Sujet Précédent Sujet Suivant

Infection par Anti Malware Doctor...

Aerojeff Messages postés 41 Statut Membre -  
Aerojeff Messages postés 41 Statut Membre -
Salut à tous!

J'essaye de réparer le pc de ma copine, infecté par Anti Malware Doctor, mais c'est la galère. Tout d'abord, elle a eu Vista Security 2011, qui a été réduit en cendres par MBAM, mais au redémarrage Anti Malware Doctor est apparu, et après une nouvelle analyse par MBAM, il apparaît à nouveau au démarrage.

Une analyse au démarrage de Avast! est en cours, mais j'y crois pas trop...

Voici le rapport de MBAM après Vista Security:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4966

Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 7.0.6001.18000

20/02/2011 13:47:49
mbam-log-2011-02-20 (13-47-49).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 293698
Temps écoulé: 52 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\metropolis (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Users\aude\AppData\Local\cok.exe" -a "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully.

Merci beaucoup pour vos conseils, je suis un peu démuni moi...
A voir également:

25 réponses

  • 1
  • 2
Réponse 1 / 25
Utilisateur anonyme
 
Bonjour

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.

Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

A+
0
Réponse 2 / 25
Aerojeff Messages postés 41 Statut Membre
 
Ok, ce sera fait dès qu'Avast aura fini de bosser.

Elle peut régler le problème cette analyse?
0
Utilisateur anonyme
 
Re

Elle va permettre de savoir ou se trouve cette infection et ensuite de la supprimer.
@+
0
Aerojeff Messages postés 41 Statut Membre
 
Je parlais de celle d'Avast, désolé... :-s
0
Utilisateur anonyme
 
Avance;merci.
0
Aerojeff Messages postés 41 Statut Membre
 
Salut, j'ai repris la session de aerojef, je suis sa copine! Ce sera plus simple alors le lien:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijkLlN6sx.txt
0
Réponse 3 / 25
Utilisateur anonyme
 
Re

Utilisation de l'outil ZHPFix :

* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
-----------------------------------------------------------------------------------------------------------------------------

[MD5.A7F27EADD613A72D316F285FA2EC15DE] - (.It Systems - Covering Software.) -- C:\Users\aude\AppData\Roaming\AC789EA7E22CB43F8699C260FB746C62\hmod70twindl.exe [1042432]
O2 - BHO: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll
O3 - Toolbar: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll
O4 - HKCU\..\Run: [hmod70twindl.exe] . (.It Systems - Covering Software.) -- C:\Users\aude\AppData\Roaming\AC789EA7E22CB43F8699C260FB746C62\hmod70twindl.exe
O18 - Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll
[MD5.A7F27EADD613A72D316F285FA2EC15DE] [APT] [{DE868884-5319-4EDF-BDEF-0E82D3DB6693}] (.It Systems.) -- C:\Users\aude\AppData\Roaming\AC789EA7E22CB43F8699C260FB746C62\hmod70twindl.exe
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor
O51 - MPSK:{851d5fda-292a-11df-8927-002119311a22}\AutoRun\command - Clé orpheline
O69 - SBI: SearchScopes [HKCU] {043C5167-00BB-4324-AF7E-62013FAEDACF} - (Web Search...) - http://ww1.toolbarhome.com

--------------------------------------------------------------------------------------------
Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
« Exécuter en tant qu'administrateur »
.

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaîtrent.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ]

> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide. Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées.

* Enfin clique sur le bouton [ Nettoyer].

-> laisse travailler l'outil et ne touche à rien ...

-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

A+

0
Réponse 4 / 25
Aerojeff Messages postés 41 Statut Membre
 
re!! alors voila ce que ca a donné:

Rapport de ZHPFix 1.12.3254 par Nicolas Coolman, Update du 18/02/2011
Fichier d'export Registre :
Run by aude at 20/02/2011 18:18:43
Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Users\aude\AppData\Roaming\AC789EA7E22CB43F8699C260FB746C62\hmod70twindl.exe [1042432] => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
O2 - BHO: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}] => Clé supprimée avec succès
[HKCR\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}] => Clé supprimée avec succès
O51 - MPSK:{851d5fda-292a-11df-8927-002119311a22}\AutoRun\command - Clé orpheline => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {043C5167-00BB-4324-AF7E-62013FAEDACF} - (Web Search...) - http://ww1.toolbarhome.com => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O3 - Toolbar: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll => Valeur supprimée avec succès
O4 - HKCU\..\Run: [hmod70twindl.exe] . (.It Systems - Covering Software.) -- C:\Users\aude\AppData\Roaming\AC789EA7E22CB43F8699C260FB746C62\hmod70twindl.exe => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
O18 - Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll => Donnée non supprimée

========== Fichier(s) ==========
c:\program files\vshare\vshare_toolbar.dll => Supprimé et mis en quarantaine

========== Tache planifiée ==========
Task : {DE868884-5319-4EDF-BDEF-0E82D3DB6693} => Tâche supprimée avec succès

========== Récapitulatif ==========
1 : Processus mémoire
6 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Fichier(s)
1 : Tache planifiée

End of the scan
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 25
Utilisateur anonyme
 
Re

tu disposes de Malwaresbytes;met le à jour et lance un scan rapide de ton PC.
Poste moi son rapport.
Supprime bien tout ce qu'il trouve.
@+
0
Réponse 6 / 25
Aerojeff Messages postés 41 Statut Membre
 
voila c'est bon il m'a trouvé 8 saloperies lol voila la rapport

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5822

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

20/02/2011 20:18:53
mbam-log-2011-02-20 (20-18-53).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 155363
Temps écoulé: 8 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\aude\AppData\Local\Temp\Otb.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\aude\AppData\Local\Temp\trzD9F9.tmp (

tu penses que ca devrait etre bon?
0
Utilisateur anonyme
 
Re

Poste moi un nouveau rapport ZHPDiag;merci
0
Réponse 7 / 25
Aerojeff Messages postés 41 Statut Membre
 
J'ai redémarré et j'i l'impression que tout a été supprimé!!! En tout cas merci beaucoup!!! J'ai galéré toute l'aprem avec ce virus.
Un grand merci!!!!
0
Utilisateur anonyme
 
