Infection par Anti Malware Doctor...

Aerojeff Messages postés 41 Statut Membre -  
Aerojeff Messages postés 41 Statut Membre -
Salut à tous!

J'essaye de réparer le pc de ma copine, infecté par Anti Malware Doctor, mais c'est la galère. Tout d'abord, elle a eu Vista Security 2011, qui a été réduit en cendres par MBAM, mais au redémarrage Anti Malware Doctor est apparu, et après une nouvelle analyse par MBAM, il apparaît à nouveau au démarrage.

Une analyse au démarrage de Avast! est en cours, mais j'y crois pas trop...

Voici le rapport de MBAM après Vista Security:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4966

Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 7.0.6001.18000

20/02/2011 13:47:49
mbam-log-2011-02-20 (13-47-49).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 293698
Temps écoulé: 52 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\metropolis (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Users\aude\AppData\Local\cok.exe" -a "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully.

Merci beaucoup pour vos conseils, je suis un peu démuni moi...

25 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Bonjour

    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php
    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    A+
    0
  2. Aerojeff Messages postés 41 Statut Membre
     
    Ok, ce sera fait dès qu'Avast aura fini de bosser.

    Elle peut régler le problème cette analyse?
    0
    1. Utilisateur anonyme
       
      Re

      Elle va permettre de savoir ou se trouve cette infection et ensuite de la supprimer.
      @+
      0
    2. Aerojeff Messages postés 41 Statut Membre
       
      Je parlais de celle d'Avast, désolé... :-s
      0
    3. Utilisateur anonyme
       
      Avance;merci.
      0
    4. Aerojeff Messages postés 41 Statut Membre
       
      Salut, j'ai repris la session de aerojef, je suis sa copine! Ce sera plus simple alors le lien:
      http://www.cijoint.fr/cjlink.php?file=cj201102/cijkLlN6sx.txt
      0
  3. Utilisateur anonyme
     
    Re

    Utilisation de l'outil ZHPFix :

    * Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
    -----------------------------------------------------------------------------------------------------------------------------

    [MD5.A7F27EADD613A72D316F285FA2EC15DE] - (.It Systems - Covering Software.) -- C:\Users\aude\AppData\Roaming\AC789EA7E22CB43F8699C260FB746C62\hmod70twindl.exe [1042432]
    O2 - BHO: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll
    O3 - Toolbar: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll
    O4 - HKCU\..\Run: [hmod70twindl.exe] . (.It Systems - Covering Software.) -- C:\Users\aude\AppData\Roaming\AC789EA7E22CB43F8699C260FB746C62\hmod70twindl.exe
    O18 - Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll
    [MD5.A7F27EADD613A72D316F285FA2EC15DE] [APT] [{DE868884-5319-4EDF-BDEF-0E82D3DB6693}] (.It Systems.) -- C:\Users\aude\AppData\Roaming\AC789EA7E22CB43F8699C260FB746C62\hmod70twindl.exe
    O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor
    O51 - MPSK:{851d5fda-292a-11df-8927-002119311a22}\AutoRun\command - Clé orpheline
    O69 - SBI: SearchScopes [HKCU] {043C5167-00BB-4324-AF7E-62013FAEDACF} - (Web Search...) - http://ww1.toolbarhome.com

    --------------------------------------------------------------------------------------------
    Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
    « Exécuter en tant qu'administrateur »
    .

    * Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaîtrent.

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton [ OK ]

    > À ce moment là, il apparaîtra au début de chaque ligne une petite case vide. Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    * Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées.

    * Enfin clique sur le bouton [ Nettoyer].

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

    Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

    A+

    0
  4. Aerojeff Messages postés 41 Statut Membre
     
    re!! alors voila ce que ca a donné:

    Rapport de ZHPFix 1.12.3254 par Nicolas Coolman, Update du 18/02/2011
    Fichier d'export Registre :
    Run by aude at 20/02/2011 18:18:43
    Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Processus mémoire ==========
    C:\Users\aude\AppData\Roaming\AC789EA7E22CB43F8699C260FB746C62\hmod70twindl.exe [1042432] => Supprimé et mis en quarantaine

    ========== Clé(s) du Registre ==========
    O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
    O2 - BHO: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll => Clé supprimée avec succès
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}] => Clé supprimée avec succès
    [HKCR\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}] => Clé supprimée avec succès
    O51 - MPSK:{851d5fda-292a-11df-8927-002119311a22}\AutoRun\command - Clé orpheline => Clé supprimée avec succès
    O69 - SBI: SearchScopes [HKCU] {043C5167-00BB-4324-AF7E-62013FAEDACF} - (Web Search...) - http://ww1.toolbarhome.com => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O3 - Toolbar: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll => Valeur supprimée avec succès
    O4 - HKCU\..\Run: [hmod70twindl.exe] . (.It Systems - Covering Software.) -- C:\Users\aude\AppData\Roaming\AC789EA7E22CB43F8699C260FB746C62\hmod70twindl.exe => Valeur supprimée avec succès

    ========== Elément(s) de donnée du Registre ==========
    O18 - Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll => Donnée non supprimée

    ========== Fichier(s) ==========
    c:\program files\vshare\vshare_toolbar.dll => Supprimé et mis en quarantaine

    ========== Tache planifiée ==========
    Task : {DE868884-5319-4EDF-BDEF-0E82D3DB6693} => Tâche supprimée avec succès

    ========== Récapitulatif ==========
    1 : Processus mémoire
    6 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    1 : Fichier(s)
    1 : Tache planifiée

    End of the scan
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    tu disposes de Malwaresbytes;met le à jour et lance un scan rapide de ton PC.
    Poste moi son rapport.
    Supprime bien tout ce qu'il trouve.
    @+
    0
  7. Aerojeff Messages postés 41 Statut Membre
     
    voila c'est bon il m'a trouvé 8 saloperies lol voila la rapport

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5822

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    20/02/2011 20:18:53
    mbam-log-2011-02-20 (20-18-53).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 155363
    Temps écoulé: 8 minute(s), 30 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 6

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\aude\AppData\Local\Temp\Otb.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\Users\aude\AppData\Local\Temp\trzD9F9.tmp (

    tu penses que ca devrait etre bon?
    0
    1. Utilisateur anonyme
       
      Re

      Poste moi un nouveau rapport ZHPDiag;merci
      0
  8. Aerojeff Messages postés 41 Statut Membre
     
    J'ai redémarré et j'i l'impression que tout a été supprimé!!! En tout cas merci beaucoup!!! J'ai galéré toute l'aprem avec ce virus.
    Un grand merci!!!!
    0
    1. Utilisateur anonyme
       
      Re

      Ce n'est pas fini...
      0
  9. Aerojeff Messages postés 41 Statut Membre
     
    HA bon c'est pas fini??? Comment ca se fait?

