Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Malwarebytes' Anti-Malware 1.40

Version de la base de données: 2734

Windows 5.1.2600 Service Pack 2

 

04/09/2009 20:54:15

mbam-log-2009-09-04 (20-54-13).txt

 

Type de recherche: Examen complet (C:\|D:\|X:\|)

Eléments examinés: 243704

Temps écoulé: 1 hour(s), 43 minute(s), 28 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fff.exe (Trojan.Downloader) -> No action taken.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\Maison\Application Data\MSA\fff.exe (Trojan.Downloader) -> No action taken.

C:\Documents and Settings\All Users\Application Data\total security\12665314.exe (Rogue.SystemSecurity) -> No action taken.

C:\Documents and Settings\Maison\Application Data\MSA\mssadv.exe (Trojan.Clicker) -> No action taken.

Posté(e)

Tu as "fixé" ces trucs ? Sinon, il faut le faire (relance une analyse et corrige tout ça).

 

Ça va mieux on dirait :P

 

Bon je manque de temps et j'aimerais revoir un ou deux trucs avec pear ; je ferai ça dès que possible. Dis-nous comment se comporte la machine maintenant ?

 

Merci pour les efforts et... courage :P

 

@bientôt

 

Mark

Posté(e)

à priori il ne reste plus rien...

j'ai relancé MBAM analyse rapide et il n'a rien trouvé.

j'ai été faire un tour dans documents and settings, all users, application data et j'ai supprimé le fichier total security ---> corbeille et j'ai vidé la corbeille sans aucune réaction du virus...

donc à priori il n'est vraiment plus là.

j'ai jeté un oeil dans process explorer et pas de trace non plus.

le "bête" serait-elle morte????

merci encore pour votre aide à tous les deux

à +

 

 

à priori il ne reste plus rien...

j'ai relancé MBAM analyse rapide et il n'a rien trouvé.

j'ai été faire un tour dans documents and settings, all users, application data et j'ai supprimé le fichier total security ---> corbeille et j'ai vidé la corbeille sans aucune réaction du virus...

donc à priori il n'est vraiment plus là.

j'ai jeté un oeil dans process explorer et pas de trace non plus.

le "bête" serait-elle morte????

merci encore pour votre aide à tous les deux

à +

 

 

Malwarebytes' Anti-Malware 1.40

Version de la base de données: 2734

Windows 5.1.2600 Service Pack 2

 

04/09/2009 22:56:06

mbam-log-2009-09-04 (22-56-06).txt

 

Type de recherche: Examen rapide

Eléments examinés: 104418

Temps écoulé: 8 minute(s), 2 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Posté(e)

La bête est morte :P

 

Quelques petites choses à vérifier :

 

