Virus trouvé par kaspersky online

[nebuleux]

Bonjour,

 

J’ai antivir sur mon pc depuis plusieurs annéees et j’en suis très content, il me détecte la moindre chose et je passe un scan minimum une fois par semaine.

 

Cependant une chose m’inquiète, hier, après avoir passer un scan d’antivir qui n’avait rien trouvé, il me passe une idée et je lance un scan de « Kaspersky online » et à ma grande surprise, lui me découvre un virus que voici : C/ancien hddwindows/SYSTEM3... Infected Backdoor.Win32.VB.fnl

 

Qu’en pensez vous ?

 

Bien à vous,

Nébuleux

[Falkra]

Bonjour, peux-tu poster le chemin complet du fichier (avec le nom du fichier aussi) stp ?

[nebuleux]

Oups...Falkra, je ne comprends pas ce que tu me demandes, où est ce que je vais trouver ce fichier et le chemin stp ?

[Chrisredfield32]

Oups...Falkra, je ne comprends pas ce que tu me demandes, où est ce que je vais trouver ce fichier et le chemin stp ?

 

C'est sa " C/ancien hddwindows/SYSTEM3... Infected Backdoor.Win32.VB.fnl"

Mais le lien complete a la moindre détails

[Falkra]

Tu as posté une forme abrégée du chemin d'accès au fichier :

C/ancien hddwindows/SYSTEM3...

Il faudrait que tu puisse le trouver, pour le faire analyser sur virustotal.

[nebuleux]

Ok les amis, ceci que j'ai trouvé sur le rapport sans doute :

 

C:\ANCIEN HDD\WINDOWS\system32\mswinsck.ocx Infected: Backdoor.Win32.VB.fnl

 

c'est ça ?

[Falkra]

C'est ça. Vérifions que Kaspesky ne soit pas dans l'erreur.

 

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\ANCIEN HDD\WINDOWS\system32\mswinsck.ocx
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

[nebuleux]

Voilà falkra, j'espère que c'est ça !

 

 

Fichier mswinsck.ocx reçu le 2008.10.28 15:26:15 (CET)Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.10.28.3 2008.10.28 -

AntiVir 7.9.0.9 2008.10.28 -

Authentium 5.1.0.4 2008.10.27 -

Avast 4.8.1248.0 2008.10.28 -

AVG 8.0.0.161 2008.10.28 -

BitDefender 7.2 2008.10.28 -

CAT-QuickHeal 9.50 2008.10.28 -

ClamAV 0.93.1 2008.10.28 -

DrWeb 4.44.0.09170 2008.10.28 -

eSafe 7.0.17.0 2008.10.27 -

eTrust-Vet 31.6.6177 2008.10.28 -

Ewido 4.0 2008.10.28 -

F-Prot 4.4.4.56 2008.10.28 -

F-Secure 8.0.14332.0 2008.10.28 Backdoor.Win32.VB.fnl

Fortinet 3.117.0.0 2008.10.28 -

GData 19 2008.10.28 -

Ikarus T3.1.1.44.0 2008.10.28 Backdoor.Win32.VB

K7AntiVirus 7.10.510 2008.10.28 -

Kaspersky 7.0.0.125 2008.10.28 Backdoor.Win32.VB.fnl

McAfee 5416 2008.10.28 Generic BackDoor

Microsoft 1.4005 2008.10.28 -

NOD32 3562 2008.10.28 probably a variant of Win32/VB

Norman 5.80.02 2008.10.27 -

Panda 9.0.0.4 2008.10.28 -

PCTools 4.4.2.0 2008.10.28 -

Prevx1 V2 2008.10.28 System Back Door

Rising 21.01.12.00 2008.10.28 -

SecureWeb-Gateway 6.7.6 2008.10.28 -

Sophos 4.35.0 2008.10.28 -

Sunbelt 3.1.1760.1 2008.10.27 Backdoor.Win32.VB.fnl

Symantec 10 2008.10.28 -

TheHacker 6.3.1.1.132 2008.10.28 -

TrendMicro 8.700.0.1004 2008.10.28 -

VBA32 3.12.8.8 2008.10.27 Backdoor.Win32.VB.fnl

ViRobot 2008.10.28.1441 2008.10.28 -

VirusBuster 4.5.11.0 2008.10.27 -

 

Information additionnelle

File size: 124690 bytes

MD5...: 12ebf33468b745a315b28023bfc4b31d

SHA1..: bfaf1fa99fa4c05e0583d3ec888f65b669a95625

SHA256: f9bc95647a04845e53adf776544ea4b906ca9a7eb6cd15381ad60823092cbe54

SHA512: 011ffa8e9f629405a7d164a4e56bcec2d963db59c28f0cda3ddae543d16f5eb5<BR>9e7861888339f75895b6a2af6bfd6143be9ed6a0bda853829832895ec2737661

