Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Demande d'analyse d'un rapport HijackThis

GATTACANNE

Par GATTACANNE
dans Analyses et éradication malwares

 Partager

Messages recommandés

GATTACANNE Member

GATTACANNE

Posté(e)
  • Auteur
Posté(e)

re bonjour

 

message : impossible de commencer l'installation c:/progra 1\mcaffe.com\agent\unint\mpfrem.ui

entre progra et 1 il y a un signe mais je ne le trouve pas sur le clavier et je ne peux pas copier coller comme la barre supérieur de a peu près égal...

 

désolé c'est pas trés clair

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Non ce n'est pas très clair en effet :P

 

Nous verrons pas la suite. Je t'attends avec les résultats d'analyse sur Virustotal des fichiers demandés.

GATTACANNE Member

GATTACANNE

Posté(e)
  • Auteur
Posté(e)

voilà le premier rapport:

 

 

Fichier utmymtmz.sys reçu le 2008.08.30 10:23:42 (CET)

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.8.29.0 2008.08.29 -

AntiVir 7.8.1.23 2008.08.29 -

Authentium 5.1.0.4 2008.08.30 -

Avast 4.8.1195.0 2008.08.29 -

AVG 8.0.0.161 2008.08.29 -

BitDefender 7.2 2008.08.30 -

CAT-QuickHeal 9.50 2008.08.29 -

ClamAV 0.93.1 2008.08.30 -

DrWeb 4.44.0.09170 2008.08.29 -

eSafe 7.0.17.0 2008.08.28 -

eTrust-Vet 31.6.6057 2008.08.29 -

Ewido 4.0 2008.08.29 -

F-Prot 4.4.4.56 2008.08.29 -

F-Secure 7.60.13501.0 2008.08.30 -

Fortinet 3.14.0.0 2008.08.30 -

GData 19 2008.08.30 -

Ikarus T3.1.1.34.0 2008.08.30 -

K7AntiVirus 7.10.432 2008.08.29 -

Kaspersky 7.0.0.125 2008.08.30 -

McAfee 5373 2008.08.29 -

Microsoft 1.3807 2008.08.25 -

NOD32v2 3401 2008.08.30 -

Norman 5.80.02 2008.08.29 -

Panda 9.0.0.4 2008.08.29 -

PCTools 4.4.2.0 2008.08.29 -

Prevx1 V2 2008.08.30 -

Rising 20.59.51.00 2008.08.30 -

Sophos 4.33.0 2008.08.30 -

Sunbelt 3.1.1592.1 2008.08.30 -

Symantec 10 2008.08.30 -

TheHacker 6.3.0.6.068 2008.08.30 -

TrendMicro 8.700.0.1004 2008.08.29 -

VBA32 3.12.8.4 2008.08.29 -

ViRobot 2008.8.29.1355 2008.08.29 -

VirusBuster 4.5.11.0 2008.08.29 -

Webwasher-Gateway 6.6.2 2008.08.29 -

Information additionnelle

File size: 7168 bytes

MD5...: 524d8d450622db4a7875b111c299a76b

SHA1..: fe22db1e0b864e77baeca5520c05c42431784fd8

SHA256: 7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237

SHA512: dba463d14c93a7f81f7da6ed27345ea95a017027e3b974c0eedd23f2d650c954<br>823e50ec6d707e12ec4c1cc898e3c836e7f017910210eb31a2304a3df636393d