Re

Ce n'est pas fini...
0
Réponse 8 / 25
Aerojeff Messages postés 41 Statut Membre
 
HA bon c'est pas fini??? Comment ca se fait?

voila le lien http://www.cijoint.fr/cjlink.php?file=cj201102/cijWWEizV2.txt
0
Réponse 9 / 25
Utilisateur anonyme
 
Bonsoir

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur " parcourir ", cherche un fichier à la fois :
c:\windows\explorer.exe
.
C:\Users\aude\AppData\Local\Temp\Otg.exe
C:\Users\aude\AppData\Local\Temp\Otk.exe
C:\Users\aude\AppData\Local\Temp\Oto.exe


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport en copiant le lien de Virus Total. (C'est mieux)

Copie le lien du rapport dans ta réponse et fait le pour chaque fichier ; merci

(!) Si Virus Total indique que le fichier a déjà été analysé, cliquer sur le bouton. Ré analyser le fichier maintenant

@+
0
Réponse 10 / 25
Aerojeff Messages postés 41 Statut Membre
 
Bonsoir, alors voila les rapports dans l'ordre

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: explorer.exe
Submission date: 2011-02-21 20:38:21 (UTC)
Current status: queued queued analysing finished

Result: 0/ 42 (0.0%)
VT Community

not reviewed
Safety score: -

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.02.14.02 2011.02.14 -
AntiVir 7.11.3.172 2011.02.21 -
Antiy-AVL 2.0.3.7 2011.02.19 -
Avast 4.8.1351.0 2011.02.21 -
Avast5 5.0.677.0 2011.02.21 -
AVG 10.0.0.1190 2011.02.21 -
BitDefender 7.2 2011.02.21 -
CAT-QuickHeal 11.00 2011.02.21 -
ClamAV 0.96.4.0 2011.02.21 -
Commtouch 5.2.11.5 2011.02.21 -
Comodo 7763 2011.02.21 -
Emsisoft 5.1.0.2 2011.02.21 -
eSafe 7.0.17.0 2011.02.21 -
eTrust-Vet 36.1.8174 2011.02.21 -
F-Prot 4.6.2.117 2011.02.21 -
F-Secure 9.0.16160.0 2011.02.21 -
Fortinet 4.2.254.0 2011.02.21 -
GData 21 2011.02.21 -
Ikarus T3.1.1.97.0 2011.02.21 -
Jiangmin 13.0.900 2011.02.21 -
K7AntiVirus 9.88.3922 2011.02.21 -
Kaspersky 7.0.0.125 2011.02.21 -
McAfee 5.400.0.1158 2011.02.21 -
McAfee-GW-Edition 2010.1C 2011.02.21 -
Microsoft 1.6502 2011.02.21 -
NOD32 5894 2011.02.21 -
Norman 6.07.03 2011.02.21 -
nProtect 2011-02-10.01 2011.02.15 -
Panda 10.0.3.5 2011.02.21 -
PCTools 7.0.3.5 2011.02.21 -
Prevx 3.0 2011.02.21 -
Rising 23.46.00.06 2011.02.21 -
Sophos 4.61.0 2011.02.21 -
SUPERAntiSpyware 4.40.0.1006 2011.02.21 -
Symantec 20101.3.0.103 2011.02.21 -
TheHacker 6.7.0.1.135 2011.02.21 -
TrendMicro 9.200.0.1012 2011.02.21 -
TrendMicro-HouseCall 9.200.0.1012 2011.02.21 -
VBA32 3.12.14.3 2011.02.21 -
VIPRE 8496 2011.02.21 -
ViRobot 2011.2.21.4321 2011.02.21 -
VirusBuster 13.6.212.0 2011.02.21 -
Additional informationShow all
MD5 : 4f554999d7d5f05daaebba7b5ba1089d
SHA1 : e509a42554cc0e5888ac8bf494d3c02223238609
SHA256: 178d20aaecbd408dffda71ae4d70ad61c278229b4cd7dcd7b854a9a8404ca657
ssdeep: 24576:RJxr/smirDRnW+7pGYCW5uXSA7jTeFadRsxKb/g/J/ulZ:R3DsmiZLC8A7/eFw33l
File size : 2927104 bytes
First seen: 2009-02-12 15:01:16
Last seen : 2011-02-21 20:38:21
TrID:
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Windows Explorer
original name: EXPLORER.EXE
internal name: explorer
file version.: 6.0.6001.18164 (vistasp1_gdr.081028-1730)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x271B3
timedatestamp....: 0x4907E242 (Wed Oct 29 04:10:42 2008)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x6BEA5, 0x6C000, 6.42, 01efa0ddb451b63dd0bfb396b1d576ab
.data, 0x6D000, 0x215C, 0x2000, 0.84, 7f3a4ccfbf6b5dd627231a22b6ee6f12
.rsrc, 0x70000, 0x2566A0, 0x256800, 7.04, bc9643f9701a6c8da708d2bd5b751ff2
.reloc, 0x2C7000, 0x5A34, 0x5C00, 6.74, a246e27f509144adabfb479ba70f67ce

