Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Analyse rapport HJT

vincent_57

Par vincent_57
dans Analyses et éradication malwares

 Partager

Messages recommandés

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonsoir,

 

Désolé mais j'ai aussi une vie à côté de mon pc, j'espère que tu peux comprendre cela.

 

Je dois revoir certaines choses car ton sujet n'est pas simple; tu reviens chaque fois avec de nouvelles infections et à ce train-là on ne sortira jamais de l'auberge...

 

Je reviens dès que j'ai consulté certaines données.

 

@++

vincent_57 Member

vincent_57

Posté(e)
  • Auteur
Posté(e)

t'inquiete apollo, j'ai aussi une vie a coté.

 

Mais il ne s'agit pas de mon pc que j'essaye de "soigner" donc j'orais aimer avoir fini assez rapidement.

 

Je penser avoir affaire a une simple infection, mais rien que mon premier log HJT ma fait decouvrir une vrai ferme a virus, c'est aussi pour cela que j'ai preferé venir ici, avan de totu casser (j'ai des connaissance, mais limité...)

 

J'atten ta reponse avec impatience,

 

A+

Vincent.

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Eh oui, il est plus rapide d'infecter une machine que de la nettoyer... c'est toujours comme ça.

 

Re,

 

Ouvre MBAM et va dans Quarantaine.

 

Tu vas voir une liste des fichiers mis en quarantaine

 

Repère ces fichiers:

 

C:\Program Files\Samsung\Samsung PC Studio 3\util\SMSMoveD500.exe

C:\Program Files\Samsung\Samsung PC Studio 3\util\SMSMoveX800.exe

C:\Program Files\Samsung\Samsung PC Studio 3\util\SMSMoveZ510.exe

 

Clique une fois sur chaque fichier puis clique sur Restaurer, cela les remettra en place; ce sont de faux-positifs.

 

------------------------

Rends toi sur ce lien : Virus Total

  • Clique sur le bouton Parcourir...
  • Parcours tes dossiers jusque à ce fichier, si tu le trouves :

  • c:\windows\system32\ncxpnt32.dll

  • Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  • Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : txtvt.jpg
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

@++

 

PS, mets MBAM bien à jour on va encore en avoir besoin...

 

++

vincent_57 Member

vincent_57

Posté(e)
  • Auteur
Posté(e) (modifié)

voici le log de Virustotal.com

 

Par contre comme dit avant, MBAM ne contien pas les fichiers cirtés plus hauts.

 

PS: quant je veut mettre MBAM a jour, je recois un message d'erreur :

 

Error code : 732(0,0)

 

 

Fichier ncxpnt32.dll reçu le 2009.11.05 20:14:50 (UTC)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.41 2009.11.05 P2P-Worm.Win32.Nugg!IK