PEiD..: -

TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x11990<br>timedatestamp.....: 0x4788d40f (Sat Jan 12 14:51:59 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x9d4 0xa00 5.78 b65e29f81689fbde8b3d49891e4011de<br>.rdata 0x2000 0x144 0x200 2.93 4c5e3a3a7d9a4ad57704be677563d7ca<br>.data 0x3000 0x20 0x200 0.26 4f4f5306b935a3d853c02c6c206aa506<br>INIT 0x4000 0x292 0x400 3.74 a077364ef66a2ed1ad88d7557f37474a<br>.rsrc 0x5000 0x300 0x400 2.56 85021f99de084aa59772f678fd7aaf3a<br>.reloc 0x6000 0x106 0x200 2.65 173202905f3e2cfaecaf72eb73fd3c1c<br><br>( 2 imports ) <br>> ntoskrnl.exe: MmIsAddressValid, MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, MmBuildMdlForNonPagedPool, IoAllocateMdl, _except_handler3, ObfDereferenceObject, ObReferenceObjectByName, MmUnlockPages, RtlInitUnicodeString, KeServiceDescriptorTable, PsGetCurrentProcessId, IoGetCurrentProcess, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, IoDeleteSymbolicLink, IoFreeMdl, IoDriverObjectType, IofCompleteRequest<br>> HAL.dll: KfLowerIrql, KeRaiseIrqlToDpcLevel<br><br>( 0 exports ) <br>

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.8.29.0 2008.08.29 -

AntiVir 7.8.1.23 2008.08.29 -

Authentium 5.1.0.4 2008.08.30 -

Avast 4.8.1195.0 2008.08.29 -

AVG 8.0.0.161 2008.08.29 -

BitDefender 7.2 2008.08.30 -

CAT-QuickHeal 9.50 2008.08.29 -

ClamAV 0.93.1 2008.08.30 -

DrWeb 4.44.0.09170 2008.08.29 -

eSafe 7.0.17.0 2008.08.28 -

eTrust-Vet 31.6.6057 2008.08.29 -

Ewido 4.0 2008.08.29 -

F-Prot 4.4.4.56 2008.08.29 -

F-Secure 7.60.13501.0 2008.08.30 -

Fortinet 3.14.0.0 2008.08.30 -

GData 19 2008.08.30 -

Ikarus T3.1.1.34.0 2008.08.30 -

K7AntiVirus 7.10.432 2008.08.29 -

Kaspersky 7.0.0.125 2008.08.30 -

McAfee 5373 2008.08.29 -

Microsoft 1.3807 2008.08.25 -

NOD32v2 3401 2008.08.30 -

Norman 5.80.02 2008.08.29 -

Panda 9.0.0.4 2008.08.29 -

PCTools 4.4.2.0 2008.08.29 -

Prevx1 V2 2008.08.30 -

Rising 20.59.51.00 2008.08.30 -

Sophos 4.33.0 2008.08.30 -

Sunbelt 3.1.1592.1 2008.08.30 -

Symantec 10 2008.08.30 -

TheHacker 6.3.0.6.068 2008.08.30 -

TrendMicro 8.700.0.1004 2008.08.29 -

VBA32 3.12.8.4 2008.08.29 -

ViRobot 2008.8.29.1355 2008.08.29 -

VirusBuster 4.5.11.0 2008.08.29 -

Webwasher-Gateway 6.6.2 2008.08.29 -

 

Information additionnelle

File size: 7168 bytes

MD5...: 524d8d450622db4a7875b111c299a76b

SHA1..: fe22db1e0b864e77baeca5520c05c42431784fd8

SHA256: 7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237

SHA512: dba463d14c93a7f81f7da6ed27345ea95a017027e3b974c0eedd23f2d650c954<br>823e50ec6d707e12ec4c1cc898e3c836e7f017910210eb31a2304a3df636393d

