Infection par Trojan.Brisv.A!inf

[Falkra]

Rien de sensationnel là dedans non plus.

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\windows\system32\fdbddfe4_z.dll
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

 

C:\WINDOWS\system32\

[Cirrius02]

Non, j'ai pas de fichier fdbddfe4_z.dll dans System32 et j'avais les fichiers et dossiers non cachés.

 

OK je l'ai trouvé. J'avais pas décoché deux cases dans options de dossier.

 

Je reviens...

Modifié le 22 février 2009 par Cirrius02

[Cirrius02]

Analyse avec Virus Total...

 

 

 

 

Fichier fdbddfe4_z.dll reçu le 2009.02.22 23:37:03 (CET)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.93 2009.02.22 -

AhnLab-V3 2009.2.21.0 2009.02.22 -

AntiVir 7.9.0.87 2009.02.22 -

Authentium 5.1.0.4 2009.02.22 -

Avast 4.8.1335.0 2009.02.22 -

AVG 8.0.0.237 2009.02.22 -

BitDefender 7.2 2009.02.22 -

CAT-QuickHeal 10.00 2009.02.22 -

ClamAV 0.94.1 2009.02.22 -

Comodo 983 2009.02.20 -

DrWeb 4.44.0.09170 2009.02.22 -

eSafe 7.0.17.0 2009.02.19 -

eTrust-Vet 31.6.6368 2009.02.20 -

F-Prot 4.4.4.56 2009.02.22 -

F-Secure 8.0.14470.0 2009.02.22 -

Fortinet 3.117.0.0 2009.02.22 -

GData 19 2009.02.22 -

Ikarus T3.1.1.45.0 2009.02.22 -

K7AntiVirus 7.10.639 2009.02.21 -

Kaspersky 7.0.0.125 2009.02.22 -

McAfee 5533 2009.02.22 -

McAfee+Artemis 5533 2009.02.22 -

Microsoft 1.4306 2009.02.22 -

NOD32 3878 2009.02.22 -

Norman 6.00.06 2009.02.20 -

nProtect 2009.1.8.0 2009.02.22 -

Panda 10.0.0.10 2009.02.22 -

PCTools 4.4.2.0 2009.02.22 -

Prevx1 V2 2009.02.22 -

Rising 21.17.62.00 2009.02.22 -

SecureWeb-Gateway 6.7.6 2009.02.22 -

Sophos 4.39.0 2009.02.22 -

Sunbelt 3.2.1855.2 2009.02.17 -

Symantec 10 2009.02.22 -

TheHacker 6.3.2.4.263 2009.02.21 -

TrendMicro 8.700.0.1004 2009.02.20 -

VBA32 3.12.10.0 2009.02.22 -

ViRobot 2009.2.20.1617 2009.02.20 -

VirusBuster 4.5.11.0 2009.02.22 -

Information additionnelle

File size: 23 bytes

MD5...: 3a725179ad529fe8c0a74d0d133dca1e

SHA1..: 962924124ff44300296bc5f29f6c1949299dedeb

SHA256: d55bbec1cdb2a137489cb19194908675a4112c470217c2943f52d026435db306

SHA512: a366abc707aa41d149595d2f44cf0be7cf3c3302c886066f256f4e0348ec476d<br>d70d55a71f0e81207393f16c56530f9e5bf88bfea8d7fccd89b82e11e42abc15

ssdeep: 3:gbTiR8Y4qX:gyR8YnX<br>

PEiD..: -

TrID..: File type identification<br>Unknown!

PEInfo: -

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.93 2009.02.22 -

AhnLab-V3 2009.2.21.0 2009.02.22 -

AntiVir 7.9.0.87 2009.02.22 -

Authentium 5.1.0.4 2009.02.22 -

Avast 4.8.1335.0 2009.02.22 -

AVG 8.0.0.237 2009.02.22 -

BitDefender 7.2 2009.02.22 -

CAT-QuickHeal 10.00 2009.02.22 -

ClamAV 0.94.1 2009.02.22 -

Comodo 983 2009.02.20 -

DrWeb 4.44.0.09170 2009.02.22 -

eSafe 7.0.17.0 2009.02.19 -

eTrust-Vet 31.6.6368 2009.02.20 -

F-Prot 4.4.4.56 2009.02.22 -

F-Secure 8.0.14470.0 2009.02.22 -

Fortinet 3.117.0.0 2009.02.22 -

GData 19 2009.02.22 -

Ikarus T3.1.1.45.0 2009.02.22 -

K7AntiVirus 7.10.639 2009.02.21 -

Kaspersky 7.0.0.125 2009.02.22 -

McAfee 5533 2009.02.22 -

McAfee+Artemis 5533 2009.02.22 -

Microsoft 1.4306 2009.02.22 -

NOD32 3878 2009.02.22 -

Norman 6.00.06 2009.02.20 -

nProtect 2009.1.8.0 2009.02.22 -

Panda 10.0.0.10 2009.02.22 -

PCTools 4.4.2.0 2009.02.22 -

Prevx1 V2 2009.02.22 -

Rising 21.17.62.00 2009.02.22 -

SecureWeb-Gateway 6.7.6 2009.02.22 -

Sophos 4.39.0 2009.02.22 -

Sunbelt 3.2.1855.2 2009.02.17 -

Symantec 10 2009.02.22 -

TheHacker 6.3.2.4.263 2009.02.21 -

TrendMicro 8.700.0.1004 2009.02.20 -

VBA32 3.12.10.0 2009.02.22 -

ViRobot 2009.2.20.1617 2009.02.20 -

VirusBuster 4.5.11.0 2009.02.22 -

 

Information additionnelle

File size: 23 bytes

MD5...: 3a725179ad529fe8c0a74d0d133dca1e

SHA1..: 962924124ff44300296bc5f29f6c1949299dedeb

SHA256: d55bbec1cdb2a137489cb19194908675a4112c470217c2943f52d026435db306

SHA512: a366abc707aa41d149595d2f44cf0be7cf3c3302c886066f256f4e0348ec476d<br>d70d55a71f0e81207393f16c56530f9e5bf88bfea8d7fccd89b82e11e42abc15

ssdeep: 3:gbTiR8Y4qX:gyR8YnX<br>

PEiD..: -

TrID..: File type identification<br>Unknown!

