TROJAN-DROPPER.win32.agent.tor!A2

Le queniau Messages postés 7766 Statut Contributeur -  
jorginho67 Messages postés 15447 Statut Contributeur sécurité -
Salut,

Depuis une semaine je suis infecté par ce trojan. Sur mon PC le plus infecté, je ne peux pour l'instant plus installer et rétablir ma connexion internet. Malgré un formatage et une réinstallation il était toujours présent. L'utilisation de NOD32 et de Ad-Aware m'a permis d'identifier certains fichier vérolés tels que "KEYFINDER.EXE" ou "SYSDM.EXE" et malgré l'utilisation de plusieurs anti-virus puis de la suppression de fichiers contaminés... ceux-ci étaient a nouveau présents au redémarrage. Sur ce poste j"ai aussi changé le disque dur par un neuf en pensant que le virus se situait dans les secteurs de démarrage de mon disque mais cela n'a rien changé. Quelqu'un a-t-il déjà été confronté à ce trojan et comment en êtes-vous débarrassé ? Pour l'instant je vérifie si mon deuxième poste n'est pas infecté car j"ai voulu formater et désinfecté mon premier disque dur dessus. Que faire en sachant que pour l'instant je n'ai pas vraiment de solution pour vous transmettre un rzpport HijackThis de ce PC

Par avance merci !
A voir également:

43 réponses

Réponse 1 / 43
toto957 Messages postés 259 Statut Membre 16
 
Bonjour, j'ai une solution pour toi !! Télécharge super antispyware et avec ce logiciel fais un scan de ton ordinateur il va te trouver ton trojan et te le mettre en quarantaine et ensuite tu pourras le supprimer !!
voilà j'espère que tu vas y arriver !

toto957
0
Réponse 2 / 43
Dakiz Messages postés 61 Statut Membre 3
 
Alors ce que je te propose :

CTRL + ALT + SUPPR. et va dans l'onglet processus.
Ensuite essaye de voir si tu as un processus éxécuté qui porte le nom "KEYFINDER.EXE" ou "SYSDM.EXE ou quelque nom "bizarre" (en général se sont des éxécutifs)
Clique droit dessus et fais "Terminer le processus" et valide.
Analyse ton PC SANS REDEMARRER !
Supprime ou met en quarantaine les virus trouvés...

Je te conseil Avast qui est devenu un super AV ;)
0
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
La mise en quarantaine ou la suppression n"est pour l'instant d'aucune efficacité. J'ai comme l'impression qu'a chaque redémarrage qu'il se réinitialise comme si ce dernier était situé dans le BIOS. Où peut-être situé un virus s'il n'est pas sur le disque dur à la base ?
0
Réponse 3 / 43
toto957 Messages postés 259 Statut Membre 16
 
Est-ce que tu t'en sors ?
0
Réponse 4 / 43
Dakiz Messages postés 61 Statut Membre 3
 
J'ai peut-être une idée. As-tu eu un logiciel sois-disant Antivirus qui s'est installé sur ton ordinateur sans que tu lui "demande" ?
0
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
Ce virus est apparu après le téléchargement d'un fichier. Mon antivirus n'a rien décelé car il a été neutralisé par ce virus dés le départ. En fait avant de faire mon premier formatage je ne pouvais plus lancer aucun antivirus installé sur mon pC/ J'ai par la suite décelé les virus "doubleclick.cookie" et "adserv.cookie" qui me neutralise mon dossier cookies m'empéchant par exemple de poser des question sur CCM
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 43
toto957 Messages postés 259 Statut Membre 16
 
oui moi aussi je l'ai eu il s'appelle super antivirus xp 2008 il faut que tu le supprime c'est de l'arnaque
0
Réponse 6 / 43
Dakiz Messages postés 61 Statut Membre 3
 