PEiD..: -

TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x11990<br>timedatestamp.....: 0x4788d40f (Sat Jan 12 14:51:59 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x9d4 0xa00 5.78 b65e29f81689fbde8b3d49891e4011de<br>.rdata 0x2000 0x144 0x200 2.93 4c5e3a3a7d9a4ad57704be677563d7ca<br>.data 0x3000 0x20 0x200 0.26 4f4f5306b935a3d853c02c6c206aa506<br>INIT 0x4000 0x292 0x400 3.74 a077364ef66a2ed1ad88d7557f37474a<br>.rsrc 0x5000 0x300 0x400 2.56 85021f99de084aa59772f678fd7aaf3a<br>.reloc 0x6000 0x106 0x200 2.65 173202905f3e2cfaecaf72eb73fd3c1c<br><br>( 2 imports ) <br>> ntoskrnl.exe: MmIsAddressValid, MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, MmBuildMdlForNonPagedPool, IoAllocateMdl, _except_handler3, ObfDereferenceObject, ObReferenceObjectByName, MmUnlockPages, RtlInitUnicodeString, KeServiceDescriptorTable, PsGetCurrentProcessId, IoGetCurrentProcess, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, IoDeleteSymbolicLink, IoFreeMdl, IoDriverObjectType, IofCompleteRequest<br>> HAL.dll: KfLowerIrql, KeRaiseIrqlToDpcLevel<br><br>( 0 exports ) <br>

GATTACANNE Member

GATTACANNE

Posté(e)
  • Auteur
Posté(e)

voilà le deuxième:

 

 

Fichier 99163015.sys reçu le 2008.08.30 10:29:16 (CET)

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.8.29.0 2008.08.29 -

AntiVir 7.8.1.23 2008.08.29 -

Authentium 5.1.0.4 2008.08.30 -

Avast 4.8.1195.0 2008.08.29 -

AVG 8.0.0.161 2008.08.29 -

BitDefender 7.2 2008.08.30 -

CAT-QuickHeal 9.50 2008.08.29 -

ClamAV 0.93.1 2008.08.30 -

DrWeb 4.44.0.09170 2008.08.29 -

eSafe 7.0.17.0 2008.08.28 -

eTrust-Vet 31.6.6057 2008.08.29 -

Ewido 4.0 2008.08.29 -

F-Prot 4.4.4.56 2008.08.29 -

F-Secure 7.60.13501.0 2008.08.30 -

Fortinet 3.14.0.0 2008.08.30 -

GData 19 2008.08.30 -

Ikarus T3.1.1.34.0 2008.08.30 -

K7AntiVirus 7.10.432 2008.08.29 -

Kaspersky 7.0.0.125 2008.08.30 -

McAfee 5373 2008.08.29 -

Microsoft 1.3807 2008.08.25 -

NOD32v2 3401 2008.08.30 -

Norman 5.80.02 2008.08.29 -

Panda 9.0.0.4 2008.08.29 -

PCTools 4.4.2.0 2008.08.29 -

Prevx1 V2 2008.08.30 -

Rising 20.59.51.00 2008.08.30 -

Sophos 4.33.0 2008.08.30 -

Sunbelt 3.1.1592.1 2008.08.29 -

Symantec 10 2008.08.30 -

TheHacker 6.3.0.6.068 2008.08.30 -

TrendMicro 8.700.0.1004 2008.08.29 -

VBA32 3.12.8.4 2008.08.29 -

ViRobot 2008.8.29.1355 2008.08.29 -

VirusBuster 4.5.11.0 2008.08.29 -

Webwasher-Gateway 6.6.2 2008.08.29 -

Information additionnelle

File size: 148496 bytes

MD5...: 33e4b5d3d679b0c3d274ee7e4c1c8758

SHA1..: 01d5c22c1858c562ce820d55414e1f9a41cd0c42

SHA256: 1541366c7cb31fd407d746448c488faf1b1d935384de71f61f4748ac27b52419

SHA512: 9dd6adb230ad77283be367f2402d9de6d5dcc9df05989fc1c58c01e45144ee05<br>ed75b51238b828c7a1c35a9f0d3216b3a90ef25184e25ff26f62f2feefd5a9b7