[[ 19 import(s) ]]
ADVAPI32.dll: RegCloseKey, RegCreateKeyW, RegGetValueW, RegOpenKeyExW, GetTraceEnableFlags, GetTraceEnableLevel, GetTraceLoggerHandle, RegisterTraceGuidsW, UnregisterTraceGuids, RegCreateKeyExW, RegSetValueExW, RegQueryValueExW, EventWrite, EventEnabled, GetLengthSid, GetTokenInformation, OpenProcessToken, EventUnregister, EventRegister, GetUserNameW, RegDeleteValueW, RegEnumKeyExW, RegQueryInfoKeyW, TraceMessage, RegOpenKeyW, RegEnumKeyW, RegEnumValueW, CloseServiceHandle, OpenServiceW, OpenSCManagerW, QueryServiceStatus, CheckTokenMembership, ConvertStringSecurityDescriptorToSecurityDescriptorW, OpenThreadToken, ConvertSidToStringSidW, StartServiceW, CreateWellKnownSid
KERNEL32.dll: GetSystemTime, GetFileAttributesW, FindClose, FindNextFileW, FindFirstFileW, GetLocalTime, GetDateFormatW, GetTimeFormatW, GetLocaleInfoW, FlushInstructionCache, RaiseException, GetSystemWindowsDirectoryW, SetLastError, ReadFile, GetFileSize, CreateFileW, InterlockedCompareExchange, LoadLibraryA, SystemTimeToFileTime, ExpandEnvironmentStringsW, GlobalGetAtomNameW, MultiByteToWideChar, GetEnvironmentVariableW, GetCurrentProcessId, GetModuleHandleW, lstrlenW, OpenEventW, SetEvent, GetBinaryTypeW, EnterCriticalSection, LeaveCriticalSection, GetSystemTimeAsFileTime, CompareFileTime, GlobalFree, GetTickCount, MulDiv, GetUserDefaultLangID, GetPrivateProfileIntW, GetCurrentThread, GetThreadPriority, GetCurrentThreadId, SetThreadPriority, CompareStringOrdinal, lstrcmpiW, HeapSetInformation, SetErrorMode, CreateMutexW, ReleaseMutex, GetTimeZoneInformation, SetFilePointer, SetProcessShutdownParameters, GetSystemDirectoryW, CreateEventW, SetTermsrvAppInstallMode, RegisterApplicationRestart, ExitProcess, GetModuleFileNameW, GetPrivateProfileStringW, HeapDestroy, InitializeCriticalSection, DeleteCriticalSection, GetCurrentProcess, GetProcessHeap, HeapAlloc, QueryPerformanceFrequency, GetFileAttributesExW, QueueUserWorkItem, GetLongPathNameW, GetProcessTimes, TerminateThread, GetProcessId, CreateIoCompletionPort, GetQueuedCompletionStatus, GetWindowsDirectoryW, FormatMessageW, QueryFullProcessImageNameW, GlobalAlloc, DuplicateHandle, GetCurrentDirectoryW, WideCharToMultiByte, WriteFile, DeactivateActCtx, ActivateActCtx, ReleaseActCtx, CreateActCtxW, FindResourceExW, LoadResource, LockResource, GetUserDefaultUILanguage, LoadLibraryW, GetProcAddress, FreeLibrary, WaitForSingleObject, CreateProcessW, GetCommandLineW, GetStartupInfoW, CreateThread, AssignProcessToJobObject, ResumeThread, Sleep, QueryInformationJobObject, LocalAlloc, LocalFree, CloseHandle, OpenProcess, SetPriorityClass, GetPriorityClass, CreateJobObjectW, SetInformationJobObject, GetLastError, InterlockedDecrement, InterlockedIncrement, HeapFree, UnhandledExceptionFilter, TerminateProcess, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, InterlockedExchange, VirtualAlloc, VirtualFree, DelayLoadFailureHook
GDI32.dll: GetStockObject, CombineRgn, GetLayout, CreatePatternBrush, OffsetViewportOrgEx, GdiAlphaBlend, GetTextExtentPoint32W, ExtTextOutW, SetWindowOrgEx, GetPixel, PatBlt, CreateRectRgn, GetClipRgn, IntersectClipRect, GetViewportOrgEx, SetViewportOrgEx, SelectClipRgn, GetBkColor, CreateCompatibleBitmap, OffsetWindowOrgEx, SetBkColor, GetTextExtentPointW, GetClipBox, CreateDIBSection, CreateRectRgnIndirect, SetTextColor, SetBkMode, GetTextMetricsW, CreateFontIndirectW, CreateSolidBrush, GetObjectW, DeleteObject, CreateCompatibleDC, SelectObject, BitBlt, DeleteDC, GetDeviceCaps
USER32.dll: GetDlgItem, LoadCursorW, RegisterClassW, IsChild, SetTimer, MonitorFromRect, SetWindowTextW, SetClassLongW, GetClassInfoW, GetClassLongW, KillTimer, GetClassInfoExW, IsWindowEnabled, GetShellWindow, GetIconInfo, SetScrollInfo, GetLastActivePopup, GetSystemMenu, IsIconic, IsZoomed, EnableMenuItem, IsWindowVisible, IsWindow, MonitorFromWindow, GetMonitorInfoW, GetWindowInfo, BeginDeferWindowPos, DeferWindowPos, EndDeferWindowPos, SetFocus, SetForegroundWindow, LoadMenuW, SetMenuInfo, SetMenuDefaultItem, GetSubMenu, TrackPopupMenuEx, LoadImageW, InsertMenuItemW, DestroyIcon, DeleteMenu, GetMenuItemInfoW, SetMenuItemInfoW, CharUpperBuffW, PostQuitMessage, LoadStringW, ShutdownBlockReasonCreate, GetWindowLongA, SetWindowLongW, UnregisterDeviceNotification, RegisterDeviceNotificationW, RegisterWindowMessageW, SetWindowPos, RegisterClassExW, GetDesktopWindow, UpdateWindow, InvalidateRect, BeginPaint, LoadBitmapW, SetLayeredWindowAttributes, EndPaint, ShowWindow, DefWindowProcW, MoveWindow, DestroyWindow, UnregisterClassW, SetProcessDPIAware, PeekMessageW, CreateWindowExW, DialogBoxParamW, MsgWaitForMultipleObjects, GetKeyboardLayout, ActivateKeyboardLayout, IsProcessDPIAware, PrintWindow, GetDCEx, GetPropW, GetNextDlgGroupItem, GetNextDlgTabItem, GetDlgCtrlID, ChildWindowFromPointEx, GetCapture, GetGUIThreadInfo, SetWindowLongA, CharUpperW, GetWindowDC, RegisterClipboardFormatW, UnhookWinEvent, SetWinEventHook, ReleaseCapture, GetUserObjectInformationW, GetProcessWindowStation, FlashWindowEx, GetForegroundWindow, PostMessageW, CreatePopupMenu, GetWindowThreadProcessId, MsgWaitForMultipleObjectsEx, CharPrevW, CharNextW, DispatchMessageW, TranslateMessage, GetMessageW, EqualRect, UnionRect, MapWindowPoints, GetClientRect, EnumWindows, EndTask, SetThreadDesktop, GetThreadDesktop, GetMenuItemID, IsHungAppWindow, DrawTextW, GetSysColor, TrackPopupMenu, SendMessageCallbackW, DeregisterShellHookWindow, EndDialog, IsDlgButtonChecked, LoadIconW, GetSysColorBrush, CloseDesktop, OpenInputDesktop, SetActiveWindow, IsRectEmpty, GetAsyncKeyState, RegisterShellHookWindow, FillRect, GetCursorPos, SetPropW, CopyRect, LockSetForegroundWindow, MonitorFromPoint, InflateRect, GetClassNameW, SubtractRect, RedrawWindow, EnumDisplayMonitors, OffsetRect, IntersectRect, SetWindowRgn, GetMenuState, GhostWindowFromHungWindow, HungWindowFromGhostWindow, GetWindowPlacement, RemovePropW, SendMessageTimeoutW, UnregisterHotKey, RegisterHotKey, InsertMenuW, ModifyMenuW, ClientToScreen, ScreenToClient, GetMenuItemCount, GetFocus, GetScrollInfo, InternalGetWindowText, GetKeyState, ChangeDisplaySettingsW, GetWindowLongW, EnumChildWindows, SendMessageW, GetWindow, GetWindowRect, PtInRect, SetCursor, ChildWindowFromPoint, SetCursorPos, GetMessagePos, LoadAcceleratorsW, WaitMessage, TranslateAcceleratorW, GetWindowRgnBox, GetActiveWindow, MessageBeep, SetWindowPlacement, SetRect, SendNotifyMessageW, UpdateLayeredWindow, GetLastInputInfo, SendDlgItemMessageW, AllowSetForegroundWindow, RemoveMenu, SetParent, CallWindowProcW, EnableWindow, GetDlgItemInt, SetDlgItemInt, CheckDlgButton, CopyIcon, DrawFocusRect, NotifyWinEvent, ExitWindowsEx, DrawEdge, WindowFromPoint, GetDoubleClickTime, SetCapture, TrackMouseEvent, LockWorkStation, AppendMenuW, GetParent, SetScrollPos, SetRectEmpty, AdjustWindowRectEx, BringWindowToTop, CascadeWindows, GetSystemMetrics, SystemParametersInfoW, FindWindowW, ReleaseDC, GetDC, DestroyMenu, GetMenuDefaultItem, TileWindows, GetAncestor, SwitchToThisWindow, CheckMenuItem, ShowWindowAsync
msvcrt.dll: memset, _unlock, _ftol2_sse, _except_handler4_common, __set_app_type, memcpy, free, memmove, realloc, __dllonexit, _lock, _onexit, _terminate@@YAXXZ, _controlfp, _vsnwprintf, malloc, __wgetmainargs, _cexit, _exit, __p__fmode, _XcptFilter, exit, _wcmdln, _initterm, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode
ntdll.dll: NtOpenThreadToken, NtOpenProcessToken, RtlGetProductInfo, NtQueryInformationToken, NtClose, NtQueryInformationProcess, NtSetInformationProcess, WinSqmAddToStream, NtSetSystemInformation
SHLWAPI.dll: PathGetDriveNumberW, -, -, PathRemoveFileSpecW, -, -, SHRegGetUSValueW, -, StrDupW, PathQuoteSpacesW, -, -, -, -, StrChrIW, -, -, -, SHRegOpenUSKeyW, SHRegQueryUSValueW, StrCmpW, AssocQueryStringW, -, -, -, -, -, AssocQueryKeyW, PathParseIconLocationW, PathIsPrefixW, -, PathRemoveExtensionW, SHOpenRegStream2W, PathFileExistsW, -, -, -, -, PathFindExtensionW, SHQueryInfoKeyW, -, -, -, -, -, -, -, -, SHDeleteKeyW, PathAppendW, SHDeleteValueW, -, -, -, PathRemoveArgsW, PathRemoveBlanksW, StrCmpNIW, PathFindFileNameW, -, SHSetValueW, SHGetValueW, SHCreateThreadRef, SHSetThreadRef, -, -, PathCombineW, SHRegGetValueW, StrToIntW, -, -, -, PathGetArgsW, StrChrW, -, -, -, -, SHStrDupW, -, -, -, -, -, StrRetToBufW, -, -, -, -, -, -, StrRetToStrW, -, -, StrStrIW, -, -, PathMatchSpecW, PathIsRootW, PathIsNetworkPathW, SHQueryValueExW, AssocCreate, StrCmpIW, -, -, -, StrCmpNW, -, -, StrPBrkW, -, -, -, PathStripToRootW, -, PathIsDirectoryW, -
SHELL32.dll: -, -, -, -, -, -, -, -, SHGetDesktopFolder, -, SHBindToFolderIDListParent, -, -, -, -, -, -, SHGetIDListFromObject, -, -, -, -, -, -, SHCreateShellItemArrayFromIDLists, -, -, SHCreateItemFromIDList, SHCreateShellItemArrayFromShellItem, -, -, SHBindToFolderIDListParentEx, SHChangeNotify, SHAddToRecentDocs, DuplicateIcon, -, -, -, ShellExecuteW, -, -, SHGetPathFromIDListA, SHUpdateRecycleBinIcon, SHGetKnownFolderIDList, SHGetFolderPathEx, SHFileOperationW, -, -, -, -, -, -, SHGetPathFromIDListW, -, -, -, -, -, -, -, -, -, ExtractIconExW, -, -, -, -, SHGetSpecialFolderLocation, -, -, SHBindToParent, Shell_NotifyIconW, SHGetFolderPathAndSubDirW, Shell_GetCachedImageIndexW, SHGetFolderPathW, -, SHEvaluateSystemCommandTemplate, -, -, -, -, -, -, -, -, -, -, -, SHBindToObject, -, ShellExecuteExW, -, -, SHGetSpecialFolderPathW, -, SHParseDisplayName, -, SHGetFolderLocation, -, -, -, -, -
ole32.dll: CoTaskMemFree, CoCreateInstance, CoRegisterClassObject, CoRevokeClassObject, CoGetClassObject, OleInitialize, OleUninitialize, CoGetObject, StringFromGUID2, CoUninitialize, CoInitialize, RevokeDragDrop, RegisterDragDrop, CoRegisterMessageFilter, CoMarshalInterThreadInterfaceInStream, CoGetInterfaceAndReleaseStream, CoTaskMemAlloc, CoCreateFreeThreadedMarshaler, DoDragDrop, CoInitializeEx, CreateBindCtx, CoFreeUnusedLibraries, PropVariantClear
OLEAUT32.dll: -, -, -, -, -, -
SHDOCVW.dll: -, -
UxTheme.dll: IsCompositionActive, IsAppThemed, GetThemeMargins, GetThemeRect, IsThemePartDefined, GetThemeBackgroundRegion, DrawThemeTextEx, GetThemeFont, GetThemeColor, GetThemeBool, GetThemeInt, SetWindowTheme, DrawThemeText, GetThemeTextExtent, DrawThemeBackground, CloseThemeData, OpenThemeData, DrawThemeParentBackground, GetThemePartSize, GetThemeMetric, GetThemeBackgroundContentRect
POWRPROF.dll: GetPwrCapabilities
dwmapi.dll: DwmIsCompositionEnabled, -, DwmSetWindowAttribute, DwmEnableBlurBehindWindow, DwmQueryThumbnailSourceSize, DwmGetColorizationColor, DwmUpdateThumbnailProperties, DwmRegisterThumbnail, DwmUnregisterThumbnail
gdiplus.dll: GdiplusShutdown, GdipCloneImage, GdipDrawImageRectI, GdipSetInterpolationMode, GdiplusStartup, GdipCreateFromHDC, GdipCreateBitmapFromStreamICM, GdipCreateBitmapFromStream, GdipGetImageHeight, GdipGetImageWidth, GdipDisposeImage, GdipLoadImageFromFileICM, GdipLoadImageFromFile, GdipDeleteGraphics, GdipFree, GdipAlloc, GdipSetCompositingMode
slc.dll: SLGetWindowsInformationDWORD
RPCRT4.dll: RpcBindingFree, RpcStringFreeW, RpcBindingFromStringBindingW, NdrClientCall2, RpcStringBindingComposeW, I_RpcExceptionFilter, RpcBindingSetAuthInfoExW
PROPSYS.dll: PSGetPropertyKeyFromName, PSPropertyKeyFromString, PSGetPropertyDescription, PSGetNameFromPropertyKey, VariantToBooleanWithDefault, VariantToInt32WithDefault, VariantToStringWithDefault, PSCreateMemoryPropertyStore, VariantToStringAlloc, PropVariantToStringAlloc
BROWSEUI.dll: -, -

ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 442368
CompanyName: Microsoft Corporation
EntryPoint: 0x271b3
FileDescription: Windows Explorer
FileFlagsMask: 0x003f
FileOS: Windows NT 32-bit
FileSize: 2.8 MB
FileSubtype: 0
FileType: Win32 EXE
FileVersion: 6.0.6001.18164 (vistasp1_gdr.081028-1730)
FileVersionNumber: 6.0.6001.18164
ImageVersion: 6.0
InitializedDataSize: 2483712
InternalName: explorer
LanguageCode: English (U.S.)
LegalCopyright: Microsoft Corporation. All rights reserved.
LinkerVersion: 8.0
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 6.0
ObjectFileType: Executable application
OriginalFilename: EXPLORER.EXE
PEType: PE32
ProductName: Microsoft Windows Operating System
ProductVersion: 6.0.6001.18164
ProductVersionNumber: 6.0.6001.18164
Subsystem: Windows GUI
SubsystemVersion: 6.0
TimeStamp: 2008:10:29 05:10:42+01:00
UninitializedDataSize: 0

VT Community

0
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team
0
Réponse 11 / 25
Aerojeff Messages postés 41 Statut Membre
 
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: Otg.exe
Submission date: 2011-02-21 20:46:18 (UTC)
Current status: queued (#4) queued (#6) analysing finished

Result: 6/ 15 (40.0%)
VT Community

not reviewed
Safety score: -

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.02.14.02 2011.02.14 Trojan/Win32.Renos
AVG 10.0.0.1190 2011.02.21 Generic21.PIU
BitDefender 7.2 2011.02.21 -
ClamAV 0.96.4.0 2011.02.21 -
DrWeb 5.0.2.03300 2011.02.21 Trojan.DownLoader2.9449
Emsisoft 5.1.0.2 2011.02.21 -
eSafe 7.0.17.0 2011.02.21 -
F-Secure 9.0.16160.0 2011.02.21 -
Fortinet 4.2.254.0 2011.02.21 -
GData 21 2011.02.21 Win32:FakeAlert-ZV
Kaspersky 7.0.0.125 2011.02.21 Trojan-Downloader.Win32.CodecPack.aitp
Microsoft 1.6502 2011.02.21 -
Norman 6.07.03 2011.02.21 W32/Crypt.AURZ
nProtect 2011-02-10.01 2011.02.15 -
VBA32 3.12.14.3 2011.02.21 -
Additional informationShow all
MD5 : 1dd511841b9c053a4bfa829e697f6869
SHA1 : 0ac1a53d7ab693c1c370bf6fe9a88064d6a82142
SHA256: c91e6da6eb99c3bfc9275519353667becd94d9c5ab46c8a79a5937d5d3d80311
ssdeep: 6144:0X8pZfIzmTqS1fCNwJq7HUntoCe+C7W2bckVLf:0X8pZ8S1fK0q70n+C3CW2c2L
File size : 217088 bytes
First seen: 2011-02-21 20:46:18
Last seen : 2011-02-21 20:46:18
TrID:
UPX compressed Win32 Executable (38.5%)
Win32 EXE Yoda's Crypter (33.4%)
Win32 Executable Generic (10.7%)
Win32 Dynamic Link Library (generic) (9.5%)
Win16/32 Executable Delphi generic (2.6%)
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers (Kaspersky): UPX

VT Community

0
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team
0
Réponse 12 / 25
Aerojeff Messages postés 41 Statut Membre
 
