Virus "vilaunch.exe"

Fermé
Wallace - Modifié par Wallace le 19/08/2010 à 22:37
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 22 août 2010 à 23:16
Bonjour,

Antivir m'informe la présence d'un virus nommé "vilaunch.exe". Qui se trouve dans le répertoire c:\WINDOWS il me semble. Comment se débarrasser de cette sale bête ?

Merci d'avance :)

A voir également:

22 réponses

jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
19 août 2010 à 23:27
Hello,

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
1
(je suis sur l'ordinateur de mon père)

Bonjour.

tout d'abord, merci de votre aide. C'est très aimable de votre part :)

Je suis confronté à un problème : Combofix me demande de télécharger (et donc de rétablir ma connexion internet) la "Console de récupération de Windows" en cas "d'infection grave" il me semble. Qu'es-ce que je répond ? J'espère que mon ordi n'y laissera pas des plumes :p
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
20 août 2010 à 14:09
> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :




Folder::
c:\program files\AskBarDis
c:\program files\My.Freeze.com Toolbar

File::
c:\documents and settings\[NOM DE MA SESSION]\Local Settings\Application Data\WavXMapDrive.bat
c:\program files\Messenger_Plus_Live_France\tbMes1.dll
c:\documents and settings\[NOM DE MA SESSION]\Application Data\Mozilla\Firefox\Profiles\bln8eibm.default\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\components\FFExternalAlert.dll
c:\documents and settings\[NOM DE MA SESSION]\Application Data\Mozilla\Firefox\Profiles\bln8eibm.default\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\components\RadioWMPCore.dll
c:\windows\system32\biolsp.dll

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{59994074-c06d-4a75-9768-49e5a8c21264}"=-
[-HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59994074-c06d-4a75-9768-49e5a8c21264}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{59994074-c06d-4a75-9768-49e5a8c21264}"=-
[-HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D0523BB4-21E7-11DD-9AB7-415B56D89593}"=-
"{59994074-C06D-4A75-9768-49E5A8C21264}"=-
[-HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[-HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]


- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
1
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
20 août 2010 à 15:09
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse
1
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
21 août 2010 à 00:08
On va maintenant faire une vérif complet de ton pc :

Télécharge ZhpDiag de Nicolas Coolman .

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

Une fois installé le programme s'ouvre automatiquement .

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

Rend toi sur ce site : http://www.cijoint.fr/index.php

Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

1
J'ai un problème : Lors du scan, à 52% de l'analyse, il me dit : "Module O43 in overflow (299). Please Contact Nicolas Coolman" deux fois. Puis, à 73%, il me dit "Module O42 in overflow (299). Please Contact Nicolas Coolman" une seule fois. Cela ne stop pas l'analyse cepandant.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
Modifié par jfkpresident le 21/08/2010 à 17:19
Supprimes ce dossier si il existe encore : c:\program files\my.freeze.com toolbar

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

1/Double Clique sur l'icone ZhpFix .

2/ZhpFix va s'ouvrir ,clique sur "OK".

3/Coche ces cases (et pas d'autres !):

O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\My.Freeze.com Toolbar\freeze_int2.dll



4/Pour finir clique sur "Nettoyer" .


5/colle le rapport obtenu .

Ensuite dis moi comment va le pc et dis moi également si Antivir détecte toujours ce Vilaunch.exe ?


***Membre Contributeur Sécurité***
1
Je vais faire un scan complet de mon ordi par antivir en mode sans echec. En tout cas, merci. freeze_int2.dll est un virus dont je n'arrivais pas à me débarrasser non-plus :)
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 août 2010 à 09:49
Les 3 premiers fichiers détectés étaient dans la quarantaine de Combofix et pour ce qui est du 4eme ,c'est un fichier de ta restauration systeme que l'on va purger.

On va passer un dernier outilde diagnostique afin de s'assurer qu'il n'y ai plus de traces d'infections visibles :

Télécharge ZhpDiag de Nicolas Coolman .

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

Une fois installé le programme s'ouvre automatiquement .

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

Rend toi sur ce site : http://www.cijoint.fr/index.php

Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

1
J'ai installé la console de récupération de Windows. Pas de problème, le rapport a été généré :

http://www.cijoint.fr/cj201008/cijr0YbaMB.txt
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
20 août 2010 à 12:30
Je regarde ton rapport et te donne la suite apres manger ,bon AP -;)
0
Ok. Bon appétit :)
0
Voilà le rapport :

http://www.cijoint.fr/cj201008/cijmMc2nCV.txt
0
Bonjour.