Oui il faut faire attention a ce genre de "logiciel" qui sont en réalité des virus .
0
Réponse 7 / 43
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
Malheureusement je vais devoir laisser pour ce soir... je reprendrais demain soir. Bonne nuit !
0
Réponse 8 / 43
Dakiz Messages postés 61 Statut Membre 3
 
De même =]
0
Réponse 9 / 43
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
Voici le rapport HijackThis de mon deuxième PC. Il y a deux partitions. La première avec win98 et la deuxième avec XP.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:31:53, on 04/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\SOUNDMAN.EXE
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Program Files\Eset\nod32kui.exe
F:\Program Files\BroadJump\Client Foundation\CFD.exe
F:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
F:\Program Files\QuickTime\QTTask.exe
F:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
F:\Program Files\Soft4Ever\looknstop\_looknstop.exe
F:\Program Files\Executive Software\Diskeeper\DkService.exe
F:\Program Files\Eset\nod32krn.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DiskeeperSystray] "F:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [nod32kui] "F:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Look 'n' Stop] "F:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [NVMixerTray] "F:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [BJCFD] F:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "F:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - F:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - F:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - F:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
0
Réponse 10 / 43
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
Voici le rapport de mon premier PC. J'ai réussi à le reconnecter à internet. Sous Explorer il m'est impossible de poser une question sur CCM (problème de cookies) alors que sous Firefox tout à l'air d'aller.
Hier j'ai passer AVG sur mon deuxième PC qui m'a permis de supprimer Dropper.Agent.Tor. Pour l'instant en scannant mes deux PC avec AVG et Ad-Aware rien n'est détecté !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:01:27, on 06/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Eset\nod32kui.exe
C:\Windows\System32\VisualTaskTips.exe
C:\Program Files\Soft4Ever\looknstop\_looknstop.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Program Files\TweakRAM\TweakRAM.exe
C:\Program Files\LClock\lclock.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe
O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [Vistadrv] C:\Windows\System32\Vistadrive\vsdrv.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
0
Réponse 11 / 43
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
Personne pour me dire s'il y a quelque chose de suspect dans mes deux rapports ?
0
Réponse 12 / 43
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
Un trojan peut-il être dans la ram sans être détecté et y-a-t-il un bon utilitaire pour le vérifier ?
0
Réponse 13 / 43
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Salut !

Hum hum... [nltide3]... pas de IE7 ?...


Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.
Tutoriel

Lorsque tu aura fini d'intervenir dans les répertoires système, fait la manip inverse pour recacher les fichiers système.


Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur Parcourir et cherche ce fichier : (en gras ci dessous )

C:\Windows\System32\Vistadrive\vsdrv.exe
C:\Program Files\TweakRAM\TweakRAM.exe ====> Fais le un dossier a la fois


Clique sur Send File.

Tu devras surement patienter, il y a toujours une file d'attente.
Un rapport va s'élaborer ligne à ligne.

Attends la fin. Tu dois voir la mention Finished sur la droite.
Le rapport doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie/colle le dans ta prochaine réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant.
0
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
Salut Jorginho67,

Pour TweakRam.exe :