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: Otk.exe
Submission date: 2011-02-21 20:50:19 (UTC)
Current status: finished
Result: 18 /41 (43.9%)
VT Community

not reviewed
Safety score: -

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.02.14.02 2011.02.14 Trojan/Win32.Renos
AntiVir 7.11.3.172 2011.02.21 TR/Dldr.Renos.LX.139
Antiy-AVL 2.0.3.7 2011.02.19 -
Avast 4.8.1351.0 2011.02.21 Win32:FakeAlert-ZV
Avast5 5.0.677.0 2011.02.21 Win32:FakeAlert-ZV
AVG 10.0.0.1190 2011.02.21 Downloader.Generic10.CIQK
BitDefender 7.2 2011.02.21 -
CAT-QuickHeal 11.00 2011.02.21 -
ClamAV 0.96.4.0 2011.02.21 -
Commtouch 5.2.11.5 2011.02.21 W32/FakeAlert.KP.gen!Eldorado
Comodo 7763 2011.02.21 -
DrWeb 5.0.2.03300 2011.02.21 Trojan.DownLoader2.9449
eSafe 7.0.17.0 2011.02.21 -
eTrust-Vet 36.1.8174 2011.02.21 Win32/FakeCodec.F!generic
F-Prot 4.6.2.117 2011.02.21 W32/FakeAlert.KP.gen!Eldorado
F-Secure 9.0.16160.0 2011.02.21 -
Fortinet 4.2.254.0 2011.02.21 -
GData 21 2011.02.21 Win32:FakeAlert-ZV
Ikarus T3.1.1.97.0 2011.02.21 -
Jiangmin 13.0.900 2011.02.21 -
K7AntiVirus 9.88.3922 2011.02.21 -
McAfee 5.400.0.1158 2011.02.21 Downloader-CEW.r
McAfee-GW-Edition 2010.1C 2011.02.21 Downloader-CEW.r
Microsoft 1.6502 2011.02.21 -
NOD32 5894 2011.02.21 a variant of Win32/Kryptik.KWB
Norman 6.07.03 2011.02.21 W32/Crypt.AURZ
nProtect 2011-02-10.01 2011.02.15 -
Panda 10.0.3.5 2011.02.21 Suspicious file
PCTools 7.0.3.5 2011.02.21 -
Prevx 3.0 2011.02.21 -
Rising 23.46.00.06 2011.02.21 Suspicious
Sophos 4.61.0 2011.02.21 -
SUPERAntiSpyware 4.40.0.1006 2011.02.21 Trojan.Agent/Gen-Malpack
Symantec 20101.3.0.103 2011.02.21 -
TheHacker 6.7.0.1.135 2011.02.21 -
TrendMicro 9.200.0.1012 2011.02.21 -
TrendMicro-HouseCall 9.200.0.1012 2011.02.21 -
VBA32 3.12.14.3 2011.02.21 -
VIPRE 8496 2011.02.21 Trojan.Win32.Generic!BT
ViRobot 2011.2.21.4321 2011.02.21 -
VirusBuster 13.6.212.0 2011.02.21 -
Additional informationShow all
MD5 : b56a96a5bbeb9b5db2e421c355652630
SHA1 : 208164b03c97b55724bc03ae22034f6aca1cda37
SHA256: 6614b58256c41b3eefd6f9ea7de13eb05456f4c2523f2452cba06bffed562fbb
ssdeep: 3072:nDAEcehsoryd4/XR160ddvSFMpMa7881SHWWbwRRFJT+CxRAtKKn:nDZjKW6GXLRdFSFon
71ydwNx2tp
File size : 218624 bytes
First seen: 2011-02-21 20:50:19
Last seen : 2011-02-21 20:50:19
Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
TrID:
UPX compressed Win32 Executable (38.5%)
Win32 EXE Yoda's Crypter (33.4%)
Win32 Executable Generic (10.7%)
Win32 Dynamic Link Library (generic) (9.5%)
Win16/32 Executable Delphi generic (2.6%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers (F-Prot): UPX
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x79B80
timedatestamp....: 0x2A425E19 (Fri Jun 19 22:22:17 1992)
machinetype......: 0x14C (Intel I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0x44000, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0x45000, 0x35000, 0x34E00, 7.95, b3fa6e8c8d3d0b1bfb37c9a64ab0b402
.rsrc, 0x7A000, 0x1000, 0x400, 4.59, b28af95d99aa5d19a1e828e3762d4816

[[ 4 import(s) ]]
kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
oleaut32.dll: DllCanUnloadNow
user32.dll: DrawIcon
winspool.drv: AddMonitorA

ExifTool:
file metadata
CodeSize: 217088
EntryPoint: 0x79b80
FileSize: 214 kB
FileType: Win32 EXE
ImageVersion: 0.0
InitializedDataSize: 4096
LinkerVersion: 2.25
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
PEType: PE32
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 1992:06:20 00:22:17+02:00
UninitializedDataSize: 278528

Symantec reputation:Suspicious.Insight

VT Community

0
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team
0
Réponse 13 / 25
Aerojeff Messages postés 41 Statut Membre
 
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: Oto.exe
Submission date: 2011-02-21 20:54:53 (UTC)
Current status: finished
Result: 20 /42 (47.6%)
VT Community

