Winsniffer 1.2 = Malware ???

[shockw4ve]

Bonjour a tous !!!

 

je viens vous demander votre aide car depuis 1 semaine l'anti-malware a²free(emsi software) me detecte un malware prénomé :

Winsniffer 1.2. Je ne sais pas ce que c est exactement je vous donne le lien de la description de ce malware.

 

http://www.emsisoft.net/fr/malware/?Trace....er%201.2!A2.

 

le plus gros soucis c'est qu il me laisse plein de clés dans le registre et bien sur chaque fois que je l'élimine ainsi que ses clés crées, au demarrage suivant de windows il est a nouveau present , les clés aussi .

 

Liste dés clés:(rapport a²free)

 

Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCANDIS5 --> Start detected: Trace.Registry.WinSniffer 1.2!A2

1 Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCANDIS5 --> DisplayName detected: Trace.Registry.WinSniffer 1.2!A2

2 Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCANDIS5\Enum --> 0 detected: Trace.Registry.WinSniffer 1.2!A2

3 Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCANDIS5 --> ImagePath detected: Trace.Registry.WinSniffer 1.2!A2

4 Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCANDIS5\Enum --> 0 detected: Trace.Registry.WinSniffer 1.2!A2

5 Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCANDIS5\Security --> Security detected: Trace.Registry.WinSniffer 1.2!A2

6 Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCANDIS5 --> ErrorControl detected: Trace.Registry.WinSniffer 1.2!A2

7 Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCANDIS5 --> Start detected: Trace.Registry.WinSniffer 1.2!A2

8 Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCANDIS5\Enum --> NextInstance detected: Trace.Registry.WinSniffer 1.2!A2

9 Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCANDIS5 --> ErrorControl detected: Trace.Registry.WinSniffer 1.2!A2

10 Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCANDIS5 --> Type detected: Trace.Registry.WinSniffer 1.2!A2

11 Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCANDIS5 --> ImagePath detected: Trace.Registry.WinSniffer 1.2!A2

12 Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCANDIS5 --> Group detected: Trace.Registry.WinSniffer 1.2!A2

13 Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCANDIS5\Enum --> Count detected: Trace.Registry.WinSniffer 1.2!A2

14 Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCANDIS5\Enum --> Count detected: Trace.Registry.WinSniffer 1.2!A2

15 Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCANDIS5 --> DisplayName detected: Trace.Registry.WinSniffer 1.2!A2

16 Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCANDIS5 --> Group detected: Trace.Registry.WinSniffer 1.2!A2

17 Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCANDIS5 --> Type detected: Trace.Registry.WinSniffer 1.2!A2

18 Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCANDIS5\Enum --> NextInstance detected: Trace.Registry.WinSniffer 1.2!A2

19 Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCANDIS5\Security --> Security detected: Trace.Registry.WinSniffer 1.2!A2

 

 

J'ai testé d'autres anti malware malwarebytes , spybot ,threatfire, ad aware, eux ne detectent rien .....idem pour kapersky et norton .

 

Etant neophyte j ai décidé de formater pour etre débarrassé comble du comble le soir meme il est de retour ... je craque !!!

 

je pense réellement que c est une erreur de a²free qui prend un element de windows pour un malware ou une trace..

 

je vous joint mon rapport hijackthis , j espere vous pourrez me venir en aide pour desinfecter tout ca ou me dire de jetter a²free au placard

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 04:11:38, on 15/02/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\ThreatFire\TFService.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\devldr32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\ThreatFire\TFTray.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Steam\Steam.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\OrangeHSS\systray\systrayapp.exe

C:\Program Files\OrangeHSS\Launcher\Launcher.exe

C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe

C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe

C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [ThreatFire] C:\Program Files\ThreatFire\TFTray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [steam] "C:\Program Files\Steam\Steam.exe" -silent

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.mappy.com

O15 - Trusted Zone: http://*.orange.fr

O15 - Trusted Zone: http://rw.search.ke.voila.fr

O15 - Trusted Zone: http://orange.weborama.fr

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD7/JSCDL/jdk...ows-i586-jc.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

O23 - Service: ThreatFire - PC Tools - C:\Program Files\ThreatFire\TFService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 8594 bytes

 

 

merci d avance

[Falkra]

Bonjour,

 

tu peux mettre A-squared au placard, et le désinstaller. Pas tellement pour cette alerte là, mais pour la quantité d'alertes qu'il émet sur des logiciels normaux (comme VNC, classé riskware, et autres absurdités). De même, TeaTimer ne sert pas à grand chose, caril ne surveille que certaines zones (peu) de l'OS, et n'est pas une vraie protection temps réel, comme on le croit trop souvent.

