worm:Win32/Taterf.B
    NOD32 4320 2009.08.09 -
    Norman 6.01.09 2009.08.07 W32/OnLineGames.dam
    nProtect 2009.1.8.0 2009.08.09 Trojan-PWS/W32.WebGame.104690
    Panda 10.0.0.14 2009.08.09 Generic Trojan
    PCTools 4.4.2.0 2009.08.09 -
    Prevx 3.0 2009.08.09 Medium Risk Malware
    Rising 21.41.62.00 2009.08.09 -
    Sophos 4.44.0 2009.08.09 Mal/Generic-A
    Sunbelt 3.2.1858.2 2009.08.09 Worm.Win32.AutoRun
    Symantec 1.4.4.12 2009.08.09 Trojan Horse
    TheHacker 6.3.4.3.378 2009.08.08 -
    TrendMicro 8.950.0.1094 2009.08.08 -
    VBA32 3.12.10.9 2009.08.09 -
    ViRobot 2009.8.8.1875 2009.08.08 -
    VirusBuster 4.6.5.0 2009.08.09 -
    Additional information
    File size: 104690 bytes
    MD5...: 589a2cafcf398f57b57884797bb5ed80
    SHA1..: bcc1d073410144fe67eedb0d9c331988f436def0
    SHA256: 0ab70198804dc4c6270ac62d6de8a5bc4fb410a7596da104a0dbc839be181132
    ssdeep: 1536:F0dBQU2sAxuuEMh6uBfzEAS7CzyPLU9crmLP1svtD09RPWtVHTEvF:+THlG<br>EMbB7E/7/XTD09RPWDmF<br>
    PEiD..: -
    TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (75.0%)<br>Win32 Executable Generic (16.9%)<br>Generic Win/DOS Executable (3.9%)<br>DOS Executable Generic (3.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x30ceb<br>timedatestamp.....: 0x4a164f4f (Fri May 22 07:07:59 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0xa000 0x9fd2 7.99 65ac2c450b97abe91cc2b57c3dee4fc2<br>.data 0xb000 0x2000 0x1ed9 7.97 89a52497990947acc48f1a5f124d2b6e<br>.idata 0xd000 0xd000 0xce28 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rdata 0x1a000 0x17000 0x17000 8.00 39fee153a34bff52124dfed9f925836a<br>.sdata 0x31000 0x1000 0xa00 0.70 be966fca85cb27c028363aa7f2e31f18<br>.rsrc 0x32000 0x1000 0x1000 0.84 71b413aaa8a4616e3bcdaf6abdd0d8f9<br>bqem 0x33000 0xabdf 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br><br>( 1 imports ) <br>> KERNEL32.DLL: FileTimeToSystemTime, GetVolumePathNameW, GetUserDefaultLCID, CreateFileW, GetSystemTime, GetSystemTimeAdjustment, GlobalFix, EnterCriticalSection, GetEnvironmentVariableW, GlobalFree, FindNextVolumeW, GetPrivateProfileSectionNamesA, GetDiskFreeSpaceExA, GetCurrentProcessId, GetLocaleInfoA, GetTapeParameters, FileTimeToDosDateTime, GetPrivateProfileStringA, GetDiskFreeSpaceA, GetPrivateProfileSectionA, FreeLibrary, IsBadReadPtr, FlushViewOfFile, FindFirstVolumeA, GetLocalTime, GetProcessAffinityMask, GetPriorityClass, GetModuleHandleA, GetLongPathNameW, GetProcessVersion, GlobalLock, FreeLibrary, FormatMessageA, LoadLibraryA, FileTimeToDosDateTime, FindResourceA, CopyFileW, FindFirstChangeNotificationA, FatalAppExitA<br><br>( 0 exports ) <br>
    PDFiD.: -
    RDS...: NSRL Reference Data Set<br>-
    packers (Kaspersky): PE_Patch
    Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=5B886F5FF2BE709198730199D5DF7300186CCC7E' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=5B886F5FF2BE709198730199D5DF7300186CCC7E</a>