    voila le lien http://www.cijoint.fr/cjlink.php?file=cj201102/cijWWEizV2.txt
    0
  10. Utilisateur anonyme
     
    Bonsoir

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur " parcourir ", cherche un fichier à la fois :
    c:\windows\explorer.exe
    .
    C:\Users\aude\AppData\Local\Temp\Otg.exe
    C:\Users\aude\AppData\Local\Temp\Otk.exe
    C:\Users\aude\AppData\Local\Temp\Oto.exe


    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport en copiant le lien de Virus Total. (C'est mieux)

    Copie le lien du rapport dans ta réponse et fait le pour chaque fichier ; merci

    (!) Si Virus Total indique que le fichier a déjà été analysé, cliquer sur le bouton. Ré analyser le fichier maintenant

    @+
    0
  11. Aerojeff Messages postés 41 Statut Membre
     
    Bonsoir, alors voila les rapports dans l'ordre

    0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
    File name: explorer.exe
    Submission date: 2011-02-21 20:38:21 (UTC)
    Current status: queued queued analysing finished

    Result: 0/ 42 (0.0%)
    VT Community

    not reviewed
    Safety score: -

    Compact Print results
    Antivirus Version Last Update Result
    AhnLab-V3 2011.02.14.02 2011.02.14 -
    AntiVir 7.11.3.172 2011.02.21 -
    Antiy-AVL 2.0.3.7 2011.02.19 -
    Avast 4.8.1351.0 2011.02.21 -
    Avast5 5.0.677.0 2011.02.21 -
    AVG 10.0.0.1190 2011.02.21 -
    BitDefender 7.2 2011.02.21 -
    CAT-QuickHeal 11.00 2011.02.21 -
    ClamAV 0.96.4.0 2011.02.21 -
    Commtouch 5.2.11.5 2011.02.21 -
    Comodo 7763 2011.02.21 -
    Emsisoft 5.1.0.2 2011.02.21 -
    eSafe 7.0.17.0 2011.02.21 -
    eTrust-Vet 36.1.8174 2011.02.21 -
    F-Prot 4.6.2.117 2011.02.21 -
    F-Secure 9.0.16160.0 2011.02.21 -
    Fortinet 4.2.254.0 2011.02.21 -
    GData 21 2011.02.21 -
    Ikarus T3.1.1.97.0 2011.02.21 -
    Jiangmin 13.0.900 2011.02.21 -
    K7AntiVirus 9.88.3922 2011.02.21 -
    Kaspersky 7.0.0.125 2011.02.21 -
    McAfee 5.400.0.1158 2011.02.21 -
    McAfee-GW-Edition 2010.1C 2011.02.21 -
    Microsoft 1.6502 2011.02.21 -
    NOD32 5894 2011.02.21 -
    Norman 6.07.03 2011.02.21 -
    nProtect 2011-02-10.01 2011.02.15 -
    Panda 10.0.3.5 2011.02.21 -
    PCTools 7.0.3.5 2011.02.21 -
    Prevx 3.0 2011.02.21 -
    Rising 23.46.00.06 2011.02.21 -
    Sophos 4.61.0 2011.02.21 -
    SUPERAntiSpyware 4.40.0.1006 2011.02.21 -
    Symantec 20101.3.0.103 2011.02.21 -
    TheHacker 6.7.0.1.135 2011.02.21 -
    TrendMicro 9.200.0.1012 2011.02.21 -
    TrendMicro-HouseCall 9.200.0.1012 2011.02.21 -
    VBA32 3.12.14.3 2011.02.21 -
    VIPRE 8496 2011.02.21 -
    ViRobot 2011.2.21.4321 2011.02.21 -
    VirusBuster 13.6.212.0 2011.02.21 -
    Additional informationShow all
    MD5 : 4f554999d7d5f05daaebba7b5ba1089d
    SHA1 : e509a42554cc0e5888ac8bf494d3c02223238609
    SHA256: 178d20aaecbd408dffda71ae4d70ad61c278229b4cd7dcd7b854a9a8404ca657
    ssdeep: 24576:RJxr/smirDRnW+7pGYCW5uXSA7jTeFadRsxKb/g/J/ulZ:R3DsmiZLC8A7/eFw33l
    File size : 2927104 bytes
    First seen: 2009-02-12 15:01:16
    Last seen : 2011-02-21 20:38:21
    TrID:
    Win32 Executable Generic (42.3%)
    Win32 Dynamic Link Library (generic) (37.6%)
    Generic Win/DOS Executable (9.9%)
    DOS Executable Generic (9.9%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    sigcheck:
    publisher....: Microsoft Corporation
    copyright....: (c) Microsoft Corporation. All rights reserved.
    product......: Microsoft_ Windows_ Operating System
    description..: Windows Explorer
    original name: EXPLORER.EXE
    internal name: explorer
    file version.: 6.0.6001.18164 (vistasp1_gdr.081028-1730)
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    PEInfo: PE structure information

    [[ basic data ]]
    entrypointaddress: 0x271B3
    timedatestamp....: 0x4907E242 (Wed Oct 29 04:10:42 2008)
    machinetype......: 0x14c (I386)

    [[ 4 section(s) ]]
    name, viradd, virsiz, rawdsiz, ntropy, md5
    .text, 0x1000, 0x6BEA5, 0x6C000, 6.42, 01efa0ddb451b63dd0bfb396b1d576ab
    .data, 0x6D000, 0x215C, 0x2000, 0.84, 7f3a4ccfbf6b5dd627231a22b6ee6f12
    .rsrc, 0x70000, 0x2566A0, 0x256800, 7.04, bc9643f9701a6c8da708d2bd5b751ff2
    .reloc, 0x2C7000, 0x5A34, 0x5C00, 6.74, a246e27f509144adabfb479ba70f67ce