Par ailleurs spybot lui-même, de conception obsolète, trouve souvent les malwares, mais n'arrive pas à tout retirer, ce qui rend son utilité concrète souvent insuffisante.

 

Le fameux PCANDIS5 c'est plutôt un driver wifi, a priori.

 

J'ai besoin d'un rapport à jour de MBAM, télécharge Malwarebytes' Anti-Malware (MBAM)

(sauf s'il est déjà installé, mets-le juste à jour)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

[shockw4ve]

Je te remercie pour ta reponse !!!

 

j ai suivi tes instructions je te link le rapport de MBAM, par contre etant connécté en ethernet peut il prendre ce driver wifi pour un malware (le fameux PCANDIS5).est- ce sans risque ? et que ca n ouvre pas une passerelle pour un trojan ou autre?

 

en tous cas voila le resultat de MBAM:

 

Malwarebytes' Anti-Malware 1.34

Version de la base de données: 1764

Windows 5.1.2600 Service Pack 3

 

15/02/2009 21:50:13

mbam-log-2009-02-15 (21-50-13).txt

 

Type de recherche: Examen rapide

Eléments examinés: 55587

Temps écoulé: 3 minute(s), 24 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Qu en pensez vous ?? il ne detecte rien!! et ce que je peux continuer a me servir de mon pc normalement ? depuis 1 semaine j hesite a rentrer des password peur de me les faire voler... parano quand tu nous tiens ....

[Falkra]

Les PCANDIS5, il y en a plusieurs, des bons et des pas bons.

Le problème avec A-squared, c'est qu'il voit toujorus du pas bon, un peu partout, même là où il ne faut pas.

 

On va regarder à la main.

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\windows\system32\PCANDIS5.sys (tu devrais en avoir un).
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

[shockw4ve]

Merci encore de prendre du temps pour m'aider !!

Voila c est fait je te joint le rapport , par contre je n ai pas eu a afficher les dossiers cachés du moins on ne m a rien demandé ^^

 

Voila le rapport :

 

Fichier pcandis5.sys reçu le 2009.02.15 22:09:13 (CET)Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.93 2009.02.15 -

AhnLab-V3 5.0.0.2 2009.02.15 -

AntiVir 7.9.0.79 2009.02.15 -

Authentium 5.1.0.4 2009.02.15 -

Avast 4.8.1335.0 2009.02.15 -

AVG 8.0.0.237 2009.02.15 -

BitDefender 7.2 2009.02.15 -

CAT-QuickHeal 10.00 2009.02.13 -

ClamAV 0.94.1 2009.02.15 -

Comodo 978 2009.02.15 -

DrWeb 4.44.0.09170 2009.02.15 -

eSafe 7.0.17.0 2009.02.15 -

eTrust-Vet 31.6.6358 2009.02.14 -

F-Prot 4.4.4.56 2009.02.15 -

F-Secure 8.0.14470.0 2009.02.15 -

Fortinet 3.117.0.0 2009.02.15 -

GData 19 2009.02.15 -

Ikarus T3.1.1.45.0 2009.02.15 -

K7AntiVirus 7.10.630 2009.02.14 -

Kaspersky 7.0.0.125 2009.02.15 -

McAfee 5527 2009.02.15 -

McAfee+Artemis 5527 2009.02.15 -

Microsoft 1.4306 2009.02.15 -

NOD32 3853 2009.02.14 -

Norman 6.00.02 2009.02.13 -

nProtect 2009.1.8.0 2009.02.15 -

Panda 10.0.0.10 2009.02.15 -

PCTools 4.4.2.0 2009.02.15 -

Prevx1 V2 2009.02.15 -

Rising 21.16.62.00 2009.02.15 -

SecureWeb-Gateway 6.7.6 2009.02.15 -

Sophos 4.38.0 2009.02.15 -

Sunbelt 3.2.1851.2 2009.02.12 -

Symantec 10 2009.02.15 -

TheHacker 6.3.2.1.257 2009.02.15 -

TrendMicro 8.700.0.1004 2009.02.15 -

VBA32 3.12.8.12 2009.02.15 -

ViRobot 2009.2.14.1607 2009.02.15 -

VirusBuster 4.5.11.0 2009.02.15 -

 