PEiD..: -

TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x33010<br>timedatestamp.....: 0x47ce4e6c (Wed Mar 05 07:40:28 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 8 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1a828 0x1aa00 6.38 dc15908783aff76f03fbd015826c5ce7<br>NONPAGED 0x1c000 0x25 0x200 0.30 76fbfaa1c4997eccce3ca016c3b1345b<br>.rdata 0x1d000 0x850 0xa00 4.24 be827241a2d9d0267d22b03abba49934<br>.data 0x1e000 0x1b00 0x600 6.42 2680643c152bf562cae4ab5d1ed2070c<br>PAGE 0x20000 0x2cdc 0x2e00 6.28 77c86a2700e18a96dff19a44030f8251<br>INIT 0x23000 0x1b88 0x1c00 5.96 582a97bfcddf0393f14906b46a060d73<br>.rsrc 0x25000 0x400 0x400 3.36 c016236a8742576e883cb4492b908291<br>.reloc 0x26000 0x1b6e 0x1c00 6.47 e5d1a99c34ebc337c45060bd51d8fb38<br><br>( 3 imports ) <br>> ntoskrnl.exe: IoAllocateWorkItem, RtlDeleteElementGenericTableAvl, RtlGetElementGenericTableAvl, FsRtlIsNameInExpression, RtlInsertElementGenericTableAvl, InitSafeBootMode, InterlockedPopEntrySList, InterlockedPushEntrySList, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, SeTokenType, SeCreateClientSecurity, SeImpersonateClientEx, IoVerifyVolume, IoDeviceObjectType, IoBuildSynchronousFsdRequest, IoDeleteDevice, IoDeleteSymbolicLink, IoUnregisterShutdownNotification, MmIsAddressValid, IoFreeMdl, MmUnlockPages, MmProbeAndLockPages, IoAllocateMdl, IoRegisterShutdownNotification, IoCreateSymbolicLink, IoCreateDevice, RtlAppendUnicodeToString, KeDelayExecutionThread, KeQuerySystemTime, strncmp, IoGetCurrentProcess, ExGetPreviousMode, SeReleaseSubjectContext, IoQueueWorkItem, SeCaptureSubjectContext, PsDereferenceImpersonationToken, RtlCopySid, RtlLengthSid, SeQueryInformationToken, PsReferencePrimaryToken, PsReferenceImpersonationToken, PsIsThreadTerminating, IoThreadToProcess, RtlInitializeGenericTableAvl, READ_REGISTER_UCHAR, ProbeForRead, RtlLookupElementGenericTableAvl, ObQueryNameString, CmUnRegisterCallback, MmUserProbeAddress, CmRegisterCallback, ZwEnumerateValueKey, ZwDeleteValueKey, ZwQueryKey, wcsrchr, NtBuildNumber, KeClearEvent, ExInitializePagedLookasideList, ExDeletePagedLookasideList, PsLookupProcessByProcessId, RtlCopyUnicodeString, RtlNumberGenericTableElementsAvl, RtlEnumerateGenericTableAvl, PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetCreateProcessNotifyRoutine, PsRemoveCreateThreadNotifyRoutine, PsRemoveLoadImageNotifyRoutine, IoFreeWorkItem, IofCompleteRequest, IoWMIRegistrationControl, MmGetSystemRoutineAddress, RtlCompareMemory, IoWMIWriteEvent, ZwQueryInformationProcess, KeStackAttachProcess, _wcsicmp, KeUnstackDetachProcess, ZwOpenKey, ZwEnumerateKey, RtlUnicodeStringToInteger, ZwQueryValueKey, ZwCreateKey, RtlIntegerToUnicodeString, ZwSetValueKey, RtlAppendUnicodeStringToString, ZwDeleteKey, DbgBreakPoint, ZwCreateFile, IoGetRelatedDeviceObject, _vsnwprintf, KeQueryInterruptTime, strncpy, RtlInitUnicodeString, RtlCompareUnicodeString, IoFileObjectType, ObReferenceObjectByPointer, _allmul, KeWaitForMultipleObjects, KeSetEvent, ExDeleteResourceLite, ExInitializeResourceLite, memcpy, _except_handler3, ZwOpenProcess, ZwTerminateProcess, PsCreateSystemThread, ObReferenceObjectByHandle, ZwClose, PsTerminateSystemThread, ObfDereferenceObject, KeGetCurrentThread, PsGetCurrentProcessId, PsGetCurrentThreadId, RtlUpcaseUnicodeChar, RtlUpperChar, memset, ExAllocatePoolWithTag, KeInitializeEvent, IoBuildDeviceIoControlRequest, IofCallDriver, KeWaitForSingleObject, SeQueryAuthenticationIdToken, ExFreePoolWithTag<br>> HAL.dll: KfReleaseSpinLock, KeGetCurrentIrql, ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock<br>> FLTMGR.SYS: FltQueryInformationFile, FltGetRoutineAddress, FltIsDirectory, FltGetFileNameInformation, FltParseFileNameInformation, FltAllocateCallbackData, FltPerformSynchronousIo, FltFreeCallbackData, FltReferenceFileNameInformation, FltReleaseFileNameInformation, FltGetStreamHandleContext, FltGetStreamContext, FltEnumerateVolumeInformation, FltRegisterFilter, FltStartFiltering, FltSetCallbackDataDirty, FltGetDestinationFileNameInformation, FltSetStreamHandleContext, FltCancelFileOpen, FltSetStreamContext, FltReleaseContext, FltGetVolumeProperties, FltAllocateContext, FltQueryVolumeInformation, FltGetVolumeName, FltSetInstanceContext, FltSetVolumeContext, FltUnregisterFilter, FltFsControlFile, FltGetVolumeFromFileObject, FltGetVolumeContext, FltGetInstanceContext, FltCreateFile, FltClose, FltFlushBuffers, FltSetInformationFile, FltWriteFile, FltBuildDefaultSecurityDescriptor, FltCreateCommunicationPort, FltFreeSecurityDescriptor, FltObjectReference, FltAllocatePoolAlignedWithTag, FltReadFile, FltFreePoolAlignedWithTag, FltObjectDereference, FltSendMessage, FltCloseClientPort, FltCloseCommunicationPort, FltReleaseResource, FltAcquireResourceShared, FltAcquireResourceExclusive, FltGetFileNameInformationUnsafe<br><br>( 0 exports ) <br>