    [[ 19 import(s) ]]
    ADVAPI32.dll: RegCloseKey, RegCreateKeyW, RegGetValueW, RegOpenKeyExW, GetTraceEnableFlags, GetTraceEnableLevel, GetTraceLoggerHandle, RegisterTraceGuidsW, UnregisterTraceGuids, RegCreateKeyExW, RegSetValueExW, RegQueryValueExW, EventWrite, EventEnabled, GetLengthSid, GetTokenInformation, OpenProcessToken, EventUnregister, EventRegister, GetUserNameW, RegDeleteValueW, RegEnumKeyExW, RegQueryInfoKeyW, TraceMessage, RegOpenKeyW, RegEnumKeyW, RegEnumValueW, CloseServiceHandle, OpenServiceW, OpenSCManagerW, QueryServiceStatus, CheckTokenMembership, ConvertStringSecurityDescriptorToSecurityDescriptorW, OpenThreadToken, ConvertSidToStringSidW, StartServiceW, CreateWellKnownSid
    KERNEL32.dll: GetSystemTime, GetFileAttributesW, FindClose, FindNextFileW, FindFirstFileW, GetLocalTime, GetDateFormatW, GetTimeFormatW, GetLocaleInfoW, FlushInstructionCache, RaiseException, GetSystemWindowsDirectoryW, SetLastError, ReadFile, GetFileSize, CreateFileW, InterlockedCompareExchange, LoadLibraryA, SystemTimeToFileTime, ExpandEnvironmentStringsW, GlobalGetAtomNameW, MultiByteToWideChar, GetEnvironmentVariableW, GetCurrentProcessId, GetModuleHandleW, lstrlenW, OpenEventW, SetEvent, GetBinaryTypeW, EnterCriticalSection, LeaveCriticalSection, GetSystemTimeAsFileTime, CompareFileTime, GlobalFree, GetTickCount, MulDiv, GetUserDefaultLangID, GetPrivateProfileIntW, GetCurrentThread, GetThreadPriority, GetCurrentThreadId, SetThreadPriority, CompareStringOrdinal, lstrcmpiW, HeapSetInformation, SetErrorMode, CreateMutexW, ReleaseMutex, GetTimeZoneInformation, SetFilePointer, SetProcessShutdownParameters, GetSystemDirectoryW, CreateEventW, SetTermsrvAppInstallMode, RegisterApplicationRestart, ExitProcess, GetModuleFileNameW, GetPrivateProfileStringW, HeapDestroy, InitializeCriticalSection, DeleteCriticalSection, GetCurrentProcess, GetProcessHeap, HeapAlloc, QueryPerformanceFrequency, GetFileAttributesExW, QueueUserWorkItem, GetLongPathNameW, GetProcessTimes, TerminateThread, GetProcessId, CreateIoCompletionPort, GetQueuedCompletionStatus, GetWindowsDirectoryW, FormatMessageW, QueryFullProcessImageNameW, GlobalAlloc, DuplicateHandle, GetCurrentDirectoryW, WideCharToMultiByte, WriteFile, DeactivateActCtx, ActivateActCtx, ReleaseActCtx, CreateActCtxW, FindResourceExW, LoadResource, LockResource, GetUserDefaultUILanguage, LoadLibraryW, GetProcAddress, FreeLibrary, WaitForSingleObject, CreateProcessW, GetCommandLineW, GetStartupInfoW, CreateThread, AssignProcessToJobObject, ResumeThread, Sleep, QueryInformationJobObject, LocalAlloc, LocalFree, CloseHandle, OpenProcess, SetPriorityClass, GetPriorityClass, CreateJobObjectW, SetInformationJobObject, GetLastError, InterlockedDecrement, InterlockedIncrement, HeapFree, UnhandledExceptionFilter, TerminateProcess, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, InterlockedExchange, VirtualAlloc, VirtualFree, DelayLoadFailureHook
    GDI32.dll: GetStockObject, CombineRgn, GetLayout, CreatePatternBrush, OffsetViewportOrgEx, GdiAlphaBlend, GetTextExtentPoint32W, ExtTextOutW, SetWindowOrgEx, GetPixel, PatBlt, CreateRectRgn, GetClipRgn, IntersectClipRect, GetViewportOrgEx, SetViewportOrgEx, SelectClipRgn, GetBkColor, CreateCompatibleBitmap, OffsetWindowOrgEx, SetBkColor, GetTextExtentPointW, GetClipBox, CreateDIBSection, CreateRectRgnIndirect, SetTextColor, SetBkMode, GetTextMetricsW, CreateFontIndirectW, CreateSolidBrush, GetObjectW, DeleteObject, CreateCompatibleDC, SelectObject, BitBlt, DeleteDC, GetDeviceCaps
    USER32.dll: GetDlgItem, LoadCursorW, RegisterClassW, IsChild, SetTimer, MonitorFromRect, SetWindowTextW, SetClassLongW, GetClassInfoW, GetClassLongW, KillTimer, GetClassInfoExW, IsWindowEnabled, GetShellWindow, GetIconInfo, SetScrollInfo, GetLastActivePopup, GetSystemMenu, IsIconic, IsZoomed, EnableMenuItem, IsWindowVisible, IsWindow, MonitorFromWindow, GetMonitorInfoW, GetWindowInfo, BeginDeferWindowPos, DeferWindowPos, EndDeferWindowPos, SetFocus, SetForegroundWindow, LoadMenuW, SetMenuInfo, SetMenuDefaultItem, GetSubMenu, TrackPopupMenuEx, LoadImageW, InsertMenuItemW, DestroyIcon, DeleteMenu, GetMenuItemInfoW, SetMenuItemInfoW, CharUpperBuffW, PostQuitMessage, LoadStringW, ShutdownBlockReasonCreate, GetWindowLongA, SetWindowLongW, UnregisterDeviceNotification, RegisterDeviceNotificationW, RegisterWindowMessageW, SetWindowPos, RegisterClassExW, GetDesktopWindow, UpdateWindow, InvalidateRect, BeginPaint, LoadBitmapW, SetLayeredWindowAttributes, EndPaint, ShowWindow, DefWindowProcW, MoveWindow, DestroyWindow, UnregisterClassW, SetProcessDPIAware, PeekMessageW, CreateWindowExW, DialogBoxParamW, MsgWaitForMultipleObjects, GetKeyboardLayout, ActivateKeyboardLayout, IsProcessDPIAware, PrintWindow, GetDCEx, GetPropW, GetNextDlgGroupItem, GetNextDlgTabItem, GetDlgCtrlID, ChildWindowFromPointEx, GetCapture, GetGUIThreadInfo, SetWindowLongA, CharUpperW, GetWindowDC, RegisterClipboardFormatW, UnhookWinEvent, SetWinEventHook, ReleaseCapture, GetUserObjectInformationW, GetProcessWindowStation, FlashWindowEx, GetForegroundWindow, PostMessageW, CreatePopupMenu, GetWindowThreadProcessId, MsgWaitForMultipleObjectsEx, CharPrevW, CharNextW, DispatchMessageW, TranslateMessage, GetMessageW, EqualRect, UnionRect, MapWindowPoints, GetClientRect, EnumWindows, EndTask, SetThreadDesktop, GetThreadDesktop, GetMenuItemID, IsHungAppWindow, DrawTextW, GetSysColor, TrackPopupMenu, SendMessageCallbackW, DeregisterShellHookWindow, EndDialog, IsDlgButtonChecked, LoadIconW, GetSysColorBrush, CloseDesktop, OpenInputDesktop, SetActiveWindow, IsRectEmpty, GetAsyncKeyState, RegisterShellHookWindow, FillRect, GetCursorPos, SetPropW, CopyRect, LockSetForegroundWindow, MonitorFromPoint, InflateRect, GetClassNameW, SubtractRect, RedrawWindow, EnumDisplayMonitors, OffsetRect, IntersectRect, SetWindowRgn, GetMenuState, GhostWindowFromHungWindow, HungWindowFromGhostWindow, GetWindowPlacement, RemovePropW, SendMessageTimeoutW, UnregisterHotKey, RegisterHotKey, InsertMenuW, ModifyMenuW, ClientToScreen, ScreenToClient, GetMenuItemCount, GetFocus, GetScrollInfo, InternalGetWindowText, GetKeyState, ChangeDisplaySettingsW, GetWindowLongW, EnumChildWindows, SendMessageW, GetWindow, GetWindowRect, PtInRect, SetCursor, ChildWindowFromPoint, SetCursorPos, GetMessagePos, LoadAcceleratorsW, WaitMessage, TranslateAcceleratorW, GetWindowRgnBox, GetActiveWindow, MessageBeep, SetWindowPlacement, SetRect, SendNotifyMessageW, UpdateLayeredWindow, GetLastInputInfo, SendDlgItemMessageW, AllowSetForegroundWindow, RemoveMenu, SetParent, CallWindowProcW, EnableWindow, GetDlgItemInt, SetDlgItemInt, CheckDlgButton, CopyIcon, DrawFocusRect, NotifyWinEvent, ExitWindowsEx, DrawEdge, WindowFromPoint, GetDoubleClickTime, SetCapture, TrackMouseEvent, LockWorkStation, AppendMenuW, GetParent, SetScrollPos, SetRectEmpty, AdjustWindowRectEx, BringWindowToTop, CascadeWindows, GetSystemMetrics, SystemParametersInfoW, FindWindowW, ReleaseDC, GetDC, DestroyMenu, GetMenuDefaultItem, TileWindows, GetAncestor, SwitchToThisWindow, CheckMenuItem, ShowWindowAsync
    msvcrt.dll: memset, _unlock, _ftol2_sse, _except_handler4_common, __set_app_type, memcpy, free, memmove, realloc, __dllonexit, _lock, _onexit, _terminate@@YAXXZ, _controlfp, _vsnwprintf, malloc, __wgetmainargs, _cexit, _exit, __p__fmode, _XcptFilter, exit, _wcmdln, _initterm, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode
    ntdll.dll: NtOpenThreadToken, NtOpenProcessToken, RtlGetProductInfo, NtQueryInformationToken, NtClose, NtQueryInformationProcess, NtSetInformationProcess, WinSqmAddToStream, NtSetSystemInformation
    SHLWAPI.dll: PathGetDriveNumberW, -, -, PathRemoveFileSpecW, -, -, SHRegGetUSValueW, -, StrDupW, PathQuoteSpacesW, -, -, -, -, StrChrIW, -, -, -, SHRegOpenUSKeyW, SHRegQueryUSValueW, StrCmpW, AssocQueryStringW, -, -, -, -, -, AssocQueryKeyW, PathParseIconLocationW, PathIsPrefixW, -, PathRemoveExtensionW, SHOpenRegStream2W, PathFileExistsW, -, -, -, -, PathFindExtensionW, SHQueryInfoKeyW, -, -, -, -, -, -, -, -, SHDeleteKeyW, PathAppendW, SHDeleteValueW, -, -, -, PathRemoveArgsW, PathRemoveBlanksW, StrCmpNIW, PathFindFileNameW, -, SHSetValueW, SHGetValueW, SHCreateThreadRef, SHSetThreadRef, -, -, PathCombineW, SHRegGetValueW, StrToIntW, -, -, -, PathGetArgsW, StrChrW, -, -, -, -, SHStrDupW, -, -, -, -, -, StrRetToBufW, -, -, -, -, -, -, StrRetToStrW, -, -, StrStrIW, -, -, PathMatchSpecW, PathIsRootW, PathIsNetworkPathW, SHQueryValueExW, AssocCreate, StrCmpIW, -, -, -, StrCmpNW, -, -, StrPBrkW, -, -, -, PathStripToRootW, -, PathIsDirectoryW, -
    SHELL32.dll: -, -, -, -, -, -, -, -, SHGetDesktopFolder, -, SHBindToFolderIDListParent, -, -, -, -, -, -, SHGetIDListFromObject, -, -, -, -, -, -, SHCreateShellItemArrayFromIDLists, -, -, SHCreateItemFromIDList, SHCreateShellItemArrayFromShellItem, -, -, SHBindToFolderIDListParentEx, SHChangeNotify, SHAddToRecentDocs, DuplicateIcon, -, -, -, ShellExecuteW, -, -, SHGetPathFromIDListA, SHUpdateRecycleBinIcon, SHGetKnownFolderIDList, SHGetFolderPathEx, SHFileOperationW, -, -, -, -, -, -, SHGetPathFromIDListW, -, -, -, -, -, -, -, -, -, ExtractIconExW, -, -, -, -, SHGetSpecialFolderLocation, -, -, SHBindToParent, Shell_NotifyIconW, SHGetFolderPathAndSubDirW, Shell_GetCachedImageIndexW, SHGetFolderPathW, -, SHEvaluateSystemCommandTemplate, -, -, -, -, -, -, -, -, -, -, -, SHBindToObject, -, ShellExecuteExW, -, -, SHGetSpecialFolderPathW, -, SHParseDisplayName, -, SHGetFolderLocation, -, -, -, -, -
    ole32.dll: CoTaskMemFree, CoCreateInstance, CoRegisterClassObject, CoRevokeClassObject, CoGetClassObject, OleInitialize, OleUninitialize, CoGetObject, StringFromGUID2, CoUninitialize, CoInitialize, RevokeDragDrop, RegisterDragDrop, CoRegisterMessageFilter, CoMarshalInterThreadInterfaceInStream, CoGetInterfaceAndReleaseStream, CoTaskMemAlloc, CoCreateFreeThreadedMarshaler, DoDragDrop, CoInitializeEx, CreateBindCtx, CoFreeUnusedLibraries, PropVariantClear
    OLEAUT32.dll: -, -, -, -, -, -
    SHDOCVW.dll: -, -
    UxTheme.dll: IsCompositionActive, IsAppThemed, GetThemeMargins, GetThemeRect, IsThemePartDefined, GetThemeBackgroundRegion, DrawThemeTextEx, GetThemeFont, GetThemeColor, GetThemeBool, GetThemeInt, SetWindowTheme, DrawThemeText, GetThemeTextExtent, DrawThemeBackground, CloseThemeData, OpenThemeData, DrawThemeParentBackground, GetThemePartSize, GetThemeMetric, GetThemeBackgroundContentRect
    POWRPROF.dll: GetPwrCapabilities
    dwmapi.dll: DwmIsCompositionEnabled, -, DwmSetWindowAttribute, DwmEnableBlurBehindWindow, DwmQueryThumbnailSourceSize, DwmGetColorizationColor, DwmUpdateThumbnailProperties, DwmRegisterThumbnail, DwmUnregisterThumbnail
    gdiplus.dll: GdiplusShutdown, GdipCloneImage, GdipDrawImageRectI, GdipSetInterpolationMode, GdiplusStartup, GdipCreateFromHDC, GdipCreateBitmapFromStreamICM, GdipCreateBitmapFromStream, GdipGetImageHeight, GdipGetImageWidth, GdipDisposeImage, GdipLoadImageFromFileICM, GdipLoadImageFromFile, GdipDeleteGraphics, GdipFree, GdipAlloc, GdipSetCompositingMode
    slc.dll: SLGetWindowsInformationDWORD
    RPCRT4.dll: RpcBindingFree, RpcStringFreeW, RpcBindingFromStringBindingW, NdrClientCall2, RpcStringBindingComposeW, I_RpcExceptionFilter, RpcBindingSetAuthInfoExW
    PROPSYS.dll: PSGetPropertyKeyFromName, PSPropertyKeyFromString, PSGetPropertyDescription, PSGetNameFromPropertyKey, VariantToBooleanWithDefault, VariantToInt32WithDefault, VariantToStringWithDefault, PSCreateMemoryPropertyStore, VariantToStringAlloc, PropVariantToStringAlloc
    BROWSEUI.dll: -, -