Information additionnelle

File size: 32128 bytes

MD5...: ecd2f9d67b06606064daf6961a6d5efe

SHA1..: 5b05eb046f92ea9b0e983d1d058e0ffd3832b61e

SHA256: e8b98af7d0731fd1e30c7016492fd078cca7649873f291c1733cd6ebd319506b

SHA512: 278747dc814dc7a983d36b6939e142dd03410c9e13ef159131a690e7d90d3fec<BR>9ccae02ef4733ebb2ba58004cfd6dc86836997fb1cb4a2d397be4a551259a74b<BR>

ssdeep: 768:3wHW4QuVSx5gYw0l0rm7pw2V0/N1ggLfgF8IUdi:A24VS/KrG0VBoiI<BR>

PEiD..: -

TrID..: File type identification<BR>Generic Win/DOS Executable (49.9%)<BR>DOS Executable Generic (49.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x55b<BR>timedatestamp.....: 0x3f706779 (Tue Sep 23 15:32:09 2003)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 6 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x300 0x6608 0x6680 6.22 b8ff0bc559b14ac8ba54016ef4c215e6<BR>.rdata 0x6980 0x1b6 0x200 4.15 b5c12f07d15078eb14a8be685e4e38e8<BR>.data 0x6b80 0x70 0x80 2.28 7f8eb0c2adfaf2fa92cc7c26f64d1cb1<BR>INIT 0x6c00 0x718 0x780 4.93 b2cdf81754bc1f06eb1953c76bdfc036<BR>.rsrc 0x7380 0x418 0x480 3.20 b52a3974ea4b4997f69c803fbd32a564<BR>.reloc 0x7800 0x514 0x580 5.92 e55842ac8d990654d7f2d338145c7ec7<BR><BR>( 3 imports ) <BR>> ntoskrnl.exe: RtlAnsiStringToUnicodeString, RtlFreeUnicodeString, KeInitializeEvent, KeWaitForSingleObject, KeResetEvent, RtlEqualUnicodeString, KeSetEvent, MmUnlockPages, IoAllocateMdl, MmProbeAndLockPages, IoFreeMdl, _except_handler3, IoReleaseCancelSpinLock, ExInterlockedAddLargeStatistic, InterlockedExchange, MmMapLockedPagesSpecifyCache, IofCompleteRequest, IoDeleteDevice, IoIsWdmVersionAvailable, IoCreateDevice, ExAllocatePoolWithTag, RtlAppendUnicodeToString, DbgPrint, IoCreateSymbolicLink, IoDeleteSymbolicLink, ExFreePool<BR>> HAL.dll: KeQueryPerformanceCounter<BR>> NDIS.SYS: NdisCloseAdapter, NdisResetEvent, NdisOpenAdapter, NdisWaitEvent, NdisCompleteBindAdapter, NdisSetEvent, NdisFreeSpinLock, NdisFreeBufferPool, NdisAllocatePacketPool, NdisAllocateBufferPool, NdisFreePacketPool, NdisAllocateSpinLock, NdisInitAnsiString, NdisAllocateMemoryWithTag, NdisFreeMemory, NdisRequest, NdisUnicodeStringToAnsiString, NdisSend, NdisAcquireSpinLock, NdisReleaseSpinLock, NdisDprAcquireSpinLock, NdisInterlockedRemoveHeadList, NdisDprReleaseSpinLock, NdisInterlockedInsertTailList, NdisGetCurrentSystemTime, NdisInitializeEvent, NdisFreeBuffer, NdisInitUnicodeString, NdisRegisterProtocol, NdisDeregisterProtocol, NdisFreePacket, NdisUnchainBufferAtFront, NDIS_BUFFER_TO_SPAN_PAGES, NdisQueryBufferOffset, NdisTransferData, NdisAllocateBuffer, NdisAllocatePacket<BR><BR>( 0 exports ) <BR>