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.8.29.0 2008.08.29 -

AntiVir 7.8.1.23 2008.08.29 -

Authentium 5.1.0.4 2008.08.30 -

Avast 4.8.1195.0 2008.08.29 -

AVG 8.0.0.161 2008.08.29 -

BitDefender 7.2 2008.08.30 -

CAT-QuickHeal 9.50 2008.08.29 -

ClamAV 0.93.1 2008.08.30 -

DrWeb 4.44.0.09170 2008.08.29 -

eSafe 7.0.17.0 2008.08.28 -

eTrust-Vet 31.6.6057 2008.08.29 -

Ewido 4.0 2008.08.29 -

F-Prot 4.4.4.56 2008.08.29 -

F-Secure 7.60.13501.0 2008.08.30 -

Fortinet 3.14.0.0 2008.08.30 -

GData 19 2008.08.30 -

Ikarus T3.1.1.34.0 2008.08.30 -

K7AntiVirus 7.10.432 2008.08.29 -

Kaspersky 7.0.0.125 2008.08.30 -

McAfee 5373 2008.08.29 -

Microsoft 1.3807 2008.08.25 -

NOD32v2 3401 2008.08.30 -

Norman 5.80.02 2008.08.29 -

Panda 9.0.0.4 2008.08.29 -

PCTools 4.4.2.0 2008.08.29 -

Prevx1 V2 2008.08.30 -

Rising 20.59.51.00 2008.08.30 -

Sophos 4.33.0 2008.08.30 -

Sunbelt 3.1.1592.1 2008.08.29 -

Symantec 10 2008.08.30 -

TheHacker 6.3.0.6.068 2008.08.30 -

TrendMicro 8.700.0.1004 2008.08.29 -

VBA32 3.12.8.4 2008.08.29 -

ViRobot 2008.8.29.1355 2008.08.29 -

VirusBuster 4.5.11.0 2008.08.29 -

Webwasher-Gateway 6.6.2 2008.08.29 -

 