    Antivirus Version Last Update Result
    a-squared 4.5.0.24 2009.08.09 Worm.Win32.Taterf!IK
    AhnLab-V3 5.0.0.2 2009.08.08 -
    AntiVir 7.9.0.248 2009.08.09 TR/PSW.OnlineGames.KCMJ.32
    Antiy-AVL 2.0.3.7 2009.08.07 -
    Authentium 5.1.2.4 2009.08.09 -
    Avast 4.8.1335.0 2009.08.08 Win32:Kavos
    AVG 8.5.0.406 2009.08.09 PSW.OnlineGames.2.S
    BitDefender 7.2 2009.08.09 Trojan.PWS.OnlineGames.KCMJ
    CAT-QuickHeal 10.00 2009.08.08 Worm.AutoRun.gen
    ClamAV 0.94.1 2009.08.07 -
    Comodo 1923 2009.08.09 TrojWare.Win32.Trojan.Agent.Gen
    DrWeb 5.0.0.12182 2009.08.09 Trojan.PWS.Wsgame.4983
    eSafe 7.0.17.0 2009.08.09 Win32.Horse
    eTrust-Vet 31.6.6667 2009.08.08 -
    F-Prot 4.4.4.56 2009.08.09 -
    F-Secure 8.0.14470.0 2009.08.09 -
    Fortinet 3.120.0.0 2009.08.09 W32/Gamania.N!tr.pws
    GData 19 2009.08.09 Trojan.PWS.OnlineGames.KCMJ
    Ikarus T3.1.1.64.0 2009.08.09 Worm.Win32.Taterf
    Jiangmin 11.0.800 2009.08.09 -
    K7AntiVirus 7.10.814 2009.08.08 Trojan.Win32.Malware.4
    Kaspersky 7.0.0.125 2009.08.09 -
    McAfee 5704 2009.08.09 Generic PWS.ak
    McAfee+Artemis 5704 2009.08.09 Generic PWS.ak
    McAfee-GW-Edition 6.8.5 2009.08.09 Heuristic.LooksLike.Win32.NewMalware.B
    Microsoft 1.4903 2009.08.09 Worm:Win32/Taterf.B
    NOD32 4320 2009.08.09 -
    Norman 6.01.09 2009.08.07 W32/OnLineGames.dam
    nProtect 2009.1.8.0 2009.08.09 Trojan-PWS/W32.WebGame.104690
    Panda 10.0.0.14 2009.08.09 Generic Trojan
    PCTools 4.4.2.0 2009.08.09 -
    Prevx 3.0 2009.08.09 Medium Risk Malware
    Rising 21.41.62.00 2009.08.09 -
    Sophos 4.44.0 2009.08.09 Mal/Generic-A
    Sunbelt 3.2.1858.2 2009.08.09 Worm.Win32.AutoRun
    Symantec 1.4.4.12 2009.08.09 Trojan Horse
    TheHacker 6.3.4.3.378 2009.08.08 -
    TrendMicro 8.950.0.1094 2009.08.08 -
    VBA32 3.12.10.9 2009.08.09 -
    ViRobot 2009.8.8.1875 2009.08.08 -
    VirusBuster 4.6.5.0 2009.08.09 -

