Grand problème causé par keylogger Résolu/Fermé

Question

Bonjour,
       Il y as quelques mois , j'ai remarqué que tout les comptes que j'utilise sur mon Ordinateur , on été piraté . Personnellement , je crois que c'est un "keylogger" relié à un FTP . Mais , le problème , c'est que j'ai pas le temps . Je peux le Formater au bas-niveau , mais j'ai pas le temps ! Si Il y as une solution , s'il vous plait , aidez moi .

                                                                 Et Merci ...

gen-hackman · Answer

salut les scans prennent du temps pour bien desinfecter un pc

Boudayoub · Answer

Le vrai problème c'est que mon UC est toujours à 100% , et même , j'ai ESS ( Eset Smart Security ) , mais il ne detecte rien du tout ! J'ai besoin d'une explication pourquoi Mon UC est toujours à 100% , et peut être , une solution pour mon problème initiale .
                            Merci encore

gen-hackman · Answer

on va essayer de voir ca :

&#9654 Télécharge UsbFix

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

&#9654 Double clic sur le raccourci UsbFix présent sur ton bureau .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Boudayoub · Answer

Bonsoir encore , en premier merci de m'avoir proposer l'aide . Deuxièmement , voici le rapport :


############################## | UsbFix V6.099 |

User : Administrateur (Administrateurs) # SWEET-7D8BA3EBF
Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:36:46 | 16/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : ESET Smart Security 4.0 4.0 [ Enabled | Updated ]
FW : ESET Personal firewall[ Enabled ]4.0.474.0

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 14,65 Go (9,16 Go free) # NTFS
D:\ -> Disque fixe local # 22,59 Go (11,15 Go free) # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM

################## | Elements infectieux |

C:\WINDOWS\System32\mmm.exe  

################## | Registre |

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"  

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.099 ! |

Boudayoub · Answer

Une remarque que j'ai fait : A chaque fois que j'essaye configurer internet ( paramétrage de sites accessibles et non accessibles et d'autres choses ), une fenêtre surgis avec le message suivant : Les paramètres du Par-feu Windows ne peuvent pas être afficher car le service associé n'est pas en cours d'exécution .

En tout cas merci Hackman pour ton aide

gen-hackman · Answer

&#9654  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#9654 Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

&#9654 Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

&#9654 Ton bureau disparaitra et le pc redémarrera .

&#9654 Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Boudayoub · Answer

Salut ! 
Le rapport est déjà en haut ! 
tu le vois pas ?

gen-hackman · Answer

si mais maintenant c'est la suppression que je te demande

Boudayoub · Answer

Ah ! 
Sa sera fait mnt ^^

Boudayoub · Answer

Voici le rapport : ( Désolé pour tout à l'heure j'ai pas fait d'attention )



############################## | UsbFix V6.099 |

User : Administrateur (Administrateurs) # SWEET-7D8BA3EBF
Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 13:00:37 | 17/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : ESET Smart Security 4.0 4.0 [ Enabled | Updated ]
FW : ESET Personal firewall[ Enabled ]4.0.474.0

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 14,65 Go (9,09 Go free) # NTFS
D:\ -> Disque fixe local # 22,59 Go (11,08 Go free) # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\System32\mmm.exe 
Supprimé ! C:\Recycler\S-1-5-21-1645522239-1390067357-1606980848-500 

################## | Registre |

Supprimé ! [HKLM\software\microsoft\shared tools\msconfig\startupreg\Mmm]  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"  

