Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

petite infection

jeanphy

Par jeanphy
dans Analyses et éradication malwares

 Partager

Messages recommandés

jeanphy Member

jeanphy

Posté(e)
  • Auteur
Posté(e)
Quel chemin il indique pour install.exe ? (celu qu'il ne trouve pas)

 

c'est dans document and setting mais aprés il y a des ....le chemin n'apparait pas entièrement et je sais pas comment faire pour qu'il apparaisse...

 

le rapport est bon? :P

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

On en a eu un, mais l'autre truc reste. Poste ça sur VirusTotal stp :

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe

 

Ca aussi c'est lui pour l'install a priori shoote à la main si besoin :

c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu Démarrer\Programmes\Démarrage\ikowin32.exe

jeanphy Member

jeanphy

Posté(e)
  • Auteur
Posté(e)
On en a eu un, mais l'autre truc reste. Poste ça sur VirusTotal stp :

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe

 

Ca aussi c'est lui pour l'install a priori shoote à la main si besoin :

c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu Démarrer\Programmes\Démarrage\ikowin32.exe

 

shoot à la main c'est a dire? supprimer?

 

sinon le chemin entier du install.exe:

 

http://img11.imageshack.us/img11/1608/42182657.jpg

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Attends, on va faire autrement gaffe aux sauts de ligne, insère bien les chemins, comme avant. :P

 

Télécharge OTMoveIt (OTM) par OldTimer.

  • Enregistre ce fichier sur le Bureau.
  • Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  • Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
    :processes
explorer.exe
:files
c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu Démarrer\Programmes\Démarrage\ikowin32.exe
c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe
c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe
c:\windows\system32\hp32_nword.exe
c:\documents and settings\NICOLAS _\Menu Démarrer\Programmes\Démarrage\ikowin32.exe
c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe
c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\ikowin32.exe
c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe

:commands
[emptytemp]
[start explorer]


  • Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  • Clique sur le bouton rouge Moveit!.
  • Ferme OTMoveIt3
  • Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

jeanphy Member

jeanphy

Posté(e)
  • Auteur
Posté(e)
Attends, on va faire autrement gaffe aux sauts de ligne, insère bien les chemins, comme avant. :P

 

Télécharge OTMoveIt (OTM) par OldTimer.

  • Enregistre ce fichier sur le Bureau.
  • Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  • Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
    :processes
explorer.exe
:files
c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu Démarrer\Programmes\Démarrage\ikowin32.exe
c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe
c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe
c:\windows\system32\hp32_nword.exe
c:\documents and settings\NICOLAS _\Menu Démarrer\Programmes\Démarrage\ikowin32.exe
c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe
c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\ikowin32.exe
c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe

:commands
[emptytemp]
[start explorer]


  • Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  • Clique sur le bouton rouge Moveit!.
  • Ferme OTMoveIt3
  • Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

 

voici le rapport

 

Fichier icwsetup.exe reçu le 2009.08.06 15:12:18 (UTC)Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.24 2009.08.06 Trojan.Win32.Cecapix!IK