    Additional information
    File size: 104690 bytes
    MD5...: 589a2cafcf398f57b57884797bb5ed80
    SHA1..: bcc1d073410144fe67eedb0d9c331988f436def0
    SHA256: 0ab70198804dc4c6270ac62d6de8a5bc4fb410a7596da104a0dbc839be181132
    ssdeep: 1536:F0dBQU2sAxuuEMh6uBfzEAS7CzyPLU9crmLP1svtD09RPWtVHTEvF:+THlG<br>EMbB7E/7/XTD09RPWDmF<br>
    PEiD..: -
    TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (75.0%)<br>Win32 Executable Generic (16.9%)<br>Generic Win/DOS Executable (3.9%)<br>DOS Executable Generic (3.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x30ceb<br>timedatestamp.....: 0x4a164f4f (Fri May 22 07:07:59 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0xa000 0x9fd2 7.99 65ac2c450b97abe91cc2b57c3dee4fc2<br>.data 0xb000 0x2000 0x1ed9 7.97 89a52497990947acc48f1a5f124d2b6e<br>.idata 0xd000 0xd000 0xce28 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rdata 0x1a000 0x17000 0x17000 8.00 39fee153a34bff52124dfed9f925836a<br>.sdata 0x31000 0x1000 0xa00 0.70 be966fca85cb27c028363aa7f2e31f18<br>.rsrc 0x32000 0x1000 0x1000 0.84 71b413aaa8a4616e3bcdaf6abdd0d8f9<br>bqem 0x33000 0xabdf 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br><br>( 1 imports ) <br>> KERNEL32.DLL: FileTimeToSystemTime, GetVolumePathNameW, GetUserDefaultLCID, CreateFileW, GetSystemTime, GetSystemTimeAdjustment, GlobalFix, EnterCriticalSection, GetEnvironmentVariableW, GlobalFree, FindNextVolumeW, GetPrivateProfileSectionNamesA, GetDiskFreeSpaceExA, GetCurrentProcessId, GetLocaleInfoA, GetTapeParameters, FileTimeToDosDateTime, GetPrivateProfileStringA, GetDiskFreeSpaceA, GetPrivateProfileSectionA, FreeLibrary, IsBadReadPtr, FlushViewOfFile, FindFirstVolumeA, GetLocalTime, GetProcessAffinityMask, GetPriorityClass, GetModuleHandleA, GetLongPathNameW, GetProcessVersion, GlobalLock, FreeLibrary, FormatMessageA, LoadLibraryA, FileTimeToDosDateTime, FindResourceA, CopyFileW, FindFirstChangeNotificationA, FatalAppExitA<br><br>( 0 exports ) <br>
    PDFiD.: -
    RDS...: NSRL Reference Data Set<br>-
    packers (Kaspersky): PE_Patch
    Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=5B886F5FF2BE709198730199D5DF7300186CCC7E' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=5B886F5FF2BE709198730199D5DF7300186CCC7E</a>