1) Je vois Panda et McAfee qui sont actifs sur ta machine ; tu ne dois avoir qu'un seul antivirus actif, sinon il y aura compétition entre les deux = risques de plantages et abaissement du niveau de protection globale sur le PC. Malgré une certaine croyance, deux antivirus actifs c'est très mauvais... Choisis-en un seul, puis désinstalle l'autre.

~~~~~~~~~~~~~~~~~~~~~

 

2) Je vais te faire analyser un fichier louche (sur ta machine), en ligne :

 

- Il faut tout d'abord démasquer les fichiers cachés :

 

  1. Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau.
  2. Double-clique sur le Poste de Travail
  3. Du menu Outils, clique Options des dossiers...
  4. De la nouvelle fenêtre, choisis l'onglet Affichage
  5. Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système
  6. Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés
  7. Décoche la case Masquer les extensions des fichiers dont le type est connu
  8. Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé)
  9. Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.

 

Ensuite...

 

Va sur le site de VirusTotal >>

http://www.virustotal.com/fr/

 

- Clique "Parcourir..."

- Retrouve le fichier suivant :

 

C:\Documents and Settings\Maison\Local Settings\Application Data\perfdm32\perfdm32.dll

 

- Double-clique dessus pour le sélectionner

- Clique maintenant sur le bouton "Envoyer le fichier"

- Possible que tu sois mis en file d'attente ; il faut alors patienter

- Possible qu'on te dise que le fichier ait déjà été analysé ; si c'est le cas, choisis une nouvelle analyse.

- Les résultats d'analyse apparaîtront progressivement ; cela ne prend qu'une ou deux minutes.

- Lorsque terminé, copie/colle le rapport ici, dans ta réponse.

 

===

===

 

J'attends donc le rapport de Virus Total et on pourra terminer le nettoyage/ménage suite à cela.

 

@+

Posté(e)

effectivement il semble qu'il y ait qq une "prvex" qui ne soit pas bien intentionée pour mon pc ....

 

Fichier perfdm32.bak reçu le 2009.09.02 09:16:52 (UTC)

Situation actuelle: terminé

 

Résultat: 1/41 (2.44%)

Formaté Impression des résultats

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.24 2009.09.02 -

AhnLab-V3 5.0.0.2 2009.09.02 -

AntiVir 7.9.1.7 2009.09.02 -

Antiy-AVL 2.0.3.7 2009.09.02 -

Authentium 5.1.2.4 2009.09.02 -

Avast 4.8.1335.0 2009.09.01 -

AVG 8.5.0.406 2009.09.02 -

BitDefender 7.2 2009.09.02 -

CAT-QuickHeal 10.00 2009.09.02 -

ClamAV 0.94.1 2009.09.02 -

Comodo 2173 2009.09.02 -

DrWeb 5.0.0.12182 2009.09.02 -

eSafe 7.0.17.0 2009.09.01 -

eTrust-Vet 31.6.6716 2009.09.02 -

F-Prot 4.5.1.85 2009.09.01 -

F-Secure 8.0.14470.0 2009.09.02 -

Fortinet 3.120.0.0 2009.09.02 -

GData 19 2009.09.02 -

Ikarus T3.1.1.68.0 2009.09.02 -

Jiangmin 11.0.800 2009.09.02 -

K7AntiVirus 7.10.833 2009.09.01 -

Kaspersky 7.0.0.125 2009.09.02 -

McAfee 5727 2009.09.01 -

McAfee+Artemis 5727 2009.09.01 -

McAfee-GW-Edition 6.8.5 2009.09.02 -

Microsoft 1.5005 2009.09.02 -

NOD32 4388 2009.09.02 -

Norman 2009.09.01 -

nProtect 2009.1.8.0 2009.09.02 -

Panda 10.0.2.2 2009.09.02 -

PCTools 4.4.2.0 2009.08.31 -

Prevx 3.0 2009.09.02 High Risk Fraudulent Security Program

Rising 21.45.14.00 2009.09.01 -

Sophos 4.45.0 2009.09.02 -

Sunbelt 3.2.1858.2 2009.09.01 -

Symantec 1.4.4.12 2009.09.02 -

TheHacker 6.3.4.3.395 2009.09.02 -

TrendMicro 8.950.0.1094 2009.09.02 -

VBA32 3.12.10.10 2009.09.01 -

ViRobot 2009.9.2.1914 2009.09.02 -

VirusBuster 4.6.5.0 2009.09.01 -

Information additionnelle

File size: 65536 bytes

MD5 : 9be5fa69dd615503cd434578a012ca79

SHA1 : 6a683cdddf5310ca44b69c3ed60947c483b68826