PEiD..: -

TrID..: File type identification<BR>Windows OCX File (84.7%)<BR>Win32 Executable Generic (5.8%)<BR>Win32 Dynamic Link Library (generic) (5.2%)<BR>Win16/32 Executable Delphi generic (1.4%)<BR>Generic Win/DOS Executable (1.3%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x22171308<BR>timedatestamp.....: 0x403ad15d (Tue Feb 24 04:21:49 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x10aee 0x11000 6.52 6e3005cab8d33795ef294794842ca8d7<BR>.data 0x12000 0x750 0x1000 2.22 d1dde3a0c25726b20a2a88413af3bf9c<BR>.rsrc 0x13000 0x671c 0x7000 4.16 ca2c168d9f993f0e3cdb5e424df07f64<BR>.reloc 0x1a000 0x1384 0x2000 4.93 6400b9db7626b7bdde79f6280cdb795f<BR><BR>( 7 imports ) <BR>> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR>> KERNEL32.dll: WideCharToMultiByte, GetVersion, GetProcAddress, GetModuleFileNameA, InitializeCriticalSection, HeapFree, HeapAlloc, GetProcessHeap, lstrcpynA, lstrcpyA, lstrlenA, lstrcatA, IsBadWritePtr, DisableThreadLibraryCalls, lstrlenW, LeaveCriticalSection, GetCurrentThreadId, EnterCriticalSection, LocalFree, FormatMessageA, GetTickCount, MultiByteToWideChar, SetLastError, GetLocaleInfoA, DeleteCriticalSection, FreeLibrary, lstrcmpA, InterlockedDecrement, GetFileAttributesA, GetWindowsDirectoryA, LoadLibraryA, GetLastError, InterlockedIncrement, lstrcmpiA, FindResourceA, LockResource, LoadResource, HeapReAlloc<BR>> USER32.dll: EndDialog, DrawEdge, DialogBoxParamA, LoadCursorA, MessageBoxA, GetActiveWindow, GetDC, CharNextA, ReleaseDC, SetParent, GetWindowRect, ShowWindow, WinHelpA, IsDialogMessageA, GetWindow, GetNextDlgTabItem, IsWindowEnabled, GetDlgItem, IsChild, GetKeyState, SetWindowPos, LoadBitmapA, IsWindowVisible, EndPaint, GetClientRect, BeginPaint, GetSystemMetrics, GetDlgItemTextA, ClientToScreen, OffsetRect, EqualRect, IntersectRect, SetWindowRgn, PtInRect, MessageBeep, LoadStringA, IsWindow, CreateDialogIndirectParamA, GetParent, SetDlgItemTextA, SendMessageA, DefWindowProcA, GetWindowLongA, DestroyWindow, SetWindowLongA, KillTimer, SetTimer, UnregisterClassA, RegisterClassA, PeekMessageA, PostMessageA, SendDlgItemMessageA, GetDlgItemInt, SetDlgItemInt, SetFocus, MoveWindow, CreateWindowExA, wsprintfA<BR>> ole32.dll: CoTaskMemAlloc, CoTaskMemFree, CoCreateInstance, CreateOleAdviseHolder<BR>> ADVAPI32.dll: RegDeleteValueA, RegQueryValueA, RegOpenKeyA, RegQueryValueExA, RegEnumKeyExA, RegDeleteKeyA, RegOpenKeyExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey<BR>> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR>> GDI32.dll: GetDeviceCaps, CreateCompatibleDC, CreateRectRgnIndirect, GetWindowExtEx, GetViewportExtEx, DeleteDC, DeleteObject, GetObjectA, LPtoDP, SetMapMode, SetViewportExtEx, SetWindowExtEx, SetViewportOrgEx, SetWindowOrgEx, CreateDCA, BitBlt, SelectObject<BR><BR>( 5 exports ) <BR>DLLGetDocumentation, DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<BR>

Prevx info: http://info.prevx.com/aboutprogramtext.asp...A633C0058E40EF9

[Falkra]

Ca sent le faux positif, mais pas clairement. C'est un fichier vital de windows, connu de tous. Je vois mal le truc laissé longtemps en mode faux positif.

 

Le mien, sur ma machine, numéroté 6.1.97.82 (sous XP SP3, clic droit propriétés, version), fait réagir quelques antivirus, pourtant il est sain. Par contre, moins que là.

 

On dirait que tu as récupéré un windows sur un disque mis en esclave (au lieu de booter dessus). Est-ce que le système qui s'y trouve t'est nécessaire ?

Celui de ton OS actuel ne fait pas ça ? Est-ce que c'est le même OS, même service pack sur ton disque actif et le vieux ?

[nebuleux]

Bigre///Falkra, que me demandes tu là, je n'y connais rien en informatique, alors comme je voulais avoir un disque plus gros car le mien ne faisait que 40 GB, je l'ai porté chez un technicien qui m'a installé dessus un 240 GB et 2gb de Ram, mais je n'en sais pas plus.

 

Peut-être devrais-je lui poser des questions ?

 

 

Tu me demandes :

 

Est-ce que le système qui s'y trouve t'est nécessaire ?

Celui de ton OS actuel ne fait pas ça ? Est-ce que c'est le même OS, même service pack sur ton disque actif et le vieux ?

 

De quel systeme me parles tu ?

 

Et celui de mon OS, c'est quoi ?

 

Le service pack et l'OS sont les mêmes que sur mon vieux.

 

Que faire ?

 

Merci d'avance,

Nébuleux

Modifié le 28 octobre 2008 par nebuleux