AhnLab-V3 5.0.0.2 2009.08.06 -

AntiVir 7.9.0.240 2009.08.06 -

Antiy-AVL 2.0.3.7 2009.08.05 -

Authentium 5.1.2.4 2009.08.06 -

Avast 4.8.1335.0 2009.08.06 -

AVG 8.5.0.406 2009.08.06 SHeur2.AUQM

BitDefender 7.2 2009.08.06 -

CAT-QuickHeal 10.00 2009.08.06 (Suspicious) - DNAScan

ClamAV 0.94.1 2009.08.06 -

Comodo 1887 2009.08.06 -

DrWeb 5.0.0.12182 2009.08.06 -

eSafe 7.0.17.0 2009.08.05 Suspicious File

eTrust-Vet 31.6.6662 2009.08.06 -

F-Prot 4.4.4.56 2009.08.06 -

F-Secure 8.0.14470.0 2009.08.06 -

Fortinet 3.120.0.0 2009.08.06 -

GData 19 2009.08.06 -

Ikarus T3.1.1.64.0 2009.08.06 Trojan.Win32.Cecapix

Jiangmin 11.0.800 2009.08.06 -

K7AntiVirus 7.10.811 2009.08.05 -

Kaspersky 7.0.0.125 2009.08.06 -

McAfee 5699 2009.08.05 -

McAfee+Artemis 5699 2009.08.05 Artemis!84D5FC769C0D

McAfee-GW-Edition 6.8.5 2009.08.06 Heuristic.LooksLike.Win32.Suspicious.H

Microsoft 1.4903 2009.08.06 Trojan:Win32/Cecapix.A

NOD32 4312 2009.08.06 -

Norman 6.01.09 2009.08.06 W32/Bredolab.M

nProtect 2009.1.8.0 2009.08.06 -

Panda 10.0.0.14 2009.08.05 -

PCTools 4.4.2.0 2009.08.06 -

Prevx 3.0 2009.08.06 -

Rising 21.41.34.00 2009.08.06 -

Sophos 4.44.0 2009.08.06 -

Sunbelt 3.2.1858.2 2009.08.06 Bulk Trojan

Symantec 1.4.4.12 2009.08.06 -

TheHacker 6.3.4.3.377 2009.08.05 -

TrendMicro 8.950.0.1094 2009.08.06 -

VBA32 3.12.10.9 2009.08.06 -

ViRobot 2009.8.6.1871 2009.08.06 -

VirusBuster 4.6.5.0 2009.08.05 -

 

Information additionnelle

File size: 23040 bytes

MD5...: 84d5fc769c0da784e8cb0b7066690d3b

SHA1..: 1998448e4c4e1a641d1e2a858884e9737dbc63b3

SHA256: 9eebf37281b1944e87756a0c48f4ae946787006b11e5c6e3b1e10a3641cfebf0

ssdeep: 384:eybdmgAoolSf8BbrAAhhQpDIhqqVhMdJ9dmmKIgVcSs:dliSfoMA7QpsNVhM<BR>Nds7Vcd<BR>

PEiD..: -

TrID..: File type identification<BR>Generic Win/DOS Executable (49.6%)<BR>DOS Executable Generic (49.5%)<BR>VXD Driver (0.7%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1000<BR>timedatestamp.....: 0x49bf8188 (Tue Mar 17 10:55:04 2009)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 7 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x11000 0x3a00 7.95 6eff5fde7aba58b0695fc9beb64479a8<BR>.data 0x12000 0x1000 0x200 0.26 78577af7f938b60739e80f11daf747ec<BR>.rdata 0x13000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b<BR>.idata 0x14000 0x1000 0x200 1.35 b5f1e464dc881140ee17b7d4d8dc729b<BR>.data 0x15000 0x1000 0x400 2.66 8865a37311232f1eb8c6ab37b65bb7dc<BR>brat 0x16000 0xfef 0x1000 6.44 f9c209418fc8432c2937716dd7f88f1a<BR>.reloc 0x17000 0x1c 0x200 0.45 f65b0ed113ddd74382ec6dfbea72d816<BR><BR>( 1 imports ) <BR>> KERNEL32.dll: GetLastError, OpenFile, OpenFile, WriteFile, WriteFile<BR><BR>( 0 exports ) <BR>

PDFiD.: -

RDS...: NSRL Reference Data Set<BR>-

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.24 2009.08.06 Trojan.Win32.Cecapix!IK