SHA256: 4637b89b1a37129cd34e8ab5537b89c5e71e59a42e12a908ff906561212c3234

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x6FC6

timedatestamp.....: 0x4A1F8E50 (Fri May 29 09:27:12 2009)

machinetype.......: 0x14C (Intel I386)

 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xAE48 0xB000 6.38 8f0cf0bbad1e5407cb5dbf433e36b654

.rdata 0xC000 0x13CB 0x2000 3.81 51e2906674fa1699777999c9da32a30d

.data 0xE000 0x3A0 0x1000 0.29 d42e5f96a9a5d695a598dd71b488c680

.reloc 0xF000 0x6DE 0x1000 3.65 d9c364f23ec8b743dfa851e568d74847

 

( 7 imports )

 

> advapi32.dll: RegSetValueExA, GetUserNameA, RegCloseKey, RegOpenKeyExA, MapGenericMask, IsTextUnicode, OpenEventLogW, RegReplaceKeyW, RegQueryValueExW, RegisterServiceCtrlHandlerW, RegisterEventSourceA, RegDeleteKeyW, RegConnectRegistryA

> gdi32.dll: GetBrushOrgEx, CloseEnhMetaFile, AnimatePalette, RectVisible, SetPolyFillMode, SetColorAdjustment, EndPage, SetTextJustification, SetWorldTransform, CreateFontIndirectA, ResizePalette, SetAbortProc, PolyBezierTo

> kernel32.dll: SetLastError, GetTempFileNameW, GetCompressedFileSizeW, SystemTimeToFileTime, GetFileAttributesExW, DeleteTimerQueueEx, DeleteCriticalSection, SetVolumeMountPointW, FindClose, FillConsoleOutputAttribute, FreeResource, lstrcpynW, FreeEnvironmentStringsW, LCMapStringW, SetFileAttributesA, lstrcpyA, GetConsoleScreenBufferInfo, GetLargestConsoleWindowSize, FindCloseChangeNotification, SizeofResource, SetConsoleTextAttribute, GetTimeZoneInformation, GetCommandLineW, lstrcpynA, EnumUILanguagesW, GetExitCodeThread, CopyFileExW, OpenFile, GetFileSize, GetDiskFreeSpaceExW, FreeConsole, UnregisterWaitEx, MoveFileExW, PulseEvent, GetSystemTime, FindNextFileW, CreateWaitableTimerA, VerSetConditionMask, EnumResourceNamesW, OpenProcess, SetSystemTime, GetProcessAffinityMask, GetBinaryTypeA, CancelWaitableTimer, LocalUnlock, lstrcmpiA, RtlMoveMemory, LocalFileTimeToFileTime, GetProfileIntA, CreateMutexA, InitializeCriticalSection, lstrcpyW, LeaveCriticalSection, MapViewOfFile, HeapFree, GetProcessHeap, lstrlenW, lstrcatW, ReleaseMutex, GetModuleFileNameA, CreateProcessA, LoadLibraryA, GetProcAddress, InterlockedExchange, CreateDirectoryA, CloseHandle, GetComputerNameA, VirtualQuery, CreateThread, EnumResourceLanguagesA

> ole32.dll: OleRegGetMiscStatus, CoSetProxyBlanket, CoFileTimeNow, IIDFromString, OleCreateMenuDescriptor, OleRegEnumVerbs, CoDisconnectObject, OleSetMenuDescriptor, CoReleaseMarshalData, CoUninitialize, CoTaskMemFree, CoInitialize

> shell32.dll: SHFileOperationW, SHGetPathFromIDListW, SHGetSpecialFolderPathW, SHGetFolderPathA

> shlwapi.dll: PathIsUNCServerShareW, SHGetValueA, PathFindExtensionA, SHCreateShellPalette, StrCmpNIA, PathMatchSpecW, PathFindExtensionW, wvnsprintfW, StrRetToStrW, PathCanonicalizeW, PathSetDlgItemPathW, PathRemoveFileSpecA, PathGetArgsW, StrStrIW, StrToIntW

> user32.dll: DialogBoxParamA, GetMessageTime, GrayStringA, WinHelpA, WaitForInputIdle, SetMenuItemInfoA, CheckMenuRadioItem, MapDialogRect, SetCapture, LoadBitmapA, GetScrollPos, InsertMenuW, UnregisterClassW, CreateCursor, InSendMessage, IsCharAlphaNumericA, DrawTextW, SetWindowTextW, ToAsciiEx, FindWindowA, DefMDIChildProcW, GetWindowWord, LoadIconA, AppendMenuW, FreeDDElParam, LoadCursorA, LoadImageW, DialogBoxIndirectParamW, CheckMenuItem, GetForegroundWindow, ValidateRect, AppendMenuA, TranslateMessage, wvsprintfW, GetTopWindow, SetMessageQueue, SetWindowsHookExW, MsgWaitForMultipleObjectsEx, InvertRect, GetMessageA, SetWindowsHookExA, CallNextHookEx, SetTimer, GetWindowTextLengthA, SetWindowContextHelpId, GetClassInfoW, TranslateAcceleratorA, ExitWindowsEx, ModifyMenuA

 