Malwarebytes est -toujours- en train de scanner mon pc et à détecter un éléments infecté (avira s'est alarmé) : A0222010.dll

Dés que le rapport sera terminé, je le posterai
0
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4453

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

8/20/2010 22:46:52
mbam-log-2010-08-20 (22-46-52).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 362375
Temps écoulé: 3 heure(s), 40 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP946\A0221027.exe (Adware.ADON) -> Quarantined and deleted successfully.
0
Bonjour. Voici donc le rapport :

http://www.cijoint.fr/cj201008/cijTD6AXZG.txt

Comme tu peux le constater, mon disque dur est plein de logiciel. Surtout de logiciel dont la période d'essai de trente jours à expiré (collection adobe etc.) qui me prenne beaucoup de place pour rien. Je pense que je vais réouvrir un autre sujet pour ça

EDIT : Voilà un autre problème. Je ne sais pas s'il est lié de près ou de loin à vilaunch.exe, mais je vous le dit quand même : dans le gestionnaire des tâches (onglet processus), il y a plusieurs processus iexplorer.exe, un par onglet ouvert (normal, je suis sous IE8) plus un autre processus iexplorer.exe qui utilise toujours 28000Ko de mémoire. Quand j'essai de tuer ce processus-ci, il m'affiche un Ecran bleu de la mort avec l'erreur c000021a (0x00000000 0x00000000). C'est normal ?
0
Up
0
Rapport de ZHPFix v1.12.3136 par Nicolas Coolman, Update du 20/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-1-21-2010-18-39-29.txt
Run by [NOM DE MA SESSION] at 1/21/2010 18:39:29
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\My.Freeze.com Toolbar\freeze_int2.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}] => Clé supprimée avec succès
[HKCR\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}] => Clé supprimée avec succès

========== Fichier(s) ==========
c:\program files\my.freeze.com => Fichier absent


========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Fichier(s)


End of the scan
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 août 2010 à 01:13
J'attend donc des nouvelles au sujet d'Antivir avant de pouvoir conclure ce topique .
0
Voilà les résultats :

"Temps nécessaire: 3:28:13 Heure(s)

La recherche a été effectuée intégralement

63109 Les répertoires ont été contrôlés
1921967 Des fichiers ont été contrôlés
4 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
4 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
1921962 Fichiers non infectés
24619 Les archives ont été contrôlées
29 Avertissements
5 Consignes "

==================

"Début de la désinfection :
C:\Qoobox\Quarantine\C\Documents and Settings\[NOM DE MA SESSION]\Application Data\Mozilla\Firefox\Profiles\bln8eibm.default\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\components\FFExternalAlert.dll.vir
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.pri
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b9dc4e6.qua' !
C:\Qoobox\Quarantine\C\Documents and Settings\[NOM DE MA SESSION]\Application Data\Mozilla\Firefox\Profiles\bln8eibm.default\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\components\RadioWMPCore.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bbcc501.qua' !
C:\Qoobox\Quarantine\C\Program Files\Messenger_Plus_Live_France\tbMes1.dll.vir
[RESULTAT] Contient le modèle de détection du ver WORM/Rbot.655092
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ba5c502.qua' !
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP946\A0222010.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b8ac4d0.qua' !"
0
Voilà le rapport :

http://www.cijoint.fr/cj201008/cijzSYfNHB.rtf
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 août 2010 à 12:38
Je me suis mélangé les pinceaux ,je t'avais déja fait téléchargé ZhpDiag ....:)

Comment va le pc ?
0
Le PC va mieux :)
Antivir est calme, mais vilaunch est toujours là dans c:\windows\system32. En faisant quelque recherche, vilaunch.exe ferait parti du "Seven transformation pack", que j'ai téléchargé il y a peu de temps, mais que j'ai désinstallé. D'ailleur, je crois que ce "brickopack" a laissé des traces un peu partout sur mon PC.

EDIT : Je l'ai scanné avec antivir, mais antivir s'est bloqué ! Et quand j'ai voulu le fermer, il me dit : "Impossible de fermer le programme car il est vérouillé par le système". J'ai tenté de tuer le processus avscan.exe dans le gestionnaire des tâches : "accès refusé"
0
Up
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 août 2010 à 12:40
Je me suis mélangé les pinceaux ,tu avais déja téléchargé ZhpDiag ...

Comment va le pc ?
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 août 2010 à 20:28
Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :c:\windows\system32\vilaunch.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

0
Etonnant ! Ce n'est pas la première fois que virustotal a à faire avec vilaunch.exe

Le rapport :

File name: vilaunch.exe
Submission date: 2010-08-22 18:53:28 (UTC)
Current status: finished
Result: 0 /41 (0.0%)
VT Community

AhnLab-V3 2010.08.22.00 2010.08.21 -
AntiVir 8.2.4.38 2010.08.20 -
Antiy-AVL 2.0.3.7 2010.08.16 -
Authentium 5.2.0.5 2010.08.22 -
Avast 4.8.1351.0 2010.08.22 -
Avast5 5.0.332.0 2010.08.22 -
AVG 9.0.0.851 2010.08.22 -
BitDefender 7.2 2010.08.22 -
CAT-QuickHeal 11.00 2010.08.21 -
ClamAV 0.96.2.0-git 2010.08.22 -
Comodo 5821 2010.08.22 -
DrWeb 5.0.2.03300 2010.08.22 -
Emsisoft 5.0.0.37 2010.08.22 -
eSafe 7.0.17.0 2010.08.22 -
eTrust-Vet 36.1.7804 2010.08.21 -
F-Prot 4.6.1.107 2010.08.22 -
F-Secure 9.0.15370.0 2010.08.22 -
Fortinet 4.1.143.0 2010.08.22 -
GData 21 2010.08.22 -
Ikarus T3.1.1.88.0 2010.08.22 -
Jiangmin 13.0.900 2010.08.21 -
Kaspersky 7.0.0.125 2010.08.22 -
McAfee 5.400.0.1158 2010.08.22 -
Microsoft 1.6103 2010.08.22 -
NOD32 5386 2010.08.22 -
Norman 6.05.11 2010.08.22 -
nProtect 2010-08-22.01 2010.08.22 -
Panda 10.0.2.7 2010.08.22 -
PCTools 7.0.3.5 2010.08.22 -
Prevx 3.0 2010.08.22 -
Rising 22.61.06.04 2010.08.22 -
Sophos 4.56.0 2010.08.22 -
Sunbelt 6776 2010.08.22 -
SUPERAntiSpyware 4.40.0.1006 2010.08.22 -
Symantec 20101.1.1.7 2010.08.22 -
TheHacker 6.5.2.1.353 2010.08.22 -
TrendMicro 9.120.0.1004 2010.08.22 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.22 -
VBA32 3.12.14.0 2010.08.20 -
ViRobot 2010.8.18.3995 2010.08.22 -
VirusBuster 5.0.27.0 2010.08.21 -
Additional informationShow all
MD5 : 492a00ee49c749a5492df2bc45b01a0e
SHA1 : 3c229d148dd6b0dcf3fa6d8af1211e32f284e8c4
SHA256: 8993fe2951e637575f1843229bbee4904d5fb0172e2e4f37eb9efdb8b85d81c2
ssdeep: 3072:XCv/IT2ZmGjRgyU+Hi0SAcgExujIyMIrsK:4IcmWR0Ah1j+WP
File size : 146412 bytes
First seen: 2009-09-09 23:51:12
Last seen : 2010-08-22 18:53:28
Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
TrID:
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....:
copyright....:
product......: n/a
description..: item: Get Registry Key Value
original name: n/a
internal name: n/a
file version.:
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEiD: -
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x29AA
timedatestamp....: 0x47434DCD (Tue Nov 20 21:12:45 2007)
machinetype......: 0x14C (Intel I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x1FBD, 0x2000, 6.39, 3e51b924c6df6e77d32fe7f1625b611b
.rdata, 0x3000, 0x88A, 0xA00, 4.7, 09faa0f7224520b55ea1a6518175e233
.data, 0x4000, 0x308, 0x200, 2.66, 79a556e8d59be94e8df4b169a1f6ca34
.rsrc, 0x5000, 0x6B7C, 0x6C00, 5.28, 62a150c17c4d8683f7faa9152e70a60e

[[ 4 import(s) ]]
advapi32.dll: LookupPrivilegeValueA, AdjustTokenPrivileges, OpenProcessToken
gdi32.dll: SetTextColor, SetBkMode, SelectObject, StretchDIBits, CreateFontA, TextOutA, RealizePalette, SelectPalette, CreatePalette, GetStockObject, DeleteObject, CreateSolidBrush, GetDeviceCaps, PatBlt
kernel32.dll: GetCurrentProcess, GetVersionExA, OpenFile, FreeLibrary, GetProcAddress, LoadLibraryA, _lcreat, WinExec, _lopen, GetModuleFileNameA, GetModuleHandleA, GetCommandLineA, SetErrorMode, ExitProcess, _lwrite, GetLastError, lstrcatA, GlobalLock, FormatMessageA, LocalFree, lstrcpyA, GetTempPathA, GetWindowsDirectoryA, GetTempFileNameA, MulDiv, lstrlenA, _lread, _llseek, GlobalUnlock, GlobalFree, GlobalAlloc, _lclose
user32.dll: ExitWindowsEx, wsprintfA, CreateWindowExA, ShowWindow, SetWindowPos, UpdateWindow, SetTimer, LoadIconA, LoadCursorA, RegisterClassA, MessageBoxA, BeginPaint, DrawTextA, EndPaint, InvalidateRect, PostQuitMessage, DefWindowProcA, GetDC, ReleaseDC, GetClientRect, SendMessageA
0