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ecd2f9d67b06606064daf6961a6d5efe''>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ecd2f9d67b06606064daf6961a6d5efe' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ecd2f9d67b06606064daf6961a6d5efe</a>'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ecd2f9d67b06606064daf6961a6d5efe</a>

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.93 2009.02.15 -

AhnLab-V3 5.0.0.2 2009.02.15 -

AntiVir 7.9.0.79 2009.02.15 -

Authentium 5.1.0.4 2009.02.15 -

Avast 4.8.1335.0 2009.02.15 -

AVG 8.0.0.237 2009.02.15 -

BitDefender 7.2 2009.02.15 -

CAT-QuickHeal 10.00 2009.02.13 -

ClamAV 0.94.1 2009.02.15 -

Comodo 978 2009.02.15 -

DrWeb 4.44.0.09170 2009.02.15 -

eSafe 7.0.17.0 2009.02.15 -

eTrust-Vet 31.6.6358 2009.02.14 -

F-Prot 4.4.4.56 2009.02.15 -

F-Secure 8.0.14470.0 2009.02.15 -

Fortinet 3.117.0.0 2009.02.15 -

GData 19 2009.02.15 -

Ikarus T3.1.1.45.0 2009.02.15 -

K7AntiVirus 7.10.630 2009.02.14 -

Kaspersky 7.0.0.125 2009.02.15 -

McAfee 5527 2009.02.15 -

McAfee+Artemis 5527 2009.02.15 -

Microsoft 1.4306 2009.02.15 -

NOD32 3853 2009.02.14 -

Norman 6.00.02 2009.02.13 -

nProtect 2009.1.8.0 2009.02.15 -

Panda 10.0.0.10 2009.02.15 -

PCTools 4.4.2.0 2009.02.15 -

Prevx1 V2 2009.02.15 -

Rising 21.16.62.00 2009.02.15 -

SecureWeb-Gateway 6.7.6 2009.02.15 -

Sophos 4.38.0 2009.02.15 -

Sunbelt 3.2.1851.2 2009.02.12 -

Symantec 10 2009.02.15 -

TheHacker 6.3.2.1.257 2009.02.15 -

TrendMicro 8.700.0.1004 2009.02.15 -

VBA32 3.12.8.12 2009.02.15 -

ViRobot 2009.2.14.1607 2009.02.15 -

VirusBuster 4.5.11.0 2009.02.15 -

 

Information additionnelle

File size: 32128 bytes

MD5...: ecd2f9d67b06606064daf6961a6d5efe

SHA1..: 5b05eb046f92ea9b0e983d1d058e0ffd3832b61e

SHA256: e8b98af7d0731fd1e30c7016492fd078cca7649873f291c1733cd6ebd319506b

SHA512: 278747dc814dc7a983d36b6939e142dd03410c9e13ef159131a690e7d90d3fec<BR>9ccae02ef4733ebb2ba58004cfd6dc86836997fb1cb4a2d397be4a551259a74b<BR>