( 1 exports )

 

> DllInit, DllInstall

TrID : File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

ssdeep: 768:pNvNFTytTayv30auOvW1sjvle0l/+9z85lI9Q/TovMr8QQw+clftfLI2wNP:pBNFgkYW1Se01+9Q5V/TbQw+QxLI24

Prevx Info: http://info.prevx.com/aboutprogramtext.asp...A8467009266A4BE

PEiD : -

RDS : NSRL Reference Data Set

Posté(e)

Bonsoir,

 

je viens de retrouver mon dd sata, en fait il a suffit de le désactiver puis l'activer, je lisais un peu partout ce qui se disait sur ce type de pb et c'est vrai que des fois les solutions simples correspondent.... c'est le genre de truc qui se produit aussi avec les cartes réseau.

donc ça c'est réglé, par contre je viens de me lancer dans le rédémarrage du portable de mon fils et là ça se complique.

en fait le pc se connecte à XP après identification puis se déconnecte. (entre temps il en a acheté un autre !!!!!!!)

il y qq jours j'ai téléchargé UBCD4Win et donc je l'ai lancé...

il est conseillé d'avoir une connexion internet le pb c'est que j'ai une erreur 711 qui se règlera plus tard et par ailleurs la carte réseau semble HS, impossible de la désactiver. Donc c'est le wifi qui s'imposera.

enfin j'ai lancé antivir et là ça a été un festival + de 2500 détections et dans tous les fichiers y compris windows, en fait antivir s'est arrêté à 99,8 % en me disant que W32/Virut.gen (et ses copains étaient sur le micro) et qu'il ne pouvait les mettre en quarantaine....

bon j'y retourne pour voir ce que je vais pouvoir faire.

de toute façon j'ai sauvegardé les fichiers que mon fils voulait conserver sur un dd externe que je passerais au crible avant de lui redonner...

merci pour l'aide pour le pb total security

cdlt

Posté(e)

Bonjour !

 

Pour ce qui est de Total Security sur ta machine, ça semble Oké, mais j'ai une dernière question, concernant le fichier que je t'ai fait analyser :

 

perfdm32.bak (alors qu'il devait être perfdm32.dll)

 

C'est toi qui l'a renommé ? Ou bien existe-t-il plusieurs fichiers dans ce répertoire ? PrevX est le seul à voir quelque chose avec celui-là et on ne peut pas toujours se fier à PrevX, mais... juste avec la tronche qu'il a, sa date de création, etc... je suis persuadé que ça provient de l'infection. Je te laisse donc regarder ça, pour le nom du fichier et, si tu as l'autre (perfdm32.dll), pourrais-tu le faire analyser sur Virus Total s'il te plaît ? Merci :P

 

=============

 

Pour ce qui est du portable de ton fils : Virut est sans pitié et extrêmement aggressif, infectant tous les fichiers exécutables qui se trouvent sur la machine, y compris ceux du système. Sa charge destructrice est telle qu'il est impossible de tout nettoyer correctement. Bref, tu as fait les sauvegardes (bien), donc il ne reste qu'à le formater. Il y a des précautions à prendre par contre ; je te laisse lire une discussion récente ici sur Zeb, où un visiteur avait Virut. Tu y trouveras les informations pertinentes :

http://forum.zebulon.fr/au-secours-virus-i...le-t167313.html

 

>> Il pourrait y avoir des fichiers infectés dans les sauvegardes, alors une grande prudence est de mise. Je préfère des sujets distincts lorsqu'un membre nous soumet deux machines infectées, mais là je préfère que l'on reste ici, vu qu'il n'y aura pas de désinfection sur le portable de toute façon. Si questions ou problèmes, pas de gêne, je vais faire de mon mieux pour te guider.

 

J'attends donc les nouvelles pour ce fichier perfdm32.dll

 

@+

 

Mark

Posté(e)

c'est à priori le même rapport que ce matin....