################## | Mountpoints2 |


################## | Listing des fichiers présent |

[10/11/2009 00:05|---------|11055567] C:\$Persi0.sys 
[28/04/2003 02:56|--a------|0] C:\AUTOEXEC.BAT 
[28/04/2003 02:49|---hs----|212] C:\boot.ini 
[25/06/2008 18:29|-rahs----|4952] C:\Bootfont.bin 
[28/04/2003 02:56|--a------|0] C:\CONFIG.SYS 
[21/02/2010 21:50|--a------|29] C:\dfinstall.log 
[28/04/2003 02:56|-rahs----|0] C:\IO.SYS 
[28/04/2003 02:56|-rahs----|0] C:\MSDOS.SYS 
[25/06/2008 18:30|-rahs----|47564] C:\NTDETECT.COM 
[25/06/2008 18:30|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[28/04/2003 02:56|--a------|1224] C:\Silverlight0.log 
[28/04/2003 02:56|--a------|193764] C:\SilverlightMSI.log 
[17/03/2010 13:03|--a------|1903] C:\UsbFix.txt 
[28/04/2003 03:31|--a------|14149] C:\WPI.log 
[11/09/2009 17:22|--a------|592208] D:\install.exe 
[30/09/2009 20:56|--a------|3095008] D:\idman518.exe 
[24/11/2007 07:46|--ah-----|969] D:\Hardware.ini 
[22/01/2010 15:29|--a------|117760] D:\?????.doc 
[11/09/2009 17:16|--a------|586] D:\globdata.ini 
[12/03/2009 12:52|--ah-----|198] D:\Picasa.ini 
[11/09/2009 17:16|--a------|659] D:\install.ini 
[06/12/2009 20:45|--a------|46592] D:\????? ???????.doc 
[20/12/2009 22:32|--ahs----|39936] D:\Thumbs.db 
[11/09/2009 17:16|--a------|20716] D:\eula.2052.txt 
[15/10/2009 22:25|--a------|24576] D:\Nouveau Document Microsoft Word.doc 
[22/11/2009 22:28|--a------|4668] D:\hawli mabrouk l3id.JPG 
[01/08/2006 00:00|--a------|4646727] D:\Deep Freeze Standard v6.00.020.1523.exe 
[22/01/2010 15:29|--a------|117760] D:\???????????.doc 
[24/01/2010 19:11|--a------|49664] D:\Repertoire telephonique.xls 
[11/09/2009 17:16|--a------|20716] D:\eula.1028.txt 
[21/11/2008 19:58|--ah-----|162] D:\~$?? ?????? ??? ??????.doc 
[11/09/2009 17:16|--a------|20716] D:\eula.1031.txt 
[06/01/2010 20:57|--a------|48128] D:\Dahir n 1-62-105Remembrement rurale 1962.doc 
[20/01/2010 18:08|--a------|10213] D:\941144915.docx 
[31/01/2010 10:24|--a------|1924200] D:\install_flash_player.exe 
[05/02/2010 13:54|--a------|115200] D:\????? ???? ?????? ??????? ???????  ???? ???????? ?? ???????.doc 
[22/02/2010 16:23|--ah-----|162] D:\~$??? ???? ?????? ??????? ???????  ???? ???????? ?? ???????.doc 
[11/09/2009 17:22|--a------|31584] D:\install.res.2052.dll 
[11/09/2009 17:22|--a------|32096] D:\install.res.1028.dll 
[11/09/2009 17:22|--a------|53072] D:\install.res.1031.dll 
[11/09/2009 17:22|--a------|47456] D:\install.res.1033.dll 
[11/09/2009 17:22|--a------|52576] D:\install.res.3082.dll 
[11/09/2009 17:22|--a------|53600] D:\install.res.1036.dll 
[11/09/2009 17:22|--a------|52064] D:\install.res.1040.dll 
[11/09/2009 17:22|--a------|37728] D:\install.res.1041.dll 
[11/09/2009 17:22|--a------|36192] D:\install.res.1042.dll 
[11/09/2009 17:22|--a------|49488] D:\install.res.1049.dll 
[11/09/2009 17:16|--a------|20716] D:\eula.1033.txt 
[11/09/2009 17:16|--a------|20716] D:\eula.3082.txt 
[11/09/2009 17:16|--a------|20716] D:\eula.1036.txt 
[11/09/2009 17:16|--a------|20716] D:\eula.1040.txt 
[11/09/2009 17:16|--a------|9558] D:\eula.1041.txt 
[11/09/2009 17:16|--a------|20716] D:\eula.1042.txt 
[11/09/2009 17:16|--a------|20716] D:\eula.1049.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_SWEET-7D8BA3EBF.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.099 ! |

Boudayoub · Answer

J'ai fait un petit effort de moi même , et avant de faire le " cleaning " avec UsbFix , j'ai un scanné avec A-squared Free , et j'ai trouvé une entrée de registre affecté par le virus " Ace Password Sniffer 1 4 " . Je n'ai trouver que l'entrée qui est affecté , mais selon les ressources du site Emnisoft , le créateur de l'anti-malware cité au dessus , il y as beaucoup de répertoire affecté , mais je n'en trouve aucun !