    ExifTool:
    file metadata
    CharacterSet: Unicode
    CodeSize: 442368
    CompanyName: Microsoft Corporation
    EntryPoint: 0x271b3
    FileDescription: Windows Explorer
    FileFlagsMask: 0x003f
    FileOS: Windows NT 32-bit
    FileSize: 2.8 MB
    FileSubtype: 0
    FileType: Win32 EXE
    FileVersion: 6.0.6001.18164 (vistasp1_gdr.081028-1730)
    FileVersionNumber: 6.0.6001.18164
    ImageVersion: 6.0
    InitializedDataSize: 2483712
    InternalName: explorer
    LanguageCode: English (U.S.)
    LegalCopyright: Microsoft Corporation. All rights reserved.
    LinkerVersion: 8.0
    MIMEType: application/octet-stream
    MachineType: Intel 386 or later, and compatibles
    OSVersion: 6.0
    ObjectFileType: Executable application
    OriginalFilename: EXPLORER.EXE
    PEType: PE32
    ProductName: Microsoft Windows Operating System
    ProductVersion: 6.0.6001.18164
    ProductVersionNumber: 6.0.6001.18164
    Subsystem: Windows GUI
    SubsystemVersion: 6.0
    TimeStamp: 2008:10:29 05:10:42+01:00
    UninitializedDataSize: 0