Information additionnelle

File size: 148496 bytes

MD5...: 33e4b5d3d679b0c3d274ee7e4c1c8758

SHA1..: 01d5c22c1858c562ce820d55414e1f9a41cd0c42

SHA256: 1541366c7cb31fd407d746448c488faf1b1d935384de71f61f4748ac27b52419

SHA512: 9dd6adb230ad77283be367f2402d9de6d5dcc9df05989fc1c58c01e45144ee05<br>ed75b51238b828c7a1c35a9f0d3216b3a90ef25184e25ff26f62f2feefd5a9b7

PEiD..: -

TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x33010<br>timedatestamp.....: 0x47ce4e6c (Wed Mar 05 07:40:28 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 8 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1a828 0x1aa00 6.38 dc15908783aff76f03fbd015826c5ce7<br>NONPAGED 0x1c000 0x25 0x200 0.30 76fbfaa1c4997eccce3ca016c3b1345b<br>.rdata 0x1d000 0x850 0xa00 4.24 be827241a2d9d0267d22b03abba49934<br>.data 0x1e000 0x1b00 0x600 6.42 2680643c152bf562cae4ab5d1ed2070c<br>PAGE 0x20000 0x2cdc 0x2e00 6.28 77c86a2700e18a96dff19a44030f8251<br>INIT 0x23000 0x1b88 0x1c00 5.96 582a97bfcddf0393f14906b46a060d73<br>.rsrc 0x25000 0x400 0x400 3.36 c016236a8742576e883cb4492b908291<br>.reloc 0x26000 0x1b6e 0x1c00 6.47 e5d1a99c34ebc337c45060bd51d8fb38<br><br>( 3 imports ) <br>> ntoskrnl.exe: IoAllocateWorkItem, RtlDeleteElementGenericTableAvl, RtlGetElementGenericTableAvl, FsRtlIsNameInExpression, RtlInsertElementGenericTableAvl, InitSafeBootMode, InterlockedPopEntrySList, InterlockedPushEntrySList, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, SeTokenType, SeCreateClientSecurity, SeImpersonateClientEx, IoVerifyVolume, IoDeviceObjectType, IoBuildSynchronousFsdRequest, IoDeleteDevice, IoDeleteSymbolicLink, IoUnregisterShutdownNotification, MmIsAddressValid, IoFreeMdl, MmUnlockPages, MmProbeAndLockPages, IoAllocateMdl, IoRegisterShutdownNotification, IoCreateSymbolicLink, IoCreateDevice, RtlAppendUnicodeToString, KeDelayExecutionThread, KeQuerySystemTime, strncmp, IoGetCurrentProcess, ExGetPreviousMode, SeReleaseSubjectContext, IoQueueWorkItem, SeCaptureSubjectContext, PsDereferenceImpersonationToken, RtlCopySid, RtlLengthSid, SeQueryInformationToken, PsReferencePrimaryToken, PsReferenceImpersonationToken, PsIsThreadTerminating, IoThreadToProcess, RtlInitializeGenericTableAvl, READ_REGISTER_UCHAR, ProbeForRead, RtlLookupElementGenericTableAvl, ObQueryNameString, CmUnRegisterCallback, MmUserProbeAddress, CmRegisterCallback, ZwEnumerateValueKey, ZwDeleteValueKey, ZwQueryKey, wcsrchr, NtBuildNumber, KeClearEvent, ExInitializePagedLookasideList, ExDeletePagedLookasideList, PsLookupProcessByProcessId, RtlCopyUnicodeString, RtlNumberGenericTableElementsAvl, RtlEnumerateGenericTableAvl, PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetCreateProcessNotifyRoutine, PsRemoveCreateThreadNotifyRoutine, PsRemoveLoadImageNotifyRoutine, IoFreeWorkItem, IofCompleteRequest, IoWMIRegistrationControl, MmGetSystemRoutineAddress, RtlCompareMemory, IoWMIWriteEvent, ZwQueryInformationProcess, KeStackAttachProcess, _wcsicmp, KeUnstackDetachProcess, ZwOpenKey, ZwEnumerateKey, RtlUnicodeStringToInteger, ZwQueryValueKey, ZwCreateKey, RtlIntegerToUnicodeString, ZwSetValueKey, RtlAppendUnicodeStringToString, ZwDeleteKey, DbgBreakPoint, ZwCreateFile, IoGetRelatedDeviceObject, _vsnwprintf, KeQueryInterruptTime, strncpy, RtlInitUnicodeString, RtlCompareUnicodeString, IoFileObjectType, ObReferenceObjectByPointer, _allmul, KeWaitForMultipleObjects, KeSetEvent, ExDeleteResourceLite, ExInitializeResourceLite, memcpy, _except_handler3, ZwOpenProcess, ZwTerminateProcess, PsCreateSystemThread, ObReferenceObjectByHandle, ZwClose, PsTerminateSystemThread, ObfDereferenceObject, KeGetCurrentThread, PsGetCurrentProcessId, PsGetCurrentThreadId, RtlUpcaseUnicodeChar, RtlUpperChar, memset, ExAllocatePoolWithTag, KeInitializeEvent, IoBuildDeviceIoControlRequest, IofCallDriver, KeWaitForSingleObject, SeQueryAuthenticationIdToken, ExFreePoolWithTag<br>> HAL.dll: KfReleaseSpinLock, KeGetCurrentIrql, ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock<br>> FLTMGR.SYS: FltQueryInformationFile, FltGetRoutineAddress, FltIsDirectory, FltGetFileNameInformation, FltParseFileNameInformation, FltAllocateCallbackData, FltPerformSynchronousIo, FltFreeCallbackData, FltReferenceFileNameInformation, FltReleaseFileNameInformation, FltGetStreamHandleContext, FltGetStreamContext, FltEnumerateVolumeInformation, FltRegisterFilter, FltStartFiltering, FltSetCallbackDataDirty, FltGetDestinationFileNameInformation, FltSetStreamHandleContext, FltCancelFileOpen, FltSetStreamContext, FltReleaseContext, FltGetVolumeProperties, FltAllocateContext, FltQueryVolumeInformation, FltGetVolumeName, FltSetInstanceContext, FltSetVolumeContext, FltUnregisterFilter, FltFsControlFile, FltGetVolumeFromFileObject, FltGetVolumeContext, FltGetInstanceContext, FltCreateFile, FltClose, FltFlushBuffers, FltSetInformationFile, FltWriteFile, FltBuildDefaultSecurityDescriptor, FltCreateCommunicationPort, FltFreeSecurityDescriptor, FltObjectReference, FltAllocatePoolAlignedWithTag, FltReadFile, FltFreePoolAlignedWithTag, FltObjectDereference, FltSendMessage, FltCloseClientPort, FltCloseCommunicationPort, FltReleaseResource, FltAcquireResourceShared, FltAcquireResourceExclusive, FltGetFileNameInformationUnsafe<br><br>( 0 exports ) <br>

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Re GATTACANNE :P

 

Bien.

 

 

flechedroite.png Rends toi sur ce lien : Secubox.

  • Clique sur parcourir et trouve le fichier suivant :

  • C:\WINDOWS\System32\drivers\utmymtmz.sys

  • Sélectionne le et clique sur Ouvrir
  • En message, poste le lien de ce sujet :
    http://forum.zebulon.fr/index.php?s=&showtopic=150074&view=findpost&p=1275287
  • Puis clique sur Envoyer.