not reviewed
Safety score: -

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.02.14.02 2011.02.14 Trojan/Win32.Renos
AntiVir 7.11.3.172 2011.02.21 TR/Dldr.CodecPack.airh
Antiy-AVL 2.0.3.7 2011.02.19 -
Avast 4.8.1351.0 2011.02.21 Win32:FakeAlert-ZV
Avast5 5.0.677.0 2011.02.21 Win32:FakeAlert-ZV
AVG 10.0.0.1190 2011.02.21 Downloader.Generic10.CIQL
BitDefender 7.2 2011.02.21 -
CAT-QuickHeal 11.00 2011.02.21 -
ClamAV 0.96.4.0 2011.02.21 -
Commtouch 5.2.11.5 2011.02.21 W32/FakeAlert.KP.gen!Eldorado
Comodo 7763 2011.02.21 -
DrWeb 5.0.2.03300 2011.02.21 Trojan.DownLoader2.9449
Emsisoft 5.1.0.2 2011.02.21 Trojan-Downloader.Win32.CodecPack!IK
eTrust-Vet 36.1.8174 2011.02.21 Win32/FakeCodec.F!generic
F-Prot 4.6.2.117 2011.02.21 W32/FakeAlert.KP.gen!Eldorado
F-Secure 9.0.16160.0 2011.02.21 -
Fortinet 4.2.254.0 2011.02.21 -
GData 21 2011.02.21 Win32:FakeAlert-ZV
Ikarus T3.1.1.97.0 2011.02.21 Trojan-Downloader.Win32.CodecPack
Jiangmin 13.0.900 2011.02.21 -
K7AntiVirus 9.88.3922 2011.02.21 -
Kaspersky 7.0.0.125 2011.02.21 Trojan-Downloader.Win32.CodecPack.aitp
McAfee 5.400.0.1158 2011.02.21 Downloader-CEW.r
McAfee-GW-Edition 2010.1C 2011.02.21 Downloader-CEW.r
Microsoft 1.6502 2011.02.21 -
NOD32 5894 2011.02.21 a variant of Win32/Kryptik.KWB
Norman 6.07.03 2011.02.21 W32/Crypt.AURZ
nProtect 2011-02-10.01 2011.02.15 -
Panda 10.0.3.5 2011.02.21 Suspicious file
PCTools 7.0.3.5 2011.02.21 -
Prevx 3.0 2011.02.21 -
Rising 23.46.00.06 2011.02.21 -
Sophos 4.61.0 2011.02.21 -
SUPERAntiSpyware 4.40.0.1006 2011.02.21 Trojan.Agent/Gen-Malpack
Symantec 20101.3.0.103 2011.02.21 -
TheHacker 6.7.0.1.135 2011.02.21 -
TrendMicro 9.200.0.1012 2011.02.21 -
TrendMicro-HouseCall 9.200.0.1012 2011.02.21 -
VBA32 3.12.14.3 2011.02.21 -
VIPRE 8496 2011.02.21 Trojan.Win32.Generic!BT
ViRobot 2011.2.21.4321 2011.02.21 -
VirusBuster 13.6.212.0 2011.02.21 -
Additional informationShow all
MD5 : 30dfee8ef900f0f5afe2d92931fb8103
SHA1 : b2fa6f907dfb2d300ce3e835c6906968d0296b3d
SHA256: dc803d9aed4b0c8027b4c6cdce00bdd9e42e03ed0c8400c801dbe3ab64e31845
ssdeep: 3072:TT04g4FyEsLjvWlelofBB7jlYz4qfo6EOMbbpac0fHeMLtuwJgZ/vG:TTlyEIi2on7jlHq
A/QZvhuwJ2
File size : 209920 bytes
First seen: 2011-02-21 13:49:53
Last seen : 2011-02-21 20:54:53
Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
TrID:
UPX compressed Win32 Executable (38.5%)
Win32 EXE Yoda's Crypter (33.4%)
Win32 Executable Generic (10.7%)
Win32 Dynamic Link Library (generic) (9.5%)
Win16/32 Executable Delphi generic (2.6%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers (F-Prot): UPX
packers (Kaspersky): UPX
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x768D0
timedatestamp....: 0x2A425E19 (Fri Jun 19 22:22:17 1992)
machinetype......: 0x14C (Intel I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0x43000, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0x44000, 0x33000, 0x32C00, 7.95, 759d382ac5d338fa7b4b76e3f61b6cea
.rsrc, 0x77000, 0x1000, 0x400, 4.54, 96d6431ff2c7b44b748079649abc38d4

[[ 4 import(s) ]]
kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
oleaut32.dll: DllCanUnloadNow
user32.dll: DrawIcon
winspool.drv: AddMonitorA

ExifTool:
file metadata
CodeSize: 208896
EntryPoint: 0x768d0
FileSize: 205 kB
FileType: Win32 EXE
ImageVersion: 0.0
InitializedDataSize: 4096
LinkerVersion: 2.25
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
PEType: PE32
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 1992:06:20 00:22:17+02:00
UninitializedDataSize: 274432

Symantec reputation:Suspicious.Insight

VT Community

0
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team
0
Réponse 14 / 25
Aerojeff Messages postés 41 Statut Membre
 
Voila,du coup j'en suis ou? parce que tu me demandes de te donner pleins de rapports alors que j'ai l'impression qu'il y a plus de virux
0
Réponse 15 / 25
Aerojeff Messages postés 41 Statut Membre
 
bon les 3 autres rapports s'affichent pas je compredns pas alors je te donne les liens

http://www.virustotal.com/file-scan/report.html?id=c91e6da6eb99c3bfc9275519353667becd94d9c5ab46c8a79a5937d5d3d80311-1298321178

http://www.virustotal.com/file-scan/report.html?id=6614b58256c41b3eefd6f9ea7de13eb05456f4c2523f2452cba06bffed562fbb-1298321419

http://www.virustotal.com/file-scan/report.html?id=dc803d9aed4b0c8027b4c6cdce00bdd9e42e03ed0c8400c801dbe3ab64e31845-1298321693
0
Réponse 16 / 25
Aerojeff Messages postés 41 Statut Membre
 
est ce que je peux transférer tous mes fichiers importants sur disque dur externe ou ya un risque que le virus soit transféré dessus?
0
Réponse 17 / 25
Utilisateur anonyme
 
Bonsoir

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Télécharge et installe UsbFix de El Desaparecido , C_XX & Chimay8
Ici http://www.teamxscript.org/usbfixTelechargement.html

Tutoriel de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.

# Choisi Suppression

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaîtra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

@+
0
Réponse 18 / 25
Aerojeff Messages postés 41 Statut Membre
 
je comprends pas ce que tu me demandes d'installer c'est simplement pour les données externes au pc? parce que j'en ai pas branché depuis le virus!!! donc ca me sert a rien d'installer ce programme si?

je comprends pas ou j'en suis du coup tu me dis que c'est pas un virus
0
Réponse 19 / 25
Utilisateur anonyme
 
Re

Ces trois analyses sur Virus Total ;regarde ici
Fait ce que dit ;merci.

@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
0
Réponse 20 / 25
Aerojeff Messages postés 41 Statut Membre
 
RE

alors voila le rapport:

############################## | UsbFix 7.040 | [Suppression]

Utilisateur: aude (Administrateur) # PC-DE-AUDE [SAMSUNG ELECTRONICS CO., LTD. Q310]
Mis à jour le 18/02/2011 par El Desaparecido / C_XX
Lancé à 21:28:25 | 23/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
Internet Explorer 7.0.6001.18000

Pare-feu Windows: Activé
RAM -> 3066 Mo
C:\ (%systemdrive%) -> Disque fixe # 144 Go (14 Go libre(s) - 9%) [] # NTFS
D:\ -> Disque fixe # 144 Go (31 Go libre(s) - 22%) [] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque fixe # 298 Go (288 Go libre(s) - 97%) [SAFE] # NTFS
H:\ -> CD-ROM