    VT Community

    0
    This file has never been reviewed by any VT Community member. Be the first one to comment on it!
    VirusTotal Team
    0
  12. Aerojeff Messages postés 41 Statut Membre
     
    0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
    File name: Otg.exe
    Submission date: 2011-02-21 20:46:18 (UTC)
    Current status: queued (#4) queued (#6) analysing finished

    Result: 6/ 15 (40.0%)
    VT Community

    not reviewed
    Safety score: -

    Compact Print results
    Antivirus Version Last Update Result
    AhnLab-V3 2011.02.14.02 2011.02.14 Trojan/Win32.Renos
    AVG 10.0.0.1190 2011.02.21 Generic21.PIU
    BitDefender 7.2 2011.02.21 -
    ClamAV 0.96.4.0 2011.02.21 -
    DrWeb 5.0.2.03300 2011.02.21 Trojan.DownLoader2.9449
    Emsisoft 5.1.0.2 2011.02.21 -
    eSafe 7.0.17.0 2011.02.21 -
    F-Secure 9.0.16160.0 2011.02.21 -
    Fortinet 4.2.254.0 2011.02.21 -
    GData 21 2011.02.21 Win32:FakeAlert-ZV
    Kaspersky 7.0.0.125 2011.02.21 Trojan-Downloader.Win32.CodecPack.aitp
    Microsoft 1.6502 2011.02.21 -
    Norman 6.07.03 2011.02.21 W32/Crypt.AURZ
    nProtect 2011-02-10.01 2011.02.15 -
    VBA32 3.12.14.3 2011.02.21 -
    Additional informationShow all
    MD5 : 1dd511841b9c053a4bfa829e697f6869
    SHA1 : 0ac1a53d7ab693c1c370bf6fe9a88064d6a82142
    SHA256: c91e6da6eb99c3bfc9275519353667becd94d9c5ab46c8a79a5937d5d3d80311
    ssdeep: 6144:0X8pZfIzmTqS1fCNwJq7HUntoCe+C7W2bckVLf:0X8pZ8S1fK0q70n+C3CW2c2L
    File size : 217088 bytes
    First seen: 2011-02-21 20:46:18
    Last seen : 2011-02-21 20:46:18
    TrID:
    UPX compressed Win32 Executable (38.5%)
    Win32 EXE Yoda's Crypter (33.4%)
    Win32 Executable Generic (10.7%)
    Win32 Dynamic Link Library (generic) (9.5%)
    Win16/32 Executable Delphi generic (2.6%)
    PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
    packers (Kaspersky): UPX

    VT Community

    0
    This file has never been reviewed by any VT Community member. Be the first one to comment on it!
    VirusTotal Team
    0
  13. Aerojeff Messages postés 41 Statut Membre
     
    0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
    File name: Otk.exe
    Submission date: 2011-02-21 20:50:19 (UTC)
    Current status: finished
    Result: 18 /41 (43.9%)
    VT Community