ssdeep: 768:3wHW4QuVSx5gYw0l0rm7pw2V0/N1ggLfgF8IUdi:A24VS/KrG0VBoiI<BR>

PEiD..: -

TrID..: File type identification<BR>Generic Win/DOS Executable (49.9%)<BR>DOS Executable Generic (49.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x55b<BR>timedatestamp.....: 0x3f706779 (Tue Sep 23 15:32:09 2003)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 6 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x300 0x6608 0x6680 6.22 b8ff0bc559b14ac8ba54016ef4c215e6<BR>.rdata 0x6980 0x1b6 0x200 4.15 b5c12f07d15078eb14a8be685e4e38e8<BR>.data 0x6b80 0x70 0x80 2.28 7f8eb0c2adfaf2fa92cc7c26f64d1cb1<BR>INIT 0x6c00 0x718 0x780 4.93 b2cdf81754bc1f06eb1953c76bdfc036<BR>.rsrc 0x7380 0x418 0x480 3.20 b52a3974ea4b4997f69c803fbd32a564<BR>.reloc 0x7800 0x514 0x580 5.92 e55842ac8d990654d7f2d338145c7ec7<BR><BR>( 3 imports ) <BR>> ntoskrnl.exe: RtlAnsiStringToUnicodeString, RtlFreeUnicodeString, KeInitializeEvent, KeWaitForSingleObject, KeResetEvent, RtlEqualUnicodeString, KeSetEvent, MmUnlockPages, IoAllocateMdl, MmProbeAndLockPages, IoFreeMdl, _except_handler3, IoReleaseCancelSpinLock, ExInterlockedAddLargeStatistic, InterlockedExchange, MmMapLockedPagesSpecifyCache, IofCompleteRequest, IoDeleteDevice, IoIsWdmVersionAvailable, IoCreateDevice, ExAllocatePoolWithTag, RtlAppendUnicodeToString, DbgPrint, IoCreateSymbolicLink, IoDeleteSymbolicLink, ExFreePool<BR>> HAL.dll: KeQueryPerformanceCounter<BR>> NDIS.SYS: NdisCloseAdapter, NdisResetEvent, NdisOpenAdapter, NdisWaitEvent, NdisCompleteBindAdapter, NdisSetEvent, NdisFreeSpinLock, NdisFreeBufferPool, NdisAllocatePacketPool, NdisAllocateBufferPool, NdisFreePacketPool, NdisAllocateSpinLock, NdisInitAnsiString, NdisAllocateMemoryWithTag, NdisFreeMemory, NdisRequest, NdisUnicodeStringToAnsiString, NdisSend, NdisAcquireSpinLock, NdisReleaseSpinLock, NdisDprAcquireSpinLock, NdisInterlockedRemoveHeadList, NdisDprReleaseSpinLock, NdisInterlockedInsertTailList, NdisGetCurrentSystemTime, NdisInitializeEvent, NdisFreeBuffer, NdisInitUnicodeString, NdisRegisterProtocol, NdisDeregisterProtocol, NdisFreePacket, NdisUnchainBufferAtFront, NDIS_BUFFER_TO_SPAN_PAGES, NdisQueryBufferOffset, NdisTransferData, NdisAllocateBuffer, NdisAllocatePacket<BR><BR>( 0 exports ) <BR>

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ecd2f9d67b06606064daf6961a6d5efe' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ecd2f9d67b06606064daf6961a6d5efe</a>

 

Qu en penses tu? pour moi c est du chinois !!

[Falkra]

Ca me parle : ton fichier est sain.

Ignore les alertes d'a-squared (éventuellement, désinstalle-le).

[shockw4ve]

C'est fait depuis Hier , alors en faite les clés cités plus en haut sont crées par ce fichier et sont tout a fait valides si je comprends bien, et je ne dois pas les enlever? a²free délire

 

 

En tous cas je te remercie pour ton aide !! Au plaisir

[Falkra]

Là il se plante de cible, c'est le service windows associé au fichier sain.

 

On va pousser le test, pour creuser un peu.

 

Télécharge Gmer.

Dézippe le dans un dossier ou sur ton bureau.

 

Double-clique sur Gmer.exe.

 

NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter.

 

Clique sur l'onglet rootkit/malware (déjà actif).

A droite, coche Files , Registry et Services uniquement.

Clique maintenant sur Scan.

 

Lorsque le scan est terminé, clique sur Copy.

 

Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.

Le rapport doit alors apparaître.

Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

[shockw4ve]

Le voici ca a l'air propre ^^.

 

nProtect 2009.1.8.0 2009.02.15 -

Panda 10.0.0.10 2009.02.15 -

PCTools 4.4.2.0 2009.02.15 -

Prevx1 V2 2009.02.15 -

Rising 21.16.62.00 2009.02.15 -

SecureWeb-Gateway 6.7.6 2009.02.15 -

Sophos 4.38.0 2009.02.15 -

Sunbelt 3.2.1851.2 2009.02.12 -

Symantec 10 2009.02.15 -

TheHacker 6.3.2.1.257 2009.02.15 -

TrendMicro 8.700.0.1004 2009.02.15 -

VBA32 3.12.8.12 2009.02.15 -

ViRobot 2009.2.14.1607 2009.02.15 -

VirusBuster 4.5.11.0 2009.02.15 -

 