################## | Éléments infectieux |

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1371186708-2531987264-2005197202-1003
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1371186708-2531987264-2005197202-1003
Supprimé! G:\$RECYCLE.BIN\S-1-5-21-1371186708-2531987264-2005197202-1003

################## | Registre |

################## | Mountpoints2 |

################## | Listing |

[23/02/2011 - 21:30:47 | SHD ] C:\$Recycle.Bin
[18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
[23/02/2011 - 21:14:18 | RASHD ] C:\Autorun.inf
[08/02/2008 - 10:31:20 | D ] C:\Boot
[21/01/2008 - 03:24:42 | RASH | 333203] C:\bootmgr
[27/01/2011 - 00:29:26 | D ] C:\Config.Msi
[18/09/2006 - 22:43:37 | N | 10] C:\config.sys
[02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings
[23/02/2011 - 19:52:10 | ASH | 3215572992] C:\hiberfil.sys
[13/09/2008 - 04:29:39 | D ] C:\Intel
[21/10/2008 - 06:11:06 | N | 0] C:\IO.SYS
[21/10/2008 - 06:11:06 | N | 0] C:\MSDOS.SYS
[24/02/2010 - 23:38:49 | RHD ] C:\MSOCache
[26/09/2010 - 10:55:24 | D ] C:\musik
[13/09/2008 - 04:51:15 | D ] C:\MyWorks
[23/02/2011 - 19:52:03 | ASH | 3529375744] C:\pagefile.sys
[21/01/2008 - 03:32:31 | D ] C:\PerfLogs
[20/02/2011 - 17:24:16 | D ] C:\Program Files
[20/02/2011 - 12:13:32 | HD ] C:\ProgramData
[08/10/2010 - 21:38:06 | N | 417] C:\RHDSetup.log
[20/02/2011 - 16:10:23 | N | 477] C:\rkill.log
[08/10/2010 - 21:38:06 | N | 206] C:\setup.log
[22/02/2011 - 12:16:41 | SHD ] C:\System Volume Information
[23/02/2011 - 21:30:47 | D ] C:\UsbFix
[23/02/2011 - 21:28:26 | A | 2387] C:\UsbFix.txt
[23/02/2011 - 21:17:12 | D ] C:\UsbFix_Upload_Me
[27/12/2008 - 19:20:02 | D ] C:\Users
[20/02/2011 - 20:21:04 | D ] C:\Windows
[10/10/2009 - 22:11:19 | N | 1746] C:\WirelessDiagLog.csv
[20/02/2011 - 18:18:43 | N | 12428] C:\ZHPExportRegistry-20-02-2011-18-18-43.txt
[23/02/2011 - 21:30:47 | SHD ] D:\$RECYCLE.BIN
[16/09/2010 - 20:21:38 | D ] D:\Années 1980
[09/07/2010 - 16:16:17 | D ] D:\Aude
[23/02/2011 - 21:14:18 | RASHD ] D:\Autorun.inf
[10/09/2010 - 11:12:58 | D ] D:\avast! Pro AV + IS 5.0.545 Final + Crack
[12/09/2010 - 17:42:14 | T | 1273898] D:\CIMG2151.JPG
[12/09/2010 - 17:45:58 | T | 1286626] D:\CIMG2152.JPG
[12/09/2010 - 17:41:30 | T | 1811574] D:\CIMG2153.JPG
[12/09/2010 - 17:54:55 | T | 1916386] D:\CIMG2154.JPG
[12/09/2010 - 17:58:21 | T | 1749362] D:\CIMG2159.JPG
[12/09/2010 - 17:56:32 | T | 1971989] D:\CIMG2160.JPG
[12/09/2010 - 17:49:13 | T | 1458760] D:\CIMG2162.JPG
[12/09/2010 - 17:50:29 | T | 1356506] D:\CIMG2171.JPG
[12/09/2010 - 19:25:08 | T | 2109849] D:\CIMG2180.JPG
[12/09/2010 - 19:24:54 | T | 1857356] D:\CIMG2181.JPG
[12/09/2010 - 19:21:41 | T | 1998559] D:\CIMG2182.JPG
[12/09/2010 - 19:21:05 | T | 1790852] D:\CIMG2183.JPG
[12/09/2010 - 19:20:55 | T | 1800417] D:\CIMG2184.JPG
[12/09/2010 - 19:21:05 | T | 2033134] D:\CIMG2185.JPG
[12/09/2010 - 18:27:43 | T | 2123597] D:\CIMG2186.JPG
[12/09/2010 - 17:57:42 | T | 1143572] D:\CIMG2187.JPG
[12/09/2010 - 17:56:16 | T | 1409133] D:\CIMG2189.JPG
[12/09/2010 - 17:48:45 | T | 1859217] D:\CIMG2190.JPG
[12/09/2010 - 18:27:22 | T | 1819832] D:\CIMG2191.JPG
[12/09/2010 - 18:27:20 | T | 1919515] D:\CIMG2192.JPG
[12/09/2010 - 17:48:52 | T | 1892751] D:\CIMG2193.JPG
[12/09/2010 - 17:42:14 | T | 1300912] D:\CIMG2194.JPG
[16/09/2010 - 20:24:21 | D ] D:\Pop
[09/07/2010 - 16:16:04 | D ] D:\Programmes
[16/09/2010 - 20:17:24 | D ] D:\Rock
[27/12/2008 - 19:40:02 | SHD ] D:\System Volume Information
[23/02/2011 - 21:30:47 | SHD ] G:\$RECYCLE.BIN
[23/02/2011 - 21:14:18 | RASHD ] G:\Autorun.inf
[22/02/2011 - 09:17:04 | D ] G:\HIMYM
[22/02/2011 - 09:18:57 | D ] G:\How I Met Your Mother - Saison 3 (VOSTFR)
[22/02/2011 - 08:58:10 | SHD ] G:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |
0

Discussions similaires

supprimer tor.jack android
sabinelouisonbruno -
akaloupile -

4 réponses
Tor.Jack.Malware
Camille -
bazfile -

1 réponse
Antimalware service Executable consomme 45% de RAM.
KalenShiv -
KalenShiv -

8 réponses
Mac comment taper l'inverse d'un slash (/) ?
caldu -
@Adriendu10_MC sur Twitter -

12 réponses
La différence entre / et \ ?
samyjoe -
samyjoe -

3 réponses