je ne trouve pas le fichier en .bak

donc voilà le rapport

 

Fichier perfdm32.bak reçu le 2009.09.02 09:16:52 (UTC)

Situation actuelle: terminé

 

Résultat: 1/41 (2.44%)

Formaté Impression des résultats

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.24 2009.09.02 -

AhnLab-V3 5.0.0.2 2009.09.02 -

AntiVir 7.9.1.7 2009.09.02 -

Antiy-AVL 2.0.3.7 2009.09.02 -

Authentium 5.1.2.4 2009.09.02 -

Avast 4.8.1335.0 2009.09.01 -

AVG 8.5.0.406 2009.09.02 -

BitDefender 7.2 2009.09.02 -

CAT-QuickHeal 10.00 2009.09.02 -

ClamAV 0.94.1 2009.09.02 -

Comodo 2173 2009.09.02 -

DrWeb 5.0.0.12182 2009.09.02 -

eSafe 7.0.17.0 2009.09.01 -

eTrust-Vet 31.6.6716 2009.09.02 -

F-Prot 4.5.1.85 2009.09.01 -

F-Secure 8.0.14470.0 2009.09.02 -

Fortinet 3.120.0.0 2009.09.02 -

GData 19 2009.09.02 -

Ikarus T3.1.1.68.0 2009.09.02 -

Jiangmin 11.0.800 2009.09.02 -

K7AntiVirus 7.10.833 2009.09.01 -

Kaspersky 7.0.0.125 2009.09.02 -

McAfee 5727 2009.09.01 -

McAfee+Artemis 5727 2009.09.01 -

McAfee-GW-Edition 6.8.5 2009.09.02 -

Microsoft 1.5005 2009.09.02 -

NOD32 4388 2009.09.02 -

Norman 2009.09.01 -

nProtect 2009.1.8.0 2009.09.02 -

Panda 10.0.2.2 2009.09.02 -

PCTools 4.4.2.0 2009.08.31 -

Prevx 3.0 2009.09.02 High Risk Fraudulent Security Program

Rising 21.45.14.00 2009.09.01 -

Sophos 4.45.0 2009.09.02 -

Sunbelt 3.2.1858.2 2009.09.01 -

Symantec 1.4.4.12 2009.09.02 -

TheHacker 6.3.4.3.395 2009.09.02 -

TrendMicro 8.950.0.1094 2009.09.02 -

VBA32 3.12.10.10 2009.09.01 -

ViRobot 2009.9.2.1914 2009.09.02 -

VirusBuster 4.6.5.0 2009.09.01 -

Information additionnelle

File size: 65536 bytes

MD5 : 9be5fa69dd615503cd434578a012ca79

SHA1 : 6a683cdddf5310ca44b69c3ed60947c483b68826

SHA256: 4637b89b1a37129cd34e8ab5537b89c5e71e59a42e12a908ff906561212c3234

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x6FC6

timedatestamp.....: 0x4A1F8E50 (Fri May 29 09:27:12 2009)

machinetype.......: 0x14C (Intel I386)

 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xAE48 0xB000 6.38 8f0cf0bbad1e5407cb5dbf433e36b654

.rdata 0xC000 0x13CB 0x2000 3.81 51e2906674fa1699777999c9da32a30d

.data 0xE000 0x3A0 0x1000 0.29 d42e5f96a9a5d695a598dd71b488c680

.reloc 0xF000 0x6DE 0x1000 3.65 d9c364f23ec8b743dfa851e568d74847

 

( 7 imports )

 

> advapi32.dll: RegSetValueExA, GetUserNameA, RegCloseKey, RegOpenKeyExA, MapGenericMask, IsTextUnicode, OpenEventLogW, RegReplaceKeyW, RegQueryValueExW, RegisterServiceCtrlHandlerW, RegisterEventSourceA, RegDeleteKeyW, RegConnectRegistryA

> gdi32.dll: GetBrushOrgEx, CloseEnhMetaFile, AnimatePalette, RectVisible, SetPolyFillMode, SetColorAdjustment, EndPage, SetTextJustification, SetWorldTransform, CreateFontIndirectA, ResizePalette, SetAbortProc, PolyBezierTo

> kernel32.dll: SetLastError, GetTempFileNameW, GetCompressedFileSizeW, SystemTimeToFileTime, GetFileAttributesExW, DeleteTimerQueueEx, DeleteCriticalSection, SetVolumeMountPointW, FindClose, FillConsoleOutputAttribute, FreeResource, lstrcpynW, FreeEnvironmentStringsW, LCMapStringW, SetFileAttributesA, lstrcpyA, GetConsoleScreenBufferInfo, GetLargestConsoleWindowSize, FindCloseChangeNotification, SizeofResource, SetConsoleTextAttribute, GetTimeZoneInformation, GetCommandLineW, lstrcpynA, EnumUILanguagesW, GetExitCodeThread, CopyFileExW, OpenFile, GetFileSize, GetDiskFreeSpaceExW, FreeConsole, UnregisterWaitEx, MoveFileExW, PulseEvent, GetSystemTime, FindNextFileW, CreateWaitableTimerA, VerSetConditionMask, EnumResourceNamesW, OpenProcess, SetSystemTime, GetProcessAffinityMask, GetBinaryTypeA, CancelWaitableTimer, LocalUnlock, lstrcmpiA, RtlMoveMemory, LocalFileTimeToFileTime, GetProfileIntA, CreateMutexA, InitializeCriticalSection, lstrcpyW, LeaveCriticalSection, MapViewOfFile, HeapFree, GetProcessHeap, lstrlenW, lstrcatW, ReleaseMutex, GetModuleFileNameA, CreateProcessA, LoadLibraryA, GetProcAddress, InterlockedExchange, CreateDirectoryA, CloseHandle, GetComputerNameA, VirtualQuery, CreateThread, EnumResourceLanguagesA