    not reviewed
    Safety score: -

    Compact Print results
    Antivirus Version Last Update Result
    AhnLab-V3 2011.02.14.02 2011.02.14 Trojan/Win32.Renos
    AntiVir 7.11.3.172 2011.02.21 TR/Dldr.Renos.LX.139
    Antiy-AVL 2.0.3.7 2011.02.19 -
    Avast 4.8.1351.0 2011.02.21 Win32:FakeAlert-ZV
    Avast5 5.0.677.0 2011.02.21 Win32:FakeAlert-ZV
    AVG 10.0.0.1190 2011.02.21 Downloader.Generic10.CIQK
    BitDefender 7.2 2011.02.21 -
    CAT-QuickHeal 11.00 2011.02.21 -
    ClamAV 0.96.4.0 2011.02.21 -
    Commtouch 5.2.11.5 2011.02.21 W32/FakeAlert.KP.gen!Eldorado
    Comodo 7763 2011.02.21 -
    DrWeb 5.0.2.03300 2011.02.21 Trojan.DownLoader2.9449
    eSafe 7.0.17.0 2011.02.21 -
    eTrust-Vet 36.1.8174 2011.02.21 Win32/FakeCodec.F!generic
    F-Prot 4.6.2.117 2011.02.21 W32/FakeAlert.KP.gen!Eldorado
    F-Secure 9.0.16160.0 2011.02.21 -
    Fortinet 4.2.254.0 2011.02.21 -
    GData 21 2011.02.21 Win32:FakeAlert-ZV
    Ikarus T3.1.1.97.0 2011.02.21 -
    Jiangmin 13.0.900 2011.02.21 -
    K7AntiVirus 9.88.3922 2011.02.21 -
    McAfee 5.400.0.1158 2011.02.21 Downloader-CEW.r
    McAfee-GW-Edition 2010.1C 2011.02.21 Downloader-CEW.r
    Microsoft 1.6502 2011.02.21 -
    NOD32 5894 2011.02.21 a variant of Win32/Kryptik.KWB
    Norman 6.07.03 2011.02.21 W32/Crypt.AURZ
    nProtect 2011-02-10.01 2011.02.15 -
    Panda 10.0.3.5 2011.02.21 Suspicious file
    PCTools 7.0.3.5 2011.02.21 -
    Prevx 3.0 2011.02.21 -
    Rising 23.46.00.06 2011.02.21 Suspicious
    Sophos 4.61.0 2011.02.21 -
    SUPERAntiSpyware 4.40.0.1006 2011.02.21 Trojan.Agent/Gen-Malpack
    Symantec 20101.3.0.103 2011.02.21 -
    TheHacker 6.7.0.1.135 2011.02.21 -
    TrendMicro 9.200.0.1012 2011.02.21 -
    TrendMicro-HouseCall 9.200.0.1012 2011.02.21 -
    VBA32 3.12.14.3 2011.02.21 -
    VIPRE 8496 2011.02.21 Trojan.Win32.Generic!BT
    ViRobot 2011.2.21.4321 2011.02.21 -
    VirusBuster 13.6.212.0 2011.02.21 -
    Additional informationShow all
    MD5 : b56a96a5bbeb9b5db2e421c355652630
    SHA1 : 208164b03c97b55724bc03ae22034f6aca1cda37
    SHA256: 6614b58256c41b3eefd6f9ea7de13eb05456f4c2523f2452cba06bffed562fbb
    ssdeep: 3072:nDAEcehsoryd4/XR160ddvSFMpMa7881SHWWbwRRFJT+CxRAtKKn:nDZjKW6GXLRdFSFon
    71ydwNx2tp
    File size : 218624 bytes
    First seen: 2011-02-21 20:50:19
    Last seen : 2011-02-21 20:50:19
    Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
    TrID:
    UPX compressed Win32 Executable (38.5%)
    Win32 EXE Yoda's Crypter (33.4%)
    Win32 Executable Generic (10.7%)
    Win32 Dynamic Link Library (generic) (9.5%)
    Win16/32 Executable Delphi generic (2.6%)
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
    packers (F-Prot): UPX
    PEInfo: PE structure information

    [[ basic data ]]
    entrypointaddress: 0x79B80
    timedatestamp....: 0x2A425E19 (Fri Jun 19 22:22:17 1992)
    machinetype......: 0x14C (Intel I386)

    [[ 3 section(s) ]]
    name, viradd, virsiz, rawdsiz, ntropy, md5
    UPX0, 0x1000, 0x44000, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e
    UPX1, 0x45000, 0x35000, 0x34E00, 7.95, b3fa6e8c8d3d0b1bfb37c9a64ab0b402
    .rsrc, 0x7A000, 0x1000, 0x400, 4.59, b28af95d99aa5d19a1e828e3762d4816

    [[ 4 import(s) ]]
    kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
    oleaut32.dll: DllCanUnloadNow
    user32.dll: DrawIcon
    winspool.drv: AddMonitorA

    ExifTool:
    file metadata
    CodeSize: 217088
    EntryPoint: 0x79b80
    FileSize: 214 kB
    FileType: Win32 EXE
    ImageVersion: 0.0
    InitializedDataSize: 4096
    LinkerVersion: 2.25
    MIMEType: application/octet-stream
    MachineType: Intel 386 or later, and compatibles
    OSVersion: 4.0
    PEType: PE32
    Subsystem: Windows GUI
    SubsystemVersion: 4.0
    TimeStamp: 1992:06:20 00:22:17+02:00
    UninitializedDataSize: 278528

    Symantec reputation:Suspicious.Insight

    VT Community

    0
    This file has never been reviewed by any VT Community member. Be the first one to comment on it!
    VirusTotal Team
    0
  14. Aerojeff Messages postés 41 Statut Membre
     
    0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
    File name: Oto.exe
    Submission date: 2011-02-21 20:54:53 (UTC)
    Current status: finished
    Result: 20 /42 (47.6%)
    VT Community