Source : https://blog.emsisoft.com/fr/7617/bibliotheque-de-malwares-demsisoft/

gen-hackman · Answer

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654 dans la colonne de gauche , mets tout sur "all"

ne modifie pas ceci : 

"files created whithin" et "files modified whithin" 

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Boudayoub · Answer

C'est En cours . Une petite Note :
J'ai Deep Freeze , Et comme tu l'as remarqué , Xp Sweet . Pour les antivirus , ESS , A-Squared Free .
Juste pour tes Infos ... ^^

Boudayoub · Answer

Voici les liens :


>>>> OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj201003/cijrbR37Vr.txt


>>>>Extras.txt :http://www.cijoint.fr/cjlink.php?file=cj201003/cijS8OhzBa.txt

Boudayoub · Answer

Je me suis rappelé que l'année avant dernière aussi j'ai eu un compte piraté . Entre le mois 8 ou 7 . 
Si vous voulez je peux vous upload aussi le rapport de l'analyse de A-Squared Free .je l'ai toujours sur moi .
Aussi , j'ai Daemon tools , comme tu vas le remarquer sur le rapport .

gen-hackman · Answer

&#9654 Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche    Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

&#9654 clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\$Persi0.sys
C:\WINDOWS\daemon.dll

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

ensuite :

&#9654 clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O4 - HKU\.DEFAULT..\RunOnce: [ShowDeskFix]  File not found
O4 - HKU\S-1-5-18..\RunOnce: [ShowDeskFix]  File not found
O4 - HKU\S-1-5-19..\RunOnce: [ShowDeskFix]  File not found
O4 - HKU\S-1-5-20..\RunOnce: [ShowDeskFix]  File not found

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=0
"FirewallDisableNotify"=0
"UpdatesDisableNotify"=0

:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur RunFix pour lancer la suppression.


&#9654 Poste le rapport.

Boudayoub · Answer

Voici le rapport du fichier deamon.dll : Fichier daemon.dll reçu le 2010.03.14 19:42:48 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.03.14 - AhnLab-V3 5.0.0.2 2010.03.14 - AntiVir 8.2.1.180 2010.03.12 - Antiy-AVL 2.0.3.7 2010.03.12 - Authentium 5.2.0.5 2010.03.14 - Avast 4.8.1351.0 2010.03.14 - Avast5 5.0.332.0 2010.03.14 - AVG 9.0.0.787 2010.03.14 - BitDefender 7.2 2010.03.14 - CAT-QuickHeal 10.00 2010.03.13 - ClamAV 0.96.0.0-git 2010.03.14 - Comodo 4262 2010.03.14 - DrWeb 5.0.1.12222 2010.03.14 - eSafe 7.0.17.0 2010.03.14 Win32.Dialer.qi eTrust-Vet 35.2.7359 2010.03.12 - F-Prot 4.5.1.85 2010.03.14 - F-Secure 9.0.15370.0 2010.03.14 - Fortinet 4.0.14.0 2010.03.13 - GData 19 2010.03.14 - Ikarus T3.1.1.80.0 2010.03.14 - Jiangmin 13.0.900 2010.03.14 - K7AntiVirus 7.10.997 2010.03.13 - Kaspersky 7.0.0.125 2010.03.14 - McAfee 5920 2010.03.14 - McAfee+Artemis 5920 2010.03.14 - McAfee-GW-Edition 6.8.5 2010.03.13 - Microsoft 1.5502 2010.03.12 - NOD32 4944 2010.03.14 - Norman 6.04.08 2010.03.14 - nProtect 2009.1.8.0 2010.03.13 - Panda 10.0.2.2 2010.03.14 - PCTools 7.0.3.5 2010.03.14 - Prevx 3.0 2010.03.14 - Rising 22.38.04.03 2010.03.12 - Sophos 4.51.0 2010.03.14 - Sunbelt 5882 2010.03.14 - Symantec 20091.2.0.41 2010.03.14 - TheHacker 6.5.2.0.233 2010.03.13 - TrendMicro 9.120.0.1004 2010.03.14 - VBA32 3.12.12.2 2010.03.14 - ViRobot 2010.3.13.2226 2010.03.13 - VirusBuster 5.0.27.0 2010.03.14 - Information additionnelle File size: 69120 bytes MD5 : 67080978e730c011856f042a5cc588cd SHA1 : 033018e07defa4ac88552adb73128f648d675571 SHA256: a032abd27ef9578fc478b648a4f55f3bbcff1144a70dd5a5ceaaf81c8c5c0df9 PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x231A0
timedatestamp.....: 0x4128A808 (Sun Aug 22 16:04:56 2004)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x12000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x13000 0x11000 0x10400 7.90 9de9a39514abb8c614a4dbac507ed92f
.rsrc 0x24000 0x1000 0x600 2.84 38dfce522ff39d72000290b0596a935e