    _______________________________________________________________________________________

    File 4tddfwq0.dll received on 2009.08.09 19:51:27 (UTC)
    Antivirus Version Last Update Result
    a-squared 4.5.0.24 2009.08.09 Trojan.Win32.Inhoo!IK
    AhnLab-V3 5.0.0.2 2009.08.08 -
    AntiVir 7.9.0.248 2009.08.09 TR/PSW.Magania.beyq
    Antiy-AVL 2.0.3.7 2009.08.07 -
    Authentium 5.1.2.4 2009.08.09 -
    Avast 4.8.1335.0 2009.08.08 Win32:Kavos
    AVG 8.5.0.406 2009.08.09 -
    BitDefender 7.2 2009.08.09 Trojan.PWS.OnlineGames.KCMJ
    CAT-QuickHeal 10.00 2009.08.08 TrojanGameThief.Magania.beyq
    ClamAV 0.94.1 2009.08.07 -
    Comodo 1923 2009.08.09 TrojWare.Win32.GameThief.Magania.beyq
    DrWeb 5.0.0.12182 2009.08.09 -
    eSafe 7.0.17.0 2009.08.09 Suspicious File
    eTrust-Vet 31.6.6667 2009.08.08 -
    F-Prot 4.4.4.56 2009.08.09 -
    F-Secure 8.0.14470.0 2009.08.09 Trojan-GameThief.Win32.Magania.beyq
    Fortinet 3.120.0.0 2009.08.09 PossibleThreat
    GData 19 2009.08.09 Trojan.PWS.OnlineGames.KCMJ
    Ikarus T3.1.1.64.0 2009.08.09 Trojan.Win32.Inhoo
    Jiangmin 11.0.800 2009.08.09 Trojan/PSW.Magania.sir
    K7AntiVirus 7.10.814 2009.08.08 Trojan-PSW.Win32.Magania.beyq
    Kaspersky 7.0.0.125 2009.08.09 Trojan-GameThief.Win32.Magania.beyq
    McAfee 5704 2009.08.09 Generic PWS.ak
    McAfee+Artemis 5704 2009.08.09 Generic PWS.ak
    McAfee-GW-Edition 6.8.5 2009.08.09 Heuristic.BehavesLike.Win32.Adware.H
    Microsoft 1.4903 2009.08.09 Trojan:Win32/Inhoo.A
    NOD32 4320 2009.08.09 a variant of Win32/Pacex.Gen
    Norman 6.01.09 2009.08.07 -
    nProtect 2009.1.8.0 2009.08.09 Trojan-PWS/W32.WebGame.87040.EH
    Panda 10.0.0.14 2009.08.09 Trj/Lineage.BZE
    PCTools 4.4.2.0 2009.08.09 -
    Prevx 3.0 2009.08.09 Medium Risk Malware
    Rising 21.41.62.00 2009.08.09 -
    Sophos 4.44.0 2009.08.09 Mal/Generic-A
    Sunbelt 3.2.1858.2 2009.08.09 Worm.Win32.AutoRun
    Symantec 1.4.4.12 2009.08.09 Infostealer
    TheHacker 6.3.4.3.378 2009.08.08 Trojan/Magania.beyq
    TrendMicro 8.950.0.1094 2009.08.08 -
    VBA32 3.12.10.9 2009.08.09 -
    ViRobot 2009.8.8.1875 2009.08.08 Spyware.PSW.Magania.87040.V
    VirusBuster 4.6.5.0 2009.08.09 -
    Additional information
    File size: 87040 bytes
    MD5...: 03e332c0214a80aac2bf18d0c7da432c
    SHA1..: 4c29a1171ab8560927fe540744a76bc929f7326e
    SHA256: a619c4a5d975c5d973319becb86854b55c85f6aaee4e731b4ab2b64ac79f628e
    ssdeep: 768:CcajWZ/vS+YYoPL8sYskW//fKFFYF5UD/vA9439+/l+bj7aD8suFiUzn9:da<br>aZ/mYq8sxkW/6F+FGzvAPMSUi4n<br>
    PEiD..: -
    TrID..: File type identification<br>Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x273e5<br>timedatestamp.....: 0x4a164f48 (Fri May 22 07:07:52 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x5000 0x4f65 7.99 6f351ebb479c36340b94435a337a23f6<br>.data 0x6000 0x7000 0x6e43 7.99 8d8dba2b2afa63fef3ea25e01fafa165<br>.idata 0xd000 0xc000 0xbfb1 0.00 0829f71740aab1ab98b33eae21dee122<br>.rdata 0x19000 0x2000 0x2000 7.97 69c1e2201bdef9d97895767ffe03efac<br>.sdata 0x1b000 0xd000 0xce00 7.88 8f943c6cd8f993ae9d03707c9709951d<br>.rsrc 0x28000 0x1000 0x1000 0.84 71b413aaa8a4616e3bcdaf6abdd0d8f9<br>xsmfsd 0x29000 0xb2d2 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br><br>( 1 imports ) <br>> KERNEL32.DLL: FreeUserPhysicalPages, CreateFileW, FreeConsole, GetCurrentProcessId, IsBadReadPtr, FindNextFileW, GetProfileSectionW, CreateEventA, GetThreadPriority, GetSystemWindowsDirectoryA, LoadLibraryA, GetStringTypeW, GetVersionExA, GetStringTypeExA, GetStdHandle, EnterCriticalSection, GetCurrentProcessId<br><br>( 0 exports ) <br>
    PDFiD.: -
    RDS...: NSRL Reference Data Set<br>-
    Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=3DFA3F7A00FC045C545E01332A5DF00084203A7B' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=3DFA3F7A00FC045C545E01332A5DF00084203A7B</a>