    not reviewed
    Safety score: -

    Compact Print results
    Antivirus Version Last Update Result
    AhnLab-V3 2011.02.14.02 2011.02.14 Trojan/Win32.Renos
    AntiVir 7.11.3.172 2011.02.21 TR/Dldr.CodecPack.airh
    Antiy-AVL 2.0.3.7 2011.02.19 -
    Avast 4.8.1351.0 2011.02.21 Win32:FakeAlert-ZV
    Avast5 5.0.677.0 2011.02.21 Win32:FakeAlert-ZV
    AVG 10.0.0.1190 2011.02.21 Downloader.Generic10.CIQL
    BitDefender 7.2 2011.02.21 -
    CAT-QuickHeal 11.00 2011.02.21 -
    ClamAV 0.96.4.0 2011.02.21 -
    Commtouch 5.2.11.5 2011.02.21 W32/FakeAlert.KP.gen!Eldorado
    Comodo 7763 2011.02.21 -
    DrWeb 5.0.2.03300 2011.02.21 Trojan.DownLoader2.9449
    Emsisoft 5.1.0.2 2011.02.21 Trojan-Downloader.Win32.CodecPack!IK
    eTrust-Vet 36.1.8174 2011.02.21 Win32/FakeCodec.F!generic
    F-Prot 4.6.2.117 2011.02.21 W32/FakeAlert.KP.gen!Eldorado
    F-Secure 9.0.16160.0 2011.02.21 -
    Fortinet 4.2.254.0 2011.02.21 -
    GData 21 2011.02.21 Win32:FakeAlert-ZV
    Ikarus T3.1.1.97.0 2011.02.21 Trojan-Downloader.Win32.CodecPack
    Jiangmin 13.0.900 2011.02.21 -
    K7AntiVirus 9.88.3922 2011.02.21 -
    Kaspersky 7.0.0.125 2011.02.21 Trojan-Downloader.Win32.CodecPack.aitp
    McAfee 5.400.0.1158 2011.02.21 Downloader-CEW.r
    McAfee-GW-Edition 2010.1C 2011.02.21 Downloader-CEW.r
    Microsoft 1.6502 2011.02.21 -
    NOD32 5894 2011.02.21 a variant of Win32/Kryptik.KWB
    Norman 6.07.03 2011.02.21 W32/Crypt.AURZ
    nProtect 2011-02-10.01 2011.02.15 -
    Panda 10.0.3.5 2011.02.21 Suspicious file
    PCTools 7.0.3.5 2011.02.21 -
    Prevx 3.0 2011.02.21 -
    Rising 23.46.00.06 2011.02.21 -
    Sophos 4.61.0 2011.02.21 -
    SUPERAntiSpyware 4.40.0.1006 2011.02.21 Trojan.Agent/Gen-Malpack
    Symantec 20101.3.0.103 2011.02.21 -
    TheHacker 6.7.0.1.135 2011.02.21 -
    TrendMicro 9.200.0.1012 2011.02.21 -
    TrendMicro-HouseCall 9.200.0.1012 2011.02.21 -
    VBA32 3.12.14.3 2011.02.21 -
    VIPRE 8496 2011.02.21 Trojan.Win32.Generic!BT
    ViRobot 2011.2.21.4321 2011.02.21 -
    VirusBuster 13.6.212.0 2011.02.21 -
    Additional informationShow all
    MD5 : 30dfee8ef900f0f5afe2d92931fb8103
    SHA1 : b2fa6f907dfb2d300ce3e835c6906968d0296b3d
    SHA256: dc803d9aed4b0c8027b4c6cdce00bdd9e42e03ed0c8400c801dbe3ab64e31845
    ssdeep: 3072:TT04g4FyEsLjvWlelofBB7jlYz4qfo6EOMbbpac0fHeMLtuwJgZ/vG:TTlyEIi2on7jlHq
    A/QZvhuwJ2
    File size : 209920 bytes
    First seen: 2011-02-21 13:49:53
    Last seen : 2011-02-21 20:54:53
    Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
    TrID:
    UPX compressed Win32 Executable (38.5%)
    Win32 EXE Yoda's Crypter (33.4%)
    Win32 Executable Generic (10.7%)
    Win32 Dynamic Link Library (generic) (9.5%)
    Win16/32 Executable Delphi generic (2.6%)
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
    packers (F-Prot): UPX
    packers (Kaspersky): UPX
    PEInfo: PE structure information

    [[ basic data ]]
    entrypointaddress: 0x768D0
    timedatestamp....: 0x2A425E19 (Fri Jun 19 22:22:17 1992)
    machinetype......: 0x14C (Intel I386)

    [[ 3 section(s) ]]
    name, viradd, virsiz, rawdsiz, ntropy, md5
    UPX0, 0x1000, 0x43000, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e
    UPX1, 0x44000, 0x33000, 0x32C00, 7.95, 759d382ac5d338fa7b4b76e3f61b6cea
    .rsrc, 0x77000, 0x1000, 0x400, 4.54, 96d6431ff2c7b44b748079649abc38d4

    [[ 4 import(s) ]]
    kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
    oleaut32.dll: DllCanUnloadNow
    user32.dll: DrawIcon
    winspool.drv: AddMonitorA

    ExifTool:
    file metadata
    CodeSize: 208896
    EntryPoint: 0x768d0
    FileSize: 205 kB
    FileType: Win32 EXE
    ImageVersion: 0.0
    InitializedDataSize: 4096
    LinkerVersion: 2.25
    MIMEType: application/octet-stream
    MachineType: Intel 386 or later, and compatibles
    OSVersion: 4.0
    PEType: PE32
    Subsystem: Windows GUI
    SubsystemVersion: 4.0
    TimeStamp: 1992:06:20 00:22:17+02:00
    UninitializedDataSize: 274432

    Symantec reputation:Suspicious.Insight

    VT Community

    0
    This file has never been reviewed by any VT Community member. Be the first one to comment on it!
    VirusTotal Team
    0
  15. Aerojeff Messages postés 41 Statut Membre
     
    Voila,du coup j'en suis ou? parce que tu me demandes de te donner pleins de rapports alors que j'ai l'impression qu'il y a plus de virux
    0
  16. Aerojeff Messages postés 41 Statut Membre
     
    bon les 3 autres rapports s'affichent pas je compredns pas alors je te donne les liens

    http://www.virustotal.com/file-scan/report.html?id=c91e6da6eb99c3bfc9275519353667becd94d9c5ab46c8a79a5937d5d3d80311-1298321178

    http://www.virustotal.com/file-scan/report.html?id=6614b58256c41b3eefd6f9ea7de13eb05456f4c2523f2452cba06bffed562fbb-1298321419

    http://www.virustotal.com/file-scan/report.html?id=dc803d9aed4b0c8027b4c6cdce00bdd9e42e03ed0c8400c801dbe3ab64e31845-1298321693
    0
  17. Aerojeff Messages postés 41 Statut Membre
     
    est ce que je peux transférer tous mes fichiers importants sur disque dur externe ou ya un risque que le virus soit transféré dessus?
    0
  18. Utilisateur anonyme
     
    Bonsoir

    # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Télécharge et installe UsbFix de El Desaparecido , C_XX & Chimay8
    Ici http://www.teamxscript.org/usbfixTelechargement.html

    Tutoriel de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    # Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.

    # Choisi Suppression

    # Laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaîtra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

    (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    @+
    0
  19. Aerojeff Messages postés 41 Statut Membre
     
    je comprends pas ce que tu me demandes d'installer c'est simplement pour les données externes au pc? parce que j'en ai pas branché depuis le virus!!! donc ca me sert a rien d'installer ce programme si?

    je comprends pas ou j'en suis du coup tu me dis que c'est pas un virus
    0
  20. Utilisateur anonyme
     
    Re

    Ces trois analyses sur Virus Total ;regarde ici
    Fait ce que dit ;merci.