AhnLab-V3 2008.11.5.3 2008.11.06 -
AntiVir 7.9.0.26 2008.11.06 -
Authentium 5.1.0.4 2008.11.06 W32/Heuristic-210!Eldorado
Avast 4.8.1248.0 2008.11.06 -
AVG 8.0.0.161 2008.11.06 -
BitDefender 7.2 2008.11.06 -
CAT-QuickHeal 9.50 2008.11.04 (Suspicious) - DNAScan
ClamAV 0.94.1 2008.11.06 -
DrWeb 4.44.0.09170 2008.11.06 -
eSafe 7.0.17.0 2008.11.06 -
eTrust-Vet 31.6.6195 2008.11.06 -
Ewido 4.0 2008.11.06 -
F-Prot 4.4.4.56 2008.11.06 W32/Heuristic-210!Eldorado
F-Secure 8.0.14332.0 2008.11.06 -
Fortinet 3.117.0.0 2008.11.06 -
GData 19 2008.11.06 -
Ikarus T3.1.1.45.0 2008.11.06 -
K7AntiVirus 7.10.518 2008.11.06 -
Kaspersky 7.0.0.125 2008.11.06 -
McAfee 5425 2008.11.05 -
Microsoft 1.4005 2008.11.06 -
NOD32 3592 2008.11.06 -
Norman 5.80.02 2008.11.06 -
Panda 9.0.0.4 2008.11.05 -
PCTools 4.4.2.0 2008.11.06 -
Prevx1 V2 2008.11.06 -
Rising 21.02.32.00 2008.11.06 -
SecureWeb-Gateway 6.7.6 2008.11.06 Win32.Malware.gen (suspicious)
Sophos 4.35.0 2008.11.06 -
Sunbelt 3.1.1783.2 2008.11.05 VIPRE.Suspicious
Symantec 10 2008.11.06 -
TheHacker 6.3.1.1.142 2008.11.06 -
TrendMicro 8.700.0.1004 2008.11.06 -
VBA32 3.12.8.9 2008.11.05 -
ViRobot 2008.11.6.1455 2008.11.06 -
VirusBuster 4.5.11.0 2008.11.06 -
Information additionnelle
File size: 907264 bytes
MD5...: d719d5e906262b8f244a7810794b59c0
SHA1..: 637866caa9aac13f8b2bd63865d03c69578ddde2
SHA256: a1a8a6c053aa97c09f9db2e0a4488c052164db534701a1297eafe18ad36e1eb5
SHA512: 22176e75ccd49992c9cf24fc398f1299727396deba50b5b90b06afe99ae95f3e
f0cc0285639d0bb9732f19ab4a25e9fff156ca3737c6e922c843da87d984999b
PEiD..: ASProtect v1.23 RC1
TrID..: File type identification
Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 11 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x174000 0x75e00 8.00 57a2512500b1917378d977eed2f7c351
0x175000 0x8000 0x2c00 7.94 bec1cf3d4145f78f8d7b690c437193fb
0x17d000 0x2000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
0x17f000 0x4000 0x2e00 7.93 9a190f7974f4249a2df8d2c28f075458
0x183000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
0x184000 0x1000 0x200 0.37 81c3cc305fcfcf85e3bc825dfd71a34a
0x185000 0x15000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x19a000 0x51000 0xd600 7.73 1978d51e93d71dcc9ecc5c86a4749fbe
JCLDEBUG 0x1eb000 0x35000 0x1b200 8.00 45309dcbb95a262d2c066b902726495b
.tram 0x220000 0x3a000 0x39200 7.12 4d3ac8e8a87a07ca1497f206b88f780b
.adata 0x25a000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 22 imports )
> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA
> user32.dll: GetKeyboardType
> advapi32.dll: RegQueryValueExA
> oleaut32.dll: SysFreeString
> advapi32.dll: SetSecurityDescriptorDacl
> mpr.dll: WNetGetConnectionA
> version.dll: VerQueryValueA
> gdi32.dll: UnrealizeObject
> user32.dll: CreateWindowExA
> oleaut32.dll: SafeArrayPtrOfIndex
> ole32.dll: CoTaskMemAlloc
> oleaut32.dll: GetErrorInfo
> comctl32.dll: ImageList_SetIconSize
> imm32.dll: ImmSetCompositionWindow
> winspool.drv: OpenPrinterA
> shell32.dll: Shell_NotifyIconA
> wininet.dll: FindNextUrlCacheEntryA
> shell32.dll: SHGetSpecialFolderLocation
> comdlg32.dll: ChooseColorA
> winmm.dll: PlaySoundA
> oleaut32.dll: VariantChangeTypeEx
> kernel32.dll: RaiseException

( 0 exports )
ThreatExpert info: https://www.symantec.com?md5=d719d5e906262b8f244a7810794b59c0
packers (Authentium): PE_Patch, Aspack, Aspack
packers (F-Prot): PE_Patch, Aspack
packers (Kaspersky): PE_Patch