Information additionnelle

File size: 32128 bytes

MD5...: ecd2f9d67b06606064daf6961a6d5efe

SHA1..: 5b05eb046f92ea9b0e983d1d058e0ffd3832b61e

SHA256: e8b98af7d0731fd1e30c7016492fd078cca7649873f291c1733cd6ebd319506b

SHA512: 278747dc814dc7a983d36b6939e142dd03410c9e13ef159131a690e7d90d3fec<BR>9ccae02ef4733ebb2ba58004cfd6dc86836997fb1cb4a2d397be4a551259a74b<BR>

ssdeep: 768:3wHW4QuVSx5gYw0l0rm7pw2V0/N1ggLfgF8IUdi:A24VS/KrG0VBoiI<BR>

PEiD..: -

TrID..: File type identification<BR>Generic Win/DOS Executable (49.9%)<BR>DOS Executable Generic (49.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x55b<BR>timedatestamp.....: 0x3f706779 (Tue Sep 23 15:32:09 2003)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 6 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x300 0x6608 0x6680 6.22 b8ff0bc559b14ac8ba54016ef4c215e6<BR>.rdata 0x6980 0x1b6 0x200 4.15 b5c12f07d15078eb14a8be685e4e38e8<BR>.data 0x6b80 0x70 0x80 2.28 7f8eb0c2adfaf2fa92cc7c26f64d1cb1<BR>INIT 0x6c00 0x718 0x780 4.93 b2cdf81754bc1f06eb1953c76bdfc036<BR>.rsrc 0x7380 0x418 0x480 3.20 b52a3974ea4b4997f69c803fbd32a564<BR>.reloc 0x7800 0x514 0x580 5.92 e55842ac8d990654d7f2d338145c7ec7<BR><BR>( 3 imports ) <BR>> ntoskrnl.exe: RtlAnsiStringToUnicodeString, RtlFreeUnicodeString, KeInitializeEvent, KeWaitForSingleObject, KeResetEvent, RtlEqualUnicodeString, KeSetEvent, MmUnlockPages, IoAllocateMdl, MmProbeAndLockPages, IoFreeMdl, _except_handler3, IoReleaseCancelSpinLock, ExInterlockedAddLargeStatistic, InterlockedExchange, MmMapLockedPagesSpecifyCache, IofCompleteRequest, IoDeleteDevice, IoIsWdmVersionAvailable, IoCreateDevice, ExAllocatePoolWithTag, RtlAppendUnicodeToString, DbgPrint, IoCreateSymbolicLink, IoDeleteSymbolicLink, ExFreePool<BR>> HAL.dll: KeQueryPerformanceCounter<BR>> NDIS.SYS: NdisCloseAdapter, NdisResetEvent, NdisOpenAdapter, NdisWaitEvent, NdisCompleteBindAdapter, NdisSetEvent, NdisFreeSpinLock, NdisFreeBufferPool, NdisAllocatePacketPool, NdisAllocateBufferPool, NdisFreePacketPool, NdisAllocateSpinLock, NdisInitAnsiString, NdisAllocateMemoryWithTag, NdisFreeMemory, NdisRequest, NdisUnicodeStringToAnsiString, NdisSend, NdisAcquireSpinLock, NdisReleaseSpinLock, NdisDprAcquireSpinLock, NdisInterlockedRemoveHeadList, NdisDprReleaseSpinLock, NdisInterlockedInsertTailList, NdisGetCurrentSystemTime, NdisInitializeEvent, NdisFreeBuffer, NdisInitUnicodeString, NdisRegisterProtocol, NdisDeregisterProtocol, NdisFreePacket, NdisUnchainBufferAtFront, NDIS_BUFFER_TO_SPAN_PAGES, NdisQueryBufferOffset, NdisTransferData, NdisAllocateBuffer, NdisAllocatePacket<BR><BR>( 0 exports ) <BR>

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ecd2f9d67b06606064daf6961a6d5efe' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ecd2f9d67b06606064daf6961a6d5efe</a>

 

ca te parle? de nature curieuse je ne connaissais pas du tout ce logiciel ? son interface est tres rudimentaire , est il performant , me conseilles tu de le garder?

[Falkra]

VirusTotal est un analyseur de fichier (un par un), pour déceler des faux psoitifs et vérifier des détections, à utiliser au coup par coup.

 

Gmer par contre, pas garder après utilisation, si on interprete mal les résultats, on peut gentiment flinguer windows (il liste aussi des trucs gentils et indispensables de windows, qu'il ne faut pas partir shooter après coup, héhéhé).

 

Poste le rapport Gmer quand il sera prêt.