    @+
    ---------Contributeur Sécurité---------
    On a tous été un jour débutant dans quelque chose.
    Mais le savoir est la récompense de l'assiduité.
    0
  21. Aerojeff Messages postés 41 Statut Membre
     
    RE

    alors voila le rapport:

    ############################## | UsbFix 7.040 | [Suppression]

    Utilisateur: aude (Administrateur) # PC-DE-AUDE [SAMSUNG ELECTRONICS CO., LTD. Q310]
    Mis à jour le 18/02/2011 par El Desaparecido / C_XX
    Lancé à 21:28:25 | 23/02/2011
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000

    Pare-feu Windows: Activé
    RAM -> 3066 Mo
    C:\ (%systemdrive%) -> Disque fixe # 144 Go (14 Go libre(s) - 9%) [] # NTFS
    D:\ -> Disque fixe # 144 Go (31 Go libre(s) - 22%) [] # NTFS
    E:\ -> CD-ROM
    F:\ -> CD-ROM
    G:\ -> Disque fixe # 298 Go (288 Go libre(s) - 97%) [SAFE] # NTFS
    H:\ -> CD-ROM

    ################## | Éléments infectieux |

    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1371186708-2531987264-2005197202-1003
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1371186708-2531987264-2005197202-1003
    Supprimé! G:\$RECYCLE.BIN\S-1-5-21-1371186708-2531987264-2005197202-1003

    ################## | Registre |

    ################## | Mountpoints2 |

    ################## | Listing |

    [23/02/2011 - 21:30:47 | SHD ] C:\$Recycle.Bin
    [18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
    [23/02/2011 - 21:14:18 | RASHD ] C:\Autorun.inf
    [08/02/2008 - 10:31:20 | D ] C:\Boot
    [21/01/2008 - 03:24:42 | RASH | 333203] C:\bootmgr
    [27/01/2011 - 00:29:26 | D ] C:\Config.Msi
    [18/09/2006 - 22:43:37 | N | 10] C:\config.sys
    [02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings
    [23/02/2011 - 19:52:10 | ASH | 3215572992] C:\hiberfil.sys
    [13/09/2008 - 04:29:39 | D ] C:\Intel
    [21/10/2008 - 06:11:06 | N | 0] C:\IO.SYS
    [21/10/2008 - 06:11:06 | N | 0] C:\MSDOS.SYS
    [24/02/2010 - 23:38:49 | RHD ] C:\MSOCache
    [26/09/2010 - 10:55:24 | D ] C:\musik
    [13/09/2008 - 04:51:15 | D ] C:\MyWorks
    [23/02/2011 - 19:52:03 | ASH | 3529375744] C:\pagefile.sys
    [21/01/2008 - 03:32:31 | D ] C:\PerfLogs
    [20/02/2011 - 17:24:16 | D ] C:\Program Files
    [20/02/2011 - 12:13:32 | HD ] C:\ProgramData
    [08/10/2010 - 21:38:06 | N | 417] C:\RHDSetup.log
    [20/02/2011 - 16:10:23 | N | 477] C:\rkill.log
    [08/10/2010 - 21:38:06 | N | 206] C:\setup.log
    [22/02/2011 - 12:16:41 | SHD ] C:\System Volume Information
    [23/02/2011 - 21:30:47 | D ] C:\UsbFix
    [23/02/2011 - 21:28:26 | A | 2387] C:\UsbFix.txt
    [23/02/2011 - 21:17:12 | D ] C:\UsbFix_Upload_Me
    [27/12/2008 - 19:20:02 | D ] C:\Users
    [20/02/2011 - 20:21:04 | D ] C:\Windows
    [10/10/2009 - 22:11:19 | N | 1746] C:\WirelessDiagLog.csv
    [20/02/2011 - 18:18:43 | N | 12428] C:\ZHPExportRegistry-20-02-2011-18-18-43.txt
    [23/02/2011 - 21:30:47 | SHD ] D:\$RECYCLE.BIN
    [16/09/2010 - 20:21:38 | D ] D:\Années 1980
    [09/07/2010 - 16:16:17 | D ] D:\Aude
    [23/02/2011 - 21:14:18 | RASHD ] D:\Autorun.inf
    [10/09/2010 - 11:12:58 | D ] D:\avast! Pro AV + IS 5.0.545 Final + Crack
    [12/09/2010 - 17:42:14 | T | 1273898] D:\CIMG2151.JPG
    [12/09/2010 - 17:45:58 | T | 1286626] D:\CIMG2152.JPG
    [12/09/2010 - 17:41:30 | T | 1811574] D:\CIMG2153.JPG
    [12/09/2010 - 17:54:55 | T | 1916386] D:\CIMG2154.JPG
    [12/09/2010 - 17:58:21 | T | 1749362] D:\CIMG2159.JPG
    [12/09/2010 - 17:56:32 | T | 1971989] D:\CIMG2160.JPG
    [12/09/2010 - 17:49:13 | T | 1458760] D:\CIMG2162.JPG
    [12/09/2010 - 17:50:29 | T | 1356506] D:\CIMG2171.JPG
    [12/09/2010 - 19:25:08 | T | 2109849] D:\CIMG2180.JPG
    [12/09/2010 - 19:24:54 | T | 1857356] D:\CIMG2181.JPG
    [12/09/2010 - 19:21:41 | T | 1998559] D:\CIMG2182.JPG
    [12/09/2010 - 19:21:05 | T | 1790852] D:\CIMG2183.JPG
    [12/09/2010 - 19:20:55 | T | 1800417] D:\CIMG2184.JPG
    [12/09/2010 - 19:21:05 | T | 2033134] D:\CIMG2185.JPG
    [12/09/2010 - 18:27:43 | T | 2123597] D:\CIMG2186.JPG
    [12/09/2010 - 17:57:42 | T | 1143572] D:\CIMG2187.JPG
    [12/09/2010 - 17:56:16 | T | 1409133] D:\CIMG2189.JPG
    [12/09/2010 - 17:48:45 | T | 1859217] D:\CIMG2190.JPG
    [12/09/2010 - 18:27:22 | T | 1819832] D:\CIMG2191.JPG
    [12/09/2010 - 18:27:20 | T | 1919515] D:\CIMG2192.JPG
    [12/09/2010 - 17:48:52 | T | 1892751] D:\CIMG2193.JPG
    [12/09/2010 - 17:42:14 | T | 1300912] D:\CIMG2194.JPG
    [16/09/2010 - 20:24:21 | D ] D:\Pop
    [09/07/2010 - 16:16:04 | D ] D:\Programmes
    [16/09/2010 - 20:17:24 | D ] D:\Rock
    [27/12/2008 - 19:40:02 | SHD ] D:\System Volume Information
    [23/02/2011 - 21:30:47 | SHD ] G:\$RECYCLE.BIN
    [23/02/2011 - 21:14:18 | RASHD ] G:\Autorun.inf
    [22/02/2011 - 09:17:04 | D ] G:\HIMYM
    [22/02/2011 - 09:18:57 | D ] G:\How I Met Your Mother - Saison 3 (VOSTFR)
    [22/02/2011 - 08:58:10 | SHD ] G:\System Volume Information

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | E.O.F |
    0
  • 1
  • 2