Je fais le suivant !
0
Le queniau Messages postés 7766 Statut Contributeur 2 014 > Le queniau Messages postés 7766 Statut Contributeur
 
Pour Vsdrv.exe :

AhnLab-V3 2008.11.5.3 2008.11.06 -
AntiVir 7.9.0.26 2008.11.06 -
Authentium 5.1.0.4 2008.11.06 -
Avast 4.8.1248.0 2008.11.06 -
AVG 8.0.0.161 2008.11.06 -
BitDefender 7.2 2008.11.06 -
CAT-QuickHeal 9.50 2008.11.04 Trojan.Autoit.q
ClamAV 0.94.1 2008.11.06 -
DrWeb 4.44.0.09170 2008.11.06 -
eSafe 7.0.17.0 2008.11.06 Suspicious File
eTrust-Vet 31.6.6195 2008.11.06 -
Ewido 4.0 2008.11.06 -
F-Prot 4.4.4.56 2008.11.06 -
F-Secure 8.0.14332.0 2008.11.06 -
Fortinet 3.117.0.0 2008.11.06 -
GData 19 2008.11.06 -
Ikarus T3.1.1.45.0 2008.11.06 Trojan-PWS.Win32.Agent.bn
K7AntiVirus 7.10.518 2008.11.06 -
Kaspersky 7.0.0.125 2008.11.06 -
McAfee 5425 2008.11.05 -
Microsoft 1.4005 2008.11.06 -
NOD32 3592 2008.11.06 -
Norman 5.80.02 2008.11.06 -
Panda 9.0.0.4 2008.11.05 -
PCTools 4.4.2.0 2008.11.06 -
Prevx1 V2 2008.11.06 -
Rising 21.02.32.00 2008.11.06 -
SecureWeb-Gateway 6.7.6 2008.11.06 -
Sophos 4.35.0 2008.11.06 -
Sunbelt 3.1.1783.2 2008.11.05 -
Symantec 10 2008.11.06 -
TheHacker 6.3.1.1.142 2008.11.06 -
TrendMicro 8.700.0.1004 2008.11.06 -
VBA32 3.12.8.9 2008.11.05 -
ViRobot 2008.11.6.1455 2008.11.06 -
VirusBuster 4.5.11.0 2008.11.06 -
Information additionnelle
File size: 121089 bytes
MD5...: 52c3485c4b181163c13fcc4bd6a4505b
SHA1..: 9236e30b4e456724f33093b1e89cfce2067b7fcd
SHA256: 5f1a03465af2c1f2285903937594a0a1ae0b8b74e7952713955fc7ea2d26fc5f
SHA512: b115a205fa524dffba818d8314854dfbdfc324c0bf5cc02612ee2b8241315463
79fb9f269234c8c58358c636e7d295a008de4f5ba5c6017d075361debf7aa7d1
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x453150
timedatestamp.....: 0x4207c1d6 (Mon Feb 07 19:30:30 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x37000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x38000 0x1c000 0x1b400 7.92 97620b8ddd7a677cbf40a395e5ab5ff8
.rsrc 0x54000 0x2000 0x1c00 5.51 59529af0a8df1ba2c77376557106c3ec

( 13 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> COMCTL32.dll: ImageList_Create
> comdlg32.dll: GetOpenFileNameA
> GDI32.dll: DeleteDC
> MPR.dll: WNetUseConnectionA
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: DragFinish
> USER32.dll: GetDC
> VERSION.dll: VerQueryValueA
> WINMM.dll: timeGetTime
> WSOCK32.dll: -

( 0 exports )
ThreatExpert info: https://www.symantec.com?md5=52c3485c4b181163c13fcc4bd6a4505b
packers (Kaspersky): UPX
packers (F-Prot): UPX


Par contre pour l'instant ces rapports sont du chinois pour moi. Je ne sais pas comment les interpréter !
0
Réponse 14 / 43
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
T'inquietes, depuis qu'on se connais, je suis resté sur V/S ;-)

Il y a meilleurs que moi, mais ça va, j'arrive a me débrouiller ;-)

Bon, c'est bien ce qui me semblais... pas net ces fichiers.