    Antivirus Version Last Update Result
    a-squared 4.5.0.24 2009.08.09 Trojan.Win32.Inhoo!IK
    AhnLab-V3 5.0.0.2 2009.08.08 -
    AntiVir 7.9.0.248 2009.08.09 TR/PSW.Magania.beyq
    Antiy-AVL 2.0.3.7 2009.08.07 -
    Authentium 5.1.2.4 2009.08.09 -
    Avast 4.8.1335.0 2009.08.08 Win32:Kavos
    AVG 8.5.0.406 2009.08.09 -
    BitDefender 7.2 2009.08.09 Trojan.PWS.OnlineGames.KCMJ
    CAT-QuickHeal 10.00 2009.08.08 TrojanGameThief.Magania.beyq
    ClamAV 0.94.1 2009.08.07 -
    Comodo 1923 2009.08.09 TrojWare.Win32.GameThief.Magania.beyq
    DrWeb 5.0.0.12182 2009.08.09 -
    eSafe 7.0.17.0 2009.08.09 Suspicious File
    eTrust-Vet 31.6.6667 2009.08.08 -
    F-Prot 4.4.4.56 2009.08.09 -
    F-Secure 8.0.14470.0 2009.08.09 Trojan-GameThief.Win32.Magania.beyq
    Fortinet 3.120.0.0 2009.08.09 PossibleThreat
    GData 19 2009.08.09 Trojan.PWS.OnlineGames.KCMJ
    Ikarus T3.1.1.64.0 2009.08.09 Trojan.Win32.Inhoo
    Jiangmin 11.0.800 2009.08.09 Trojan/PSW.Magania.sir
    K7AntiVirus 7.10.814 2009.08.08 Trojan-PSW.Win32.Magania.beyq
    Kaspersky 7.0.0.125 2009.08.09 Trojan-GameThief.Win32.Magania.beyq
    McAfee 5704 2009.08.09 Generic PWS.ak
    McAfee+Artemis 5704 2009.08.09 Generic PWS.ak
    McAfee-GW-Edition 6.8.5 2009.08.09 Heuristic.BehavesLike.Win32.Adware.H
    Microsoft 1.4903 2009.08.09 Trojan:Win32/Inhoo.A
    NOD32 4320 2009.08.09 a variant of Win32/Pacex.Gen
    Norman 6.01.09 2009.08.07 -
    nProtect 2009.1.8.0 2009.08.09 Trojan-PWS/W32.WebGame.87040.EH
    Panda 10.0.0.14 2009.08.09 Trj/Lineage.BZE
    PCTools 4.4.2.0 2009.08.09 -
    Prevx 3.0 2009.08.09 Medium Risk Malware
    Rising 21.41.62.00 2009.08.09 -
    Sophos 4.44.0 2009.08.09 Mal/Generic-A
    Sunbelt 3.2.1858.2 2009.08.09 Worm.Win32.AutoRun
    Symantec 1.4.4.12 2009.08.09 Infostealer
    TheHacker 6.3.4.3.378 2009.08.08 Trojan/Magania.beyq
    TrendMicro 8.950.0.1094 2009.08.08 -
    VBA32 3.12.10.9 2009.08.09 -
    ViRobot 2009.8.8.1875 2009.08.08 Spyware.PSW.Magania.87040.V
    VirusBuster 4.6.5.0 2009.08.09 -