PEInfo: -

[Falkra]

Ok, impec pour ce fichier.

Pour l'instant, je ne vois pas de trace active du virus. On va utiliser un autre moteur de scan.

Attention, le scan peut être assez long.

 

• Fais un scan en ligne Kaspersky, en utilisant Internet Explorer.
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis de le faire vers le bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie-colle ce rapport dans ta prochaine réponse.

[Cirrius02]

Est-ce que je peux utiliser Firefox au lieu de IE?

[Falkra]

C'est impossible, car ce moteur de scan utilise des activeX, et seul IE peut s'en occuper.

[Cirrius02]

Voici le rapport Kaspersky... Pourquoi on peut pas faire l'éradication à partir du site de Kaspersky?

 

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Sunday, February 22, 2009

Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Sunday, February 22, 2009 22:34:20

Records in database: 1831754

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

A:\

C:\

E:\

F:\

G:\

H:\

I:\

K:\

L:\

M:\

N:\

O:\

P:\

Q:\

R:\

S:\

 

Scan statistics:

Files scanned: 108352

Threat name: 9

Infected objects: 19

Suspicious objects: 0

Duration of the scan: 02:20:00

 

 

File name / Threat name / Threats count

F:\Dossiers d'Andréanne\Jeux\InternetGameBox\uninst.exe Infected: not-a-virus:AdWare.Win32.NaviPromo.ao 1

G:\Ma musique\Incomplete\T-5088466-mercy.snd Infected: Trojan-Downloader.WMA.GetCodec.s 1

G:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dg23.mp3 Infected: Trojan-Downloader.WMA.GetCodec.u 1

G:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1005\Dg21.mp3 Infected: Trojan-Downloader.WMA.GetCodec.v 1

G:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1005\Dg22.mp3 Infected: Trojan-Downloader.WMA.GetCodec.n 1

H:\Bibliothèque de logiciels divers\Download Accelerator (XP).exe Infected: not-a-virus:AdWare.Win32.Dap.g 1

Q:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dq2\BartPE\I386\SYSTEM32\WM_HOOKS.DLL Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 1

Q:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dq2\BartPE\programs\PassPro\PasswordsPro.exe Infected: not-a-virus:PSWTool.Win32.PasswordsPro.k 1

Q:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dq2\BartPE\programs\ultravnc\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.c 1

Q:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dq2\BartPE\programs\ultravnc\winvnc.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.c 1

Q:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dq2\BartPE\programs\vncserver\vncconfig.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 1

Q:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dq2\BartPE\programs\vncserver\winvnc4.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 1

Q:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dq2\plugin\Network\ultravnc\files\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.c 1

Q:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dq2\plugin\Network\ultravnc\files\winvnc.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.c 1

Q:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dq2\plugin\Network\VNCServer\vncconfig.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 1

Q:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dq2\plugin\Network\VNCServer\vncviewer.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 1

Q:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dq2\plugin\Network\VNCServer\winvnc4.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 1

Q:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dq2\plugin\Network\VNCServer\wm_hooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 1

Q:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dq2\plugin\Password\passwordspro\files\PasswordsPro.exe Infected: not-a-virus:PSWTool.Win32.PasswordsPro.k 1

 

The selected area was scanned.

[Cirrius02]

Contenu de ce post effacé car était en double.

Modifié le 23 février 2009 par Cirrius02

[Cirrius02]

Deux commentaires...

 

1- Selon le rapport de Kaspersky, il y aurait des Trojans dans Q\RECYCLER et quand je vais dans Q, je ne vois aucun dossier RECYCLER. En fait, le Q est complètement vide!!! En ce qui concerne le G, qui est mes documents, je ne vois pas non plus de dossier RECYCLER.

 

2- Comment se fait-il que mon nouveau antivirus Norton Internet Security 2009 n'a pas détecté ces menaces. J'ai pourtant fait un scan complet avec Norton pas plus tard que ce matin (hier, pour la France) et ces menaces additionnelles ne m'ont pas été rapportées (grrrr...)???

Modifié le 23 février 2009 par Cirrius02

[Falkra]

On va s'en occuper.

 

Norton n'est pas excellent, c'est aussi pour ça qu'il ne voit pas tout...

 

Par contre, internetgamebox, c'est une saleté de logiciel piégé, alors ne jamais installer ça.

Download accelerator, c'est un nid à pub, pas un malware, mais bon..

VNC pas de souci.

 

 

Télécharge OTMoveIt3 par OldTimer.

• Enregistre ce fichier sur le Bureau.
  
• Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :processes
  explorer.exe 
  :files
  G:\Ma musique\Incomplete\T-5088466-mercy.snd
  G:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1004\Dg23.mp3
  G:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1005\Dg21.mp3
  G:\RECYCLER\S-1-5-21-1614895754-1500820517-725345543-1005\Dg22.mp3
  
  :commands
  [zipfiles]
  [emptytemp]
  [start explorer]

  
  

• Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt3
  
• Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.