Est ce qu'ils te disent quelque chose ?

C:\Windows\System32\Vistadrive\vsdrv.exe
C:\Program Files\TweakRAM\TweakRAM.exe

0
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
Pas vraiment. Pour VistaDrive j'ai une version ultimate d'XP qui fait que je l'associe à certaines partie de l'interface qui annonçait Vista. Par contre récemment en passant AVG ou Ad-aware je n'ai plus de fichier détecté. Je suis passé sous firefox... cela a peut-être une influence car sous IE j'avais des soucis de cookies !


Je viens de refaire le test sous IE mon dossier cookie est saturé de fichier et sur CCM cela m'annonce un problème de cookies !
0
Réponse 15 / 43
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
On nettoie tout ça

Telecharge sur ton bureau:

* ATF Cleaner en clicquant ici => http://www.atribune.org/ccount/click.php?id=1

Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected , patiente jusqu'à la fin du nettoyage

Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.

Tutoriel => http://mickael.barroux.free.fr/securite/atf_cleaner.php
0
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
Ok c'est fait !
0
Réponse 16 / 43
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Tes coockies sont cuits ?

sur CCM cela m'annonce un problème de cookies !

ça donne quoi maintenant ?
0
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
Non toujours pareils dés que je passe sous IE avec 150 fichiers qui apparaissent dans mon dossier cookies :
Sur CCM j'ai ceci :

Succès
Vous êtes identifié en tant que Contributeur !
Attention
Veuillez activer les cookies dans votre navigateur. Si vous ne les activez pas, votre session risque d'être déconnectée.


alors que sous Firefox je n'ai pas se souci et aucun fichier dans mon dossier cookie.
0
Réponse 17 / 43
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
En même temps => Internet Explorer v6.00 SP2

Faudrait faire la MàJ...

peux tu me faire un scan en ligne Kaspersky sous Internet Explorer stp ?

voir ici comment

Désactive ton antivirus, le temps du scan !

Clique sur Démarrer Online-Scanner
Clique ensuite sur J'accepte.
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
Patiente pendant l'installation des Mises à jour.
Choisis par la suite l'analyse du Poste de travail.
Sauvegarde puis colle le rapport généré en fin de scan.

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée"
va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner
reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
0
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
Avec une analyse uniquement du poste de travail : aucun fichier infecté. Par contre en choisissant zones critiques j'ai ceci :
KASPERSKY ON-LINE SCANNER REPORT
Friday, November 07, 2008 11:22:51 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 6/11/2008
Enregistrements dans la base antivirus Kaspersky : 1372829
Paramètres d'analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Zones critiques
C:\WINDOWS
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\
Statistiques de l'analyse
Total d'objets analysés 13235
Nombre de virus trouvés 1
Nombre d'objets infectés 1 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:06:36

Nom de l'objet infecté Nom du virus Dernière action
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\cmdow.exe Infecté : not-a-virus:RiskTool.Win32.HideWindows ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_3b0.dat L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
Analyse terminée.
0
Réponse 18 / 43
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Supprime : C:\WINDOWS\system32\cmdow.exe

0
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
C'est fait. Je continuerai demain. Merci à toi et bonne nuit !
0
Réponse 19 / 43
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
ok


bonne nuit
0
Réponse 20 / 43
Le queniau Messages postés 7766 Statut Contributeur 2 014
 
Je viens de scanner avec Ad-aware et voici le rapport :