 

Renouvelle l'opération avec les éléments suivants :

  • Fichier à envoyer : C:\system32\drivers\99163015.sys
  • Lien à copier-coller : http://forum.zebulon.fr/index.php?s=&showtopic=150074&view=findpost&p=1275289

Il faudra me rapporter comment cela s'est passé.

 

 

flechedroite.png Télécharge McAfee Consumer Products Removal tool sur ton Bureau.

  • Double-clique sur le fichier MCPR.exe et suis les éventuelles instructions.

  • Si tu obtiens le message CleanUp Successful, redémarre ensuite le PC si cela ne t'est pas demandé et reviens m'indiquer que cela s'est bien passé.

  • Si tu obtiens le message Cleanup Unsuccessful, clique alors sur View Logs
  • Le Bloc-notes s'ouvrira avec un rapport, poste le dans ta prochaine réponse.
  • S'il est trop volumineux, enregistre le sur ton bureau
  • Puis, fais le moi parvenir via cet hébergement : http://dl-b.free.fr/.
  • Pour cela clique sur "Parcourir" et pointe jusqu'à l'emplacement du fichier.
  • Puis clique sur "Envoyer"'. Un lien de téléchargement te sera donné, c'est ce lien qu'il faut me donner.
  • Un lien d'effacement du fichier apparaîtra aussi : conserve le pour effacer le fichier du serveur quand je l'aurais récupéré.

GATTACANNE Member

GATTACANNE

Posté(e)
  • Auteur
Posté(e)

bonjour Gof

je suis allée au lien de secubox mais je n'ai pas pu établir un compte donc pas de réponse je vais retenter...

 

 

Pour ce qui est de la désinstallation de mcaffe j'ai eu le message CleanUp Successful !!

merci beaucoup :P

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir GATTACANNE :P

 

je suis allée au lien de secubox mais je n'ai pas pu établir un compte donc pas de réponse je vais retenter...

Les fichiers sont bien parvenus, je t'en remercie.

 

 

Comment se comporte le PC depuis la désinstallation totale de McAfee ?

 

 

flechedroite.png Télécharge Malwarebytes' Anti-Malware (MBAM)

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

GATTACANNE Member

GATTACANNE

Posté(e)
  • Auteur
Posté(e)

bonjour Gof

 

Mon Pc ne semble pas allé plus vite sans McAfee mais au moins il ne me demande plus de se connecter pour rien à cause de ce logiciel...

 

Voilà le rapport MBAM

Malwarebytes' Anti-Malware 1.25

Version de la base de données: 1102

Windows 5.1.2600 Service Pack 3

 

06:37:58 01/09/2008

mbam-log-09-01-2008 (06-37-58).txt

 

Type de recherche: Examen rapide

Eléments examinés: 46835

Temps écoulé: 10 minute(s), 29 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 15

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 17

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\poof (Rootkit.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\WINDOWS\system32\netrax01 (Trojan.Agent) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\drrhwosb.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\qhysjfqh.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\cqxxgjfr.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\hndnlmmg.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\nwgduvuw.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\rwkegxlm.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\rycntstr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\lppovqds.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\eudbidlp.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\wxsdgahl.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\lvhsrrxn.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\BM6bb9c8ce.xml (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\BM6bb9c8ce.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

 

merci beaucoup du temps que tu prends pour me guider !!!

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir GATTACANNE :P

 

Navré du délai excessif, semaine chargée et peu de disponibilités pour moi. Merci de ta patience.

 

Eh bien, MBAM a bien travaillé. Aucun des fichiers détecté n'était présent dans le rapport Diaghelp, cela signifie que tu étais infecté depuis un petit moment (diaghelp ne liste que les fichiers crées ou modifiés jusqu'à une certaine période).

 

Reposte un nouveau rapport HijackThis, et donne moi des nouvelles du PC. A bientôt.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...