Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[RESOLU] Infection - Hijackthis impossible

Jagaumo

Par Jagaumo
dans Analyses et éradication malwares

 Partager

Messages recommandés

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Il reste des saletés, mais on a bien avancé.

 

Rends toi sur ce lien : Virus Total

  • Clique sur le bouton Parcourir...
  • Parcours tes dossiers jusque à ce fichier, si tu le trouves :

  • C:\windows\system32\securenet.dll

  • Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  • Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : txtvt.jpg
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

Jagaumo Power Member

Jagaumo

Posté(e)
  • Auteur
Posté(e)

Waouh ! J'savais même pas que ça existait des trucs pareils !!! :P

Voilà :

 

 

Fichier securenet.dll reçu le 2009.02.17 17:14:21 (CET)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.93 2009.02.17 -

AhnLab-V3 5.0.0.2 2009.02.17 -

AntiVir 7.9.0.79 2009.02.17 -

Authentium 5.1.0.4 2009.02.17 -

Avast 4.8.1335.0 2009.02.16 -

AVG 8.0.0.237 2009.02.17 -

BitDefender 7.2 2009.02.17 -

CAT-QuickHeal 10.00 2009.02.17 -

ClamAV 0.94.1 2009.02.17 -

Comodo 982 2009.02.17 -

DrWeb 4.44.0.09170 2009.02.17 -

eSafe 7.0.17.0 2009.02.17 -

eTrust-Vet 31.6.6361 2009.02.17 -

F-Prot 4.4.4.56 2009.02.17 -

Fortinet 3.117.0.0 2009.02.17 -

GData 19 2009.02.17 -

Ikarus T3.1.1.45.0 2009.02.17 -

K7AntiVirus 7.10.630 2009.02.14 -

Kaspersky 7.0.0.125 2009.02.17 -

McAfee 5528 2009.02.16 -

McAfee+Artemis 5528 2009.02.16 -

Microsoft 1.4306 2009.02.17 -

NOD32 3862 2009.02.17 -

Norman 6.00.06 2009.02.17 -

nProtect 2009.1.8.0 2009.02.17 -

Panda 10.0.0.10 2009.02.17 -

Prevx1 V2 2009.02.17 -

Rising 21.17.12.00 2009.02.17 -

SecureWeb-Gateway 6.7.6 2009.02.17 -

Sophos 4.38.0 2009.02.17 -

Sunbelt 3.2.1855.2 2009.02.17 -

Symantec 10 2009.02.17 -

TheHacker 6.3.2.2.259 2009.02.17 -

TrendMicro 8.700.0.1004 2009.02.17 -

VBA32 3.12.8.13 2009.02.17 -

ViRobot 2009.2.17.1611 2009.02.17 -

VirusBuster 4.5.11.0 2009.02.17 -

Information additionnelle

File size: 151552 bytes

MD5...: 5370a9b038e70be7ed1d1ec464ebf0b3

SHA1..: 67887ed78519bedd6124ea3e4e1cfdc372f84bdc

SHA256: b138cd87ebac9416db4ac4cf148b17f063d70a03b8357b6e7d726c8107682c31

SHA512: 84b376cba3a429da38ea5f59975cea2376bfc4a5087120b5c39a2f3aeab0664d<br>665eca14bc7c055732f1035e59e38157141f15e05811ca09ec3316eeb93ef484<br>