( 0 imports )

( 0 exports )
TrID : File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%) ThreatExpert: https://www.symantec.com?md5=67080978e730c011856f042a5cc588cd ssdeep: 1536:KkU2n9WWlQ6hWEmHYa7Jo4Ev49ql//owBLYDT6P4quZK1Yfa0ogcZ:jU29plLYEYYa7hEv49fw6gu416E sigcheck: publisher....: n/a
copyright....: Copyright (C) 2000-2004
product......: n/a
description..: Virtual DAEMON control library
original name: daemon.dll
internal name: DAEMON.DLL
file version.: 3.47.0.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD : - packers (Kaspersky): UPX packers (F-Prot): UPX CWSandbox: http://research.sunbelt-software.com/... RDS : NSRL Reference Data Set
- Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.03.14 - AhnLab-V3 5.0.0.2 2010.03.14 - AntiVir 8.2.1.180 2010.03.12 - Antiy-AVL 2.0.3.7 2010.03.12 - Authentium 5.2.0.5 2010.03.14 - Avast 4.8.1351.0 2010.03.14 - Avast5 5.0.332.0 2010.03.14 - AVG 9.0.0.787 2010.03.14 - BitDefender 7.2 2010.03.14 - CAT-QuickHeal 10.00 2010.03.13 - ClamAV 0.96.0.0-git 2010.03.14 - Comodo 4262 2010.03.14 - DrWeb 5.0.1.12222 2010.03.14 - eSafe 7.0.17.0 2010.03.14 Win32.Dialer.qi eTrust-Vet 35.2.7359 2010.03.12 - F-Prot 4.5.1.85 2010.03.14 - F-Secure 9.0.15370.0 2010.03.14 - Fortinet 4.0.14.0 2010.03.13 - GData 19 2010.03.14 - Ikarus T3.1.1.80.0 2010.03.14 - Jiangmin 13.0.900 2010.03.14 - K7AntiVirus 7.10.997 2010.03.13 - Kaspersky 7.0.0.125 2010.03.14 - McAfee 5920 2010.03.14 - McAfee+Artemis 5920 2010.03.14 - McAfee-GW-Edition 6.8.5 2010.03.13 - Microsoft 1.5502 2010.03.12 - NOD32 4944 2010.03.14 - Norman 6.04.08 2010.03.14 - nProtect 2009.1.8.0 2010.03.13 - Panda 10.0.2.2 2010.03.14 - PCTools 7.0.3.5 2010.03.14 - Prevx 3.0 2010.03.14 - Rising 22.38.04.03 2010.03.12 - Sophos 4.51.0 2010.03.14 - Sunbelt 5882 2010.03.14 - Symantec 20091.2.0.41 2010.03.14 - TheHacker 6.5.2.0.233 2010.03.13 - TrendMicro 9.120.0.1004 2010.03.14 - VBA32 3.12.12.2 2010.03.14 - ViRobot 2010.3.13.2226 2010.03.13 - VirusBuster 5.0.27.0 2010.03.14 - Information additionnelle File size: 69120 bytes MD5 : 67080978e730c011856f042a5cc588cd SHA1 : 033018e07defa4ac88552adb73128f648d675571 SHA256: a032abd27ef9578fc478b648a4f55f3bbcff1144a70dd5a5ceaaf81c8c5c0df9 PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x231A0
timedatestamp.....: 0x4128A808 (Sun Aug 22 16:04:56 2004)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x12000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x13000 0x11000 0x10400 7.90 9de9a39514abb8c614a4dbac507ed92f
.rsrc 0x24000 0x1000 0x600 2.84 38dfce522ff39d72000290b0596a935e

( 0 imports )

( 0 exports )
TrID : File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%) ThreatExpert: https://www.symantec.com?md5=67080978e730c011856f042a5cc588cd ssdeep: 1536:KkU2n9WWlQ6hWEmHYa7Jo4Ev49ql//owBLYDT6P4quZK1Yfa0ogcZ:jU29plLYEYYa7hEv49fw6gu416E sigcheck: publisher....: n/a
copyright....: Copyright (C) 2000-2004
product......: n/a
description..: Virtual DAEMON control library
original name: daemon.dll
internal name: DAEMON.DLL
file version.: 3.47.0.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD : - packers (Kaspersky): UPX packers (F-Prot): UPX CWSandbox: http://research.sunbelt-software.com/... RDS : NSRL Reference Data Set
-

Boudayoub · Answer

Pour l'autre fichier , aucune page n'apparait , voici le message qui apparait :

0 bytes size received / Se ha recibido un archivo vacio

Je fait quoi ?