    Additional information
    File size: 87040 bytes
    MD5...: 03e332c0214a80aac2bf18d0c7da432c
    SHA1..: 4c29a1171ab8560927fe540744a76bc929f7326e
    SHA256: a619c4a5d975c5d973319becb86854b55c85f6aaee4e731b4ab2b64ac79f628e
    ssdeep: 768:CcajWZ/vS+YYoPL8sYskW//fKFFYF5UD/vA9439+/l+bj7aD8suFiUzn9:da<br>aZ/mYq8sxkW/6F+FGzvAPMSUi4n<br>
    PEiD..: -
    TrID..: File type identification<br>Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x273e5<br>timedatestamp.....: 0x4a164f48 (Fri May 22 07:07:52 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x5000 0x4f65 7.99 6f351ebb479c36340b94435a337a23f6<br>.data 0x6000 0x7000 0x6e43 7.99 8d8dba2b2afa63fef3ea25e01fafa165<br>.idata 0xd000 0xc000 0xbfb1 0.00 0829f71740aab1ab98b33eae21dee122<br>.rdata 0x19000 0x2000 0x2000 7.97 69c1e2201bdef9d97895767ffe03efac<br>.sdata 0x1b000 0xd000 0xce00 7.88 8f943c6cd8f993ae9d03707c9709951d<br>.rsrc 0x28000 0x1000 0x1000 0.84 71b413aaa8a4616e3bcdaf6abdd0d8f9<br>xsmfsd 0x29000 0xb2d2 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br><br>( 1 imports ) <br>> KERNEL32.DLL: FreeUserPhysicalPages, CreateFileW, FreeConsole, GetCurrentProcessId, IsBadReadPtr, FindNextFileW, GetProfileSectionW, CreateEventA, GetThreadPriority, GetSystemWindowsDirectoryA, LoadLibraryA, GetStringTypeW, GetVersionExA, GetStringTypeExA, GetStdHandle, EnterCriticalSection, GetCurrentProcessId<br><br>( 0 exports ) <br>
    PDFiD.: -
    RDS...: NSRL Reference Data Set<br>-
    Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=3DFA3F7A00FC045C545E01332A5DF00084203A7B' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=3DFA3F7A00FC045C545E01332A5DF00084203A7B</a>
    0
  11. gen-hackman
     
    supprime ces deux fichiers manuellement , puis :

    ▶ Télécharge Dr Web CureIt sur ton Bureau :

    ▶ redemarre en mode sans échec

    ▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

    ▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

    Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

    ▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
    ▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
    ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
    ▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
    ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
    ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
    ▶- Ferme Dr.Web Cureit
    ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
    ▶- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

    0
  12. jeannotlapin31
     
    Le rapport dit seulement la chose suivante: 3m2.exe;C:\;Trojan.PWS.Wsgame.4983;Deleted.;
    Est-ce que ca veut dire que mon pc est guéri???
    0
  13. gen-hackman
     
    ok refais un OTL stp en fermant tous tes navigateurs
    0
  14. jeannotlapin31
     
    Voici:

    http://www.cijoint.fr/cjlink.php?file=cj200908/cijvSsxjck.txt

    Ca me donne pas l'Extra juste l'OTL...
    0
  15. gen-hackman
     
    le programme "mindjet" te dit quelque chose ?
    0
  16. jeannotlapin31
     
    Oui Mindjet c'est le fameux programme a l'origine de tous mes maux!!! C'est quand je l'ai installe' j'ai chope' le trojan...
    0
  17. gen-hackman
     
    bien dans ce cas ca te derange pas de le degager je suppose :)
    0
  18. jeannotlapin31
     
    Voila c fait, mindjet a la poubelle... J'imagine que c'est fait car je recois plus aucuns message d'alerte.
    Si c'est le cas, mon autre laptop a logiquement le meme tojan, est-ce que je peux repeter les memes etapes qu'ici??
    Merci!
    0
  19. gen-hackman
     
    non tous les pc et problemes sont differents même avec les memes symptomes

    euh.....viré viré heu.....

    ==> Télécharge OAD (de Laur3n7!)

    ▶ Enregistre le sur ton bureau

    ▶ Double clique sur le OAD pour le lancer

    ▶ nom de fichier à rechercher ,tape : Mindjet

    ▶ Type de recherche : sélectionne l'option 6 puis valide [entree]

    OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
    Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

    ▶ Fais un copier / coller de ce rapport dans ton prochain post.

    Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient
    0
  20. jeannotlapin31
     
    Salut, as tu un autre liens pour telecharcher OAD? Celui que tu as mis fonctionne pas.
    0
  21. gen-hackman
     
    http://www.cijoint.fr/cjlink.php?file=cj200908/cijaZE0pi0.zip
    0
Précédent
  • 1
  • 2
  • 3
  • 4