ssdeep: 3072:CUyDl6yVnvkKslUKcf+omr+tANYPpts5zQL:C5VnvkKs1c2omr+tANcQ<br>

PEiD..: -

TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0xb983<br>timedatestamp.....: 0x48b86fc9 (Fri Aug 29 21:53:13 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x18c5c 0x19000 6.67 623878ebc47a8eb18e2d760b559df171<br>.rdata 0x1a000 0x44ed 0x5000 4.99 d399dd0b46bdf3ccd059de46ce58230f<br>.data 0x1f000 0x3584 0x2000 2.53 dea5cb944d23f0a7445a2f98454bd6de<br>.rsrc 0x23000 0xb0 0x1000 3.06 4f4d7db31b9b69e983fca65fca104cca<br>.reloc 0x24000 0x231e 0x3000 3.53 df0e3680f1750a46dd7be15e027343c3<br><br>( 6 imports ) <br>> WS2_32.dll: -, WSCGetProviderPath, -, -, -, -, -, WSACreateEvent, -, WSAWaitForMultipleEvents, WSAEnumNetworkEvents, WSCEnumProtocols, -, -, -, -, WSAEventSelect, WSASetEvent, WSACloseEvent, -<br>> KERNEL32.dll: FreeEnvironmentStringsW, SetEndOfFile, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, CreateFileA, FlushFileBuffers, SetStdHandle, InterlockedExchange, MultiByteToWideChar, WideCharToMultiByte, GetLastError, HeapAlloc, GetProcessHeap, HeapReAlloc, GetTickCount, GetEnvironmentStringsW, CloseHandle, WaitForSingleObject, ReleaseMutex, LeaveCriticalSection, EnterCriticalSection, GetCurrentProcessId, HeapFree, HeapCreate, HeapDestroy, GetProcAddress, LoadLibraryA, ExpandEnvironmentStringsA, LoadLibraryW, ExpandEnvironmentStringsW, InitializeCriticalSection, WriteFile, ReadFile, InterlockedDecrement, DeleteCriticalSection, LocalFree, LocalAlloc, FreeLibrary, GetCurrentThreadId, GetTimeFormatA, GetDateFormatA, GetLocalTime, GetOEMCP, GetModuleFileNameA, GetExitCodeThread, CreateThread, GetEnvironmentStrings, FreeEnvironmentStringsA, Sleep, SetFilePointer, GetConsoleMode, GetConsoleCP, GetStartupInfoA, GetFileType, QueryPerformanceCounter, GetSystemTimeAsFileTime, GetCPInfo, CreateMutexA, GetTempPathA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, IsValidCodePage, SetHandleCount, SetLastError, InterlockedIncrement, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, RaiseException, HeapSize, VirtualAlloc, GetModuleHandleA, RtlUnwind, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCommandLineA, VirtualFree, ExitProcess, GetStdHandle, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree<br>> USER32.dll: UnregisterClassA, wsprintfA, wvsprintfA, PostMessageA<br>> ADVAPI32.dll: SetEntriesInAclA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, FreeSid, AllocateAndInitializeSid<br>> ole32.dll: CoCreateInstance, CoInitializeEx, OleRun<br>> OLEAUT32.dll: -, -, -, -<br><br>( 2 exports ) <br>GetLspGuid, WSPStartup<br>

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5370a9b038e70be7ed1d1ec464ebf0b3''>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5370a9b038e70be7ed1d1ec464ebf0b3' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5370a9b038e70be7ed1d1ec464ebf0b3</a>'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5370a9b038e70be7ed1d1ec464ebf0b3</a>

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.93 2009.02.17 -

AhnLab-V3 5.0.0.2 2009.02.17 -

AntiVir 7.9.0.79 2009.02.17 -

Authentium 5.1.0.4 2009.02.17 -

Avast 4.8.1335.0 2009.02.16 -

AVG 8.0.0.237 2009.02.17 -

BitDefender 7.2 2009.02.17 -

CAT-QuickHeal 10.00 2009.02.17 -

ClamAV 0.94.1 2009.02.17 -

Comodo 982 2009.02.17 -

DrWeb 4.44.0.09170 2009.02.17 -

eSafe 7.0.17.0 2009.02.17 -

eTrust-Vet 31.6.6361 2009.02.17 -

F-Prot 4.4.4.56 2009.02.17 -

Fortinet 3.117.0.0 2009.02.17 -

GData 19 2009.02.17 -

Ikarus T3.1.1.45.0 2009.02.17 -

K7AntiVirus 7.10.630 2009.02.14 -

Kaspersky 7.0.0.125 2009.02.17 -

McAfee 5528 2009.02.16 -

McAfee+Artemis 5528 2009.02.16 -

Microsoft 1.4306 2009.02.17 -

NOD32 3862 2009.02.17 -

Norman 6.00.06 2009.02.17 -

nProtect 2009.1.8.0 2009.02.17 -

Panda 10.0.0.10 2009.02.17 -

Prevx1 V2 2009.02.17 -

Rising 21.17.12.00 2009.02.17 -

SecureWeb-Gateway 6.7.6 2009.02.17 -

Sophos 4.38.0 2009.02.17 -

Sunbelt 3.2.1855.2 2009.02.17 -

Symantec 10 2009.02.17 -

TheHacker 6.3.2.2.259 2009.02.17 -

TrendMicro 8.700.0.1004 2009.02.17 -

VBA32 3.12.8.13 2009.02.17 -

ViRobot 2009.2.17.1611 2009.02.17 -

VirusBuster 4.5.11.0 2009.02.17 -

 

Information additionnelle

File size: 151552 bytes

MD5...: 5370a9b038e70be7ed1d1ec464ebf0b3

SHA1..: 67887ed78519bedd6124ea3e4e1cfdc372f84bdc

SHA256: b138cd87ebac9416db4ac4cf148b17f063d70a03b8357b6e7d726c8107682c31

SHA512: 84b376cba3a429da38ea5f59975cea2376bfc4a5087120b5c39a2f3aeab0664d<br>665eca14bc7c055732f1035e59e38157141f15e05811ca09ec3316eeb93ef484<br>