Boudayoub · Answer

Voila , et je fait quoi pour le dexième fichier ? je le upload sur megaupload et je te le link ?
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
Process firefox.exe killed successfully!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\ShowDeskFix deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\ShowDeskFix not found.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\ShowDeskFix deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\ShowDeskFix deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusDisableNotify"|0 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"FirewallDisableNotify"|0 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"UpdatesDisableNotify"|0 /E : value set successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 71719 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 25096746 bytes
->Flash cache emptied: 542 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2351795 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 10614 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 26,00 mb
 
 
OTL by OldTimer - Version 3.1.37.2 log created on 03172010_150246

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Boudayoub · Answer

Vraiment merci

Boudayoub · Answer

Voici le rapport de A-Squared que j'ai fait de moi même :

Version - a-squared Free 4.5
Dernière mise à jour : N/A

Paramètres des balayages :

Type de balayage : Scan en Détail
Objets : Mémoire, Traces, Cookies, C:\, D:\
Balayage dans les archives : Marche
Analyse heuristique : Arrêt
Balayage dans les ADS : Marche

Début du balayage :	17/03/2010 08:57:43

Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ac 	Objets détectés : Trace.Registry.Ace Password Sniffer 1.4!A2
C:\Program Files\CMenu\AutoIt\AMG\TheHook.dll 	Objets détectés : Riskware.Monitor.Win32.Hooker.s!A2
C:\Program Files\Utilitaires\RegShot\Regshot.exe 	Objets détectés : Riskware.AdWare.Win32.WinAD!IK

Analysé

Fichiers : 	66228
Traces : 	659639
Cookies : 	12
Processus : 	22

Objets trouvés

Fichiers : 	2
Traces : 	1
Cookies : 	0
Processus : 	0
Clés de Registre : 	0

Fin du balayage :	17/03/2010 09:43:52
Temps du balayage :	0:46:09

C:\Program Files\Utilitaires\RegShot\Regshot.exe	Objets Supprimés Riskware.AdWare.Win32.WinAD!IK
C:\Program Files\CMenu\AutoIt\AMG\TheHook.dll	Objets Supprimés Riskware.Monitor.Win32.Hooker.s!A2
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ac	Objets Supprimés Trace.Registry.Ace Password Sniffer 1.4!A2

Objets Supprimés

Fichiers : 	2
Traces : 	1
Cookies : 	0

gen-hackman · Answer

C:\$Persi0.sys 

zippe-le et envoie-le via cijoint

Boudayoub · Answer

Me dit que c'est déjà utilisé , je peux pas le upload sur Cijoint car le fichier = 10 MB / cijoint MAX = 8 MB

Boudayoub · Answer

+ J'ai essayer de upload sur un autre serveur ( Zshare ) résultat :

0 Mb uploaded ! there is your link :

gen-hackman · Answer

supprime-le

Boudayoub · Answer

Je peut pas !

gen-hackman · Answer

bouge pas......

edit :

execute ceci :

http://sd-1.archive-host.com/membres/up/829108531491024/Temp_Tools/del_CPersi0sys.bat

Boudayoub · Answer

Le lien ne marche pas , si  un fichier , alors aucune pahe n'apparait .
Vous pouvez changer de lien s'il vous plait ? merci d'avance de votre aide .

gen-hackman · Answer

tout ce que je t'ai ecrit a disparu je ne sais plus ou j'en suis dans ce topic

Boudayoub · Answer

Voila , j'ai fait une petite astuce pour tous rendre comme d'hab' ^^ . et maintenant .

gen-hackman · Answer

là j ai pu te lire...qu'as-tu fait commmme astuce ?

Boudayoub · Answer

Rien ^^ , Juste supprimer tes + 1 ^^ ! C'est assai facile !

Boudayoub · Answer

Voila , Et maintenant , pouvez vous continuer a m'aider pour supprimer le fichier ? 
Merci de toute façons .
xxXNight_BoudaXxx

Boudayoub · Answer

C bon , j'ai utiliser un prxy et j'ai déja telecherger le fichier ^^

Boudayoub · Answer

Je l'ai supprimer (0Persy.sys) grâce à Unlocker , mais , Deep Freeze n'apparait plus sur mon bureau ? 
Il y as toujours le processus , mais pas l'icône !

Grand problème causé par keylogger

35 réponses

Discussions similaires

Newsletters