Ad-Aware SE Build 1.06r1
Logfile Created on:samedi 8 novembre 2008 19:56:59
Using definitions file:SE1R125 06.10.2006
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):6 total references.
Tracking Cookie(TAC index:3):10 total references.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Started tracking cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Object Recognized:
Type : IECache Entry
Data : administrateur@adserver.aol[1].txt
TAC Index : 3
Category : Data Miner
Comment : Hits:3
Value : Cookie:administrateur@adserver.aol.fr/
Expires : 06-11-2010 23:44:14
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized:
Type : IECache Entry
Data : administrateur@estat[1].txt
TAC Index : 3
Category : Data Miner
Comment : Hits:1
Value : Cookie:administrateur@estat.com/
Expires : 04-11-2018 23:44:48
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized:
Type : IECache Entry
Data : administrateur@247realmedia[2].txt
TAC Index : 3
Category : Data Miner
Comment : Hits:3
Value : Cookie:administrateur@247realmedia.com/
Expires : 01-01-2021 01:00:00
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized:
Type : IECache Entry
Data : administrateur@advertising[1].txt
TAC Index : 3
Category : Data Miner
Comment : Hits:31
Value : Cookie:administrateur@advertising.com/
Expires : 07-11-2010 19:12:24
LastSync : Hits:31
UseCount : 0
Hits : 31

Tracking Cookie Object Recognized:
Type : IECache Entry
Data : administrateur@bluestreak[1].txt
TAC Index : 3
Category : Data Miner
Comment : Hits:3
Value : Cookie:administrateur@bluestreak.com/
Expires : 05-11-2018 14:11:58
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized:
Type : IECache Entry
Data : administrateur@tradedoubler[1].txt
TAC Index : 3
Category : Data Miner
Comment : Hits:4
Value : Cookie:administrateur@tradedoubler.com/
Expires : 21-11-2008 23:56:12
LastSync : Hits:4
UseCount : 0
Hits : 4

Tracking Cookie Object Recognized:
Type : IECache Entry
Data : administrateur@cetelem.solution.weborama[2].txt
TAC Index : 3
Category : Data Miner
Comment : Hits:4
Value : Cookie:administrateur@cetelem.solution.weborama.fr/
Expires : 06-01-2009 19:12:34
LastSync : Hits:4
UseCount : 0
Hits : 4

Tracking Cookie Object Recognized:
Type : IECache Entry
Data : administrateur@mediaplex[1].txt
TAC Index : 3
Category : Data Miner
Comment : Hits:1
Value : Cookie:administrateur@mediaplex.com/
Expires : 07-11-2011 06:45:10
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized:
Type : IECache Entry
Data : administrateur@weborama[1].txt
TAC Index : 3
Category : Data Miner
Comment : Hits:1
Value : Cookie:administrateur@weborama.fr/
Expires : 07-11-2010 19:12:34
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized:
Type : IECache Entry
Data : administrateur@apmebf[1].txt
TAC Index : 3
Category : Data Miner
Comment : Hits:1
Value : Cookie:administrateur@apmebf.com/
Expires : 07-11-2010 19:12:02
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New Critical Objects: 10
Objects found so far: 16



Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk scan result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New Critical Objects: 0
Objects found so far: 16


Scanning Hosts file...
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New Critical Objects:0
Objects found so far: 16




Performing conditional scans..
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New Critical Objects: 0
Objects found so far: 16

19:58:10 Scan Complete

Summary of this scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:01:11.281
Objects scanned:95720
Objects identified:10
Objects ignored:0
New Critical Objects:10


On peut apercevoir les cookies qui apparaissent lors de l'ouverture de IE.
0

Discussions similaires

Imprimer 4 feuilles A4 pour donner un effet A2
Minisim -
Ptitetchounette -

5 réponses
Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Pourquoi est-ce que mon adresse email est invalide ?
nanou1967 -
Driss -

5 réponses
IMPRESSION FORMAT A2
ciuccia -
contrariness -

2 réponses
Imprimer un A2 avec 2 A3
Romain -
Utilisateur anonyme -

1 réponse