ssdeep: 3072:CUyDl6yVnvkKslUKcf+omr+tANYPpts5zQL:C5VnvkKs1c2omr+tANcQ<br>

PEiD..: -

TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0xb983<br>timedatestamp.....: 0x48b86fc9 (Fri Aug 29 21:53:13 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x18c5c 0x19000 6.67 623878ebc47a8eb18e2d760b559df171<br>.rdata 0x1a000 0x44ed 0x5000 4.99 d399dd0b46bdf3ccd059de46ce58230f<br>.data 0x1f000 0x3584 0x2000 2.53 dea5cb944d23f0a7445a2f98454bd6de<br>.rsrc 0x23000 0xb0 0x1000 3.06 4f4d7db31b9b69e983fca65fca104cca<br>.reloc 0x24000 0x231e 0x3000 3.53 df0e3680f1750a46dd7be15e027343c3<br><br>( 6 imports ) <br>> WS2_32.dll: -, WSCGetProviderPath, -, -, -, -, -, WSACreateEvent, -, WSAWaitForMultipleEvents, WSAEnumNetworkEvents, WSCEnumProtocols, -, -, -, -, WSAEventSelect, WSASetEvent, WSACloseEvent, -<br>> KERNEL32.dll: FreeEnvironmentStringsW, SetEndOfFile, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, CreateFileA, FlushFileBuffers, SetStdHandle, InterlockedExchange, MultiByteToWideChar, WideCharToMultiByte, GetLastError, HeapAlloc, GetProcessHeap, HeapReAlloc, GetTickCount, GetEnvironmentStringsW, CloseHandle, WaitForSingleObject, ReleaseMutex, LeaveCriticalSection, EnterCriticalSection, GetCurrentProcessId, HeapFree, HeapCreate, HeapDestroy, GetProcAddress, LoadLibraryA, ExpandEnvironmentStringsA, LoadLibraryW, ExpandEnvironmentStringsW, InitializeCriticalSection, WriteFile, ReadFile, InterlockedDecrement, DeleteCriticalSection, LocalFree, LocalAlloc, FreeLibrary, GetCurrentThreadId, GetTimeFormatA, GetDateFormatA, GetLocalTime, GetOEMCP, GetModuleFileNameA, GetExitCodeThread, CreateThread, GetEnvironmentStrings, FreeEnvironmentStringsA, Sleep, SetFilePointer, GetConsoleMode, GetConsoleCP, GetStartupInfoA, GetFileType, QueryPerformanceCounter, GetSystemTimeAsFileTime, GetCPInfo, CreateMutexA, GetTempPathA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, IsValidCodePage, SetHandleCount, SetLastError, InterlockedIncrement, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, RaiseException, HeapSize, VirtualAlloc, GetModuleHandleA, RtlUnwind, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCommandLineA, VirtualFree, ExitProcess, GetStdHandle, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree<br>> USER32.dll: UnregisterClassA, wsprintfA, wvsprintfA, PostMessageA<br>> ADVAPI32.dll: SetEntriesInAclA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, FreeSid, AllocateAndInitializeSid<br>> ole32.dll: CoCreateInstance, CoInitializeEx, OleRun<br>> OLEAUT32.dll: -, -, -, -<br><br>( 2 exports ) <br>GetLspGuid, WSPStartup<br>

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5370a9b038e70be7ed1d1ec464ebf0b3' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5370a9b038e70be7ed1d1ec464ebf0b3</a>

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Ce lui là n'est pas infecté, et tant mieux ! :P

 

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche :

O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/vers...vex-2.2.1.6.cab

 

Logiciels & Services Duhem, je ne connais pas, mais si toi tu connais (genre outil de travail), pas de souci. Tu confirmes ?

 

Est-ce que la machine présente encore des smyptômes ? Ca m'a l'air ok là.

Jagaumo Power Member

Jagaumo

Posté(e)
  • Auteur
Posté(e) (modifié)

Ok la ligne est fixée. Quand à DUHEM c'est la société qui édite macdisk un utilitaire permettant de convertir des fichiers mac en fichiers pc.

Voili voilou ! A priori c'est terminé pour moi. Un immense merci à toi Falkra vraiment. Quelle est formidable cette équipe de zebulon !

Bien le bonjour à Charles Ingals, encore un as qui m'a dépatouillé maintes fois. Merki, merki, merki !!! :P

Modifié par Jagaumo
Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Charles Ingals est maintenant Thanos (il a juste changé de pseudo, mais est toujours aussi cool, et diablement efficace). :P

 

Antivir + Kerio : très bien.

Réinstalle-les s'ils ne fonctionnent pas.

 

Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore.

C:\QooBox

 

Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine.

Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.

 

Bagle se choppe par des cracks, sinon... et spécialement sur le p2p, à savoir. Tu fais ce que tu veux, mais informé...

 

Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) :

img-103332veltm.jpg (clique sur l'image).

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

Tu peux protéger ta navigation avec Firefox et le sécuriser :

http://www.libellules.ch/securiser_firefox_1.php

(stripmyrights, à tester, si ça ne va pas, ne garde pas).

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...