> ole32.dll: OleRegGetMiscStatus, CoSetProxyBlanket, CoFileTimeNow, IIDFromString, OleCreateMenuDescriptor, OleRegEnumVerbs, CoDisconnectObject, OleSetMenuDescriptor, CoReleaseMarshalData, CoUninitialize, CoTaskMemFree, CoInitialize

> shell32.dll: SHFileOperationW, SHGetPathFromIDListW, SHGetSpecialFolderPathW, SHGetFolderPathA

> shlwapi.dll: PathIsUNCServerShareW, SHGetValueA, PathFindExtensionA, SHCreateShellPalette, StrCmpNIA, PathMatchSpecW, PathFindExtensionW, wvnsprintfW, StrRetToStrW, PathCanonicalizeW, PathSetDlgItemPathW, PathRemoveFileSpecA, PathGetArgsW, StrStrIW, StrToIntW

> user32.dll: DialogBoxParamA, GetMessageTime, GrayStringA, WinHelpA, WaitForInputIdle, SetMenuItemInfoA, CheckMenuRadioItem, MapDialogRect, SetCapture, LoadBitmapA, GetScrollPos, InsertMenuW, UnregisterClassW, CreateCursor, InSendMessage, IsCharAlphaNumericA, DrawTextW, SetWindowTextW, ToAsciiEx, FindWindowA, DefMDIChildProcW, GetWindowWord, LoadIconA, AppendMenuW, FreeDDElParam, LoadCursorA, LoadImageW, DialogBoxIndirectParamW, CheckMenuItem, GetForegroundWindow, ValidateRect, AppendMenuA, TranslateMessage, wvsprintfW, GetTopWindow, SetMessageQueue, SetWindowsHookExW, MsgWaitForMultipleObjectsEx, InvertRect, GetMessageA, SetWindowsHookExA, CallNextHookEx, SetTimer, GetWindowTextLengthA, SetWindowContextHelpId, GetClassInfoW, TranslateAcceleratorA, ExitWindowsEx, ModifyMenuA

 

( 1 exports )

 

> DllInit, DllInstall

TrID : File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

ssdeep: 768:pNvNFTytTayv30auOvW1sjvle0l/+9z85lI9Q/TovMr8QQw+clftfLI2wNP:pBNFgkYW1Se01+9Q5V/TbQw+QxLI24

Prevx Info: http://info.prevx.com/aboutprogramtext.asp...A8467009266A4BE

PEiD : -

RDS : NSRL Reference Data Set

-

 

 

sinon il semble effectivement que virut soit virulent...

au fait serait il possible qu'il puisse désactiver les fonctions d'une carte réseau???

je vais aller regarder l'adresse que tu m'as envoyé.

à + et merci encore

Posté(e)

Salut :P

 

Virut n'attaque pas les cartes réseau directement, mais une infection parallèle le fait de façon brutale ; on le voit souvent avec les cas de Virut. Juste pour ton info, regarde dans le Gestionnaire de périphériques et tu y verras des périphériques réseau hostiles. Débiles, ces infections...

 

=============

 

Pour ce qui est du fichier analysé, je vais te demander un autre truc :

 

Via l'Explorateur, repère le dossier suivant :

 

C:\Documents and Settings\Maison\Local Settings\Application Data\perfdm32 << le dossier

 

>> fais un clic droit dessus et choisis "Envoyer vers" >> "Dossier compressé"

- Un nouveau fichier .zip sera créé dans le même répertoire ("Application Data"), nommé perfdm32.zip

 

- Va sur le site de Senduit :

http://www.senduit.com/

 

>> Clique le bouton "Parcourir..." et double-clique sur le fichier suivant :

 

C:\Documents and Settings\Maison\Local Settings\Application Data\perfdm32.zip

 

- Modifie l'option "Expire in:" à "1 week" et ensuite clique le bouton "Upload"

- Un lien apparaîtra dans la fenêtre lorsque l'upload sera terminé : envoie-moi ce lien via messagerie perso (voir mon profil), s'il te plaît.

 

Merci et @+

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...