AhnLab-V3 5.0.0.2 2009.08.06 -

AntiVir 7.9.0.240 2009.08.06 -

Antiy-AVL 2.0.3.7 2009.08.05 -

Authentium 5.1.2.4 2009.08.06 -

Avast 4.8.1335.0 2009.08.06 -

AVG 8.5.0.406 2009.08.06 SHeur2.AUQM

BitDefender 7.2 2009.08.06 -

CAT-QuickHeal 10.00 2009.08.06 (Suspicious) - DNAScan

ClamAV 0.94.1 2009.08.06 -

Comodo 1887 2009.08.06 -

DrWeb 5.0.0.12182 2009.08.06 -

eSafe 7.0.17.0 2009.08.05 Suspicious File

eTrust-Vet 31.6.6662 2009.08.06 -

F-Prot 4.4.4.56 2009.08.06 -

F-Secure 8.0.14470.0 2009.08.06 -

Fortinet 3.120.0.0 2009.08.06 -

GData 19 2009.08.06 -

Ikarus T3.1.1.64.0 2009.08.06 Trojan.Win32.Cecapix

Jiangmin 11.0.800 2009.08.06 -

K7AntiVirus 7.10.811 2009.08.05 -

Kaspersky 7.0.0.125 2009.08.06 -

McAfee 5699 2009.08.05 -

McAfee+Artemis 5699 2009.08.05 Artemis!84D5FC769C0D

McAfee-GW-Edition 6.8.5 2009.08.06 Heuristic.LooksLike.Win32.Suspicious.H

Microsoft 1.4903 2009.08.06 Trojan:Win32/Cecapix.A

NOD32 4312 2009.08.06 -

Norman 6.01.09 2009.08.06 W32/Bredolab.M

nProtect 2009.1.8.0 2009.08.06 -

Panda 10.0.0.14 2009.08.05 -

PCTools 4.4.2.0 2009.08.06 -

Prevx 3.0 2009.08.06 -

Rising 21.41.34.00 2009.08.06 -

Sophos 4.44.0 2009.08.06 -

Sunbelt 3.2.1858.2 2009.08.06 Bulk Trojan

Symantec 1.4.4.12 2009.08.06 -

TheHacker 6.3.4.3.377 2009.08.05 -

TrendMicro 8.950.0.1094 2009.08.06 -

VBA32 3.12.10.9 2009.08.06 -

ViRobot 2009.8.6.1871 2009.08.06 -

VirusBuster 4.6.5.0 2009.08.05 -

 

Information additionnelle

File size: 23040 bytes

MD5...: 84d5fc769c0da784e8cb0b7066690d3b

SHA1..: 1998448e4c4e1a641d1e2a858884e9737dbc63b3

SHA256: 9eebf37281b1944e87756a0c48f4ae946787006b11e5c6e3b1e10a3641cfebf0

ssdeep: 384:eybdmgAoolSf8BbrAAhhQpDIhqqVhMdJ9dmmKIgVcSs:dliSfoMA7QpsNVhM<BR>Nds7Vcd<BR>

PEiD..: -

TrID..: File type identification<BR>Generic Win/DOS Executable (49.6%)<BR>DOS Executable Generic (49.5%)<BR>VXD Driver (0.7%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1000<BR>timedatestamp.....: 0x49bf8188 (Tue Mar 17 10:55:04 2009)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 7 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x11000 0x3a00 7.95 6eff5fde7aba58b0695fc9beb64479a8<BR>.data 0x12000 0x1000 0x200 0.26 78577af7f938b60739e80f11daf747ec<BR>.rdata 0x13000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b<BR>.idata 0x14000 0x1000 0x200 1.35 b5f1e464dc881140ee17b7d4d8dc729b<BR>.data 0x15000 0x1000 0x400 2.66 8865a37311232f1eb8c6ab37b65bb7dc<BR>brat 0x16000 0xfef 0x1000 6.44 f9c209418fc8432c2937716dd7f88f1a<BR>.reloc 0x17000 0x1c 0x200 0.45 f65b0ed113ddd74382ec6dfbea72d816<BR><BR>( 1 imports ) <BR>> KERNEL32.dll: GetLastError, OpenFile, OpenFile, WriteFile, WriteFile<BR><BR>( 0 exports ) <BR>

PDFiD.: -

RDS...: NSRL Reference Data Set<BR>-

 

 

je fais ce que tu m'as dit au dessus?

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Mets ça dans OTM :

 

:processes

explorer.exe

:files

c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu Démarrer\Programmes\Démarrage\ikowin32.exe

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe

c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe

c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe

c:\windows\system32\hp32_nword.exe

c:\documents and settings\NICOLAS _\Menu Démarrer\Programmes\Démarrage\ikowin32.exe

c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\ikowin32.exe

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe

c:\windows\system32\tapi.nfo

 

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Internet Connection Wizard Setup Tool"=-

"RegistryMonitor1"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Shell"="Explorer.exe"

 

:commands

[emptytemp]

[start explorer]

 

De toute façon, j'ai trouvé le machin qui régénère, je pense que ce n'est plus qu'une question de temps (mais il faudra combofix encore).

jeanphy Member

jeanphy

Posté(e)
  • Auteur
Posté(e)
Mets ça dans OTM :

 

 

 

De toute façon, j'ai trouvé le machin qui régénère, je pense que ce n'est plus qu'une question de temps (mais il faudra combofix encore).

 

ok j'envoi! mais c'est quoi l'origine?

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...