AhnLab-V3 5.0.0.2 2009.11.05 -

AntiVir 7.9.1.59 2009.11.05 -

Antiy-AVL 2.0.3.7 2009.11.05 -

Authentium 5.2.0.5 2009.11.05 -

Avast 4.8.1351.0 2009.11.05 -

AVG 8.5.0.423 2009.11.05 Packed.DelfCrypt

BitDefender 7.2 2009.11.05 -

CAT-QuickHeal 10.00 2009.11.05 -

ClamAV 0.94.1 2009.11.05 -

Comodo 2852 2009.11.05 -

DrWeb 5.0.0.12182 2009.11.05 -

eSafe 7.0.17.0 2009.11.05 Suspicious File

eTrust-Vet 35.1.7105 2009.11.05 -

F-Prot 4.5.1.85 2009.11.05 -

F-Secure 9.0.15370.0 2009.11.04 -

Fortinet 3.120.0.0 2009.11.05 -

GData 19 2009.11.05 -

Ikarus T3.1.1.74.0 2009.11.05 P2P-Worm.Win32.Nugg

Jiangmin 11.0.800 2009.11.05 -

K7AntiVirus 7.10.889 2009.11.05 -

Kaspersky 7.0.0.125 2009.11.05 -

McAfee 5793 2009.11.05 -

McAfee+Artemis 5793 2009.11.05 -

McAfee-GW-Edition 6.8.5 2009.11.05 -

Microsoft 1.5202 2009.11.05 -

NOD32 4576 2009.11.05 a variant of Win32/Kryptik.AVM

Norman 6.03.02 2009.11.05 W32/Smalltroj.UBYM

nProtect 2009.1.8.0 2009.11.05 -

Panda 10.0.2.2 2009.11.05 Trj/CI.A

PCTools 7.0.3.5 2009.11.05 -

Prevx 3.0 2009.11.05 High Risk Cloaked Malware

Rising 21.54.34.00 2009.11.05 -

Sophos 4.47.0 2009.11.05 -

Sunbelt 3.2.1858.2 2009.11.05 -

Symantec 1.4.4.12 2009.11.05 -

TheHacker 6.5.0.2.061 2009.11.05 -

TrendMicro 9.0.0.1003 2009.11.05 -

VBA32 3.12.10.11 2009.11.04 -

ViRobot 2009.11.5.2023 2009.11.05 -

VirusBuster 4.6.5.0 2009.11.05 -

Information additionnelle

File size: 121344 bytes

MD5...: 3f5afaaf22018a9bfd40df3253aa623d

SHA1..: 9a6820d8c06e8ec70c6605f7794634a8a88cd5e4

SHA256: 60e2c1a6abca401c81dd80d9666f1f6a94aec801d282bc85c36c834c382c7e1b

ssdeep: 1536:A/aDhwCH14G3ME7fHRUqf1vabRWMVgHevJmdoU8BlyM5zZac9NtalF78Gp:<br>vWe4GDfxUghrwQdoUy/zZ7bAF78G<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1bb0b<br>timedatestamp.....: 0x48c8e837 (Thu Sep 11 09:43:19 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>CODE 0x1000 0x1aba1 0x1ac00 7.97 3464d7e95d50594b2f6ebfecdb4a3c1d<br>DATA 0x1c000 0x3e07 0x600 3.90 d90731a360e4eb0537717b720ca66e9c<br>BSS 0x20000 0xf3a 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x21000 0x9fc 0xa00 4.72 b0ffe12015bc01590d6d5089038bdb73<br>.reloc 0x22000 0x1993 0x1a00 6.66 c0640c981a73787508c95f14cd3d2060<br><br>( 10 imports ) <br>> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle<br>> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA<br>> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<br>> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen<br>> kernel32.dll: TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc<br>> kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, SetFilePointer, SetEvent, SetEndOfFile, ResetEvent, ReadFile, LeaveCriticalSection, InitializeCriticalSection, GetVersionExA, GetThreadLocale, GetStringTypeExA, GetStdHandle, GetProcAddress, GetOEMCP, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCPInfo, GetACP, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CompareStringA, CloseHandle<br>> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA<br>> kernel32.dll: Sleep<br>> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit<br>> dsound.dll: DirectSoundCreate<br><br>( 0 exports ) <br>

RDS...: NSRL Reference Data Set<br>-

pdfid.: -

trid..: Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=38F6392100FA373BDA7D01914E719A0011F8313C''>http://info.prevx.com/aboutprogramtext.asp?PX5=38F6392100FA373BDA7D01914E719A0011F8313C' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=38F6392100FA373BDA7D01914E719A0011F8313C</a>'>http://info.prevx.com/aboutprogramtext.asp?PX5=38F6392100FA373BDA7D01914E719A0011F8313C</a>

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.41 2009.11.05 P2P-Worm.Win32.Nugg!IK

AhnLab-V3 5.0.0.2 2009.11.05 -

AntiVir 7.9.1.59 2009.11.05 -

Antiy-AVL 2.0.3.7 2009.11.05 -

Authentium 5.2.0.5 2009.11.05 -

Avast 4.8.1351.0 2009.11.05 -

AVG 8.5.0.423 2009.11.05 Packed.DelfCrypt

BitDefender 7.2 2009.11.05 -

CAT-QuickHeal 10.00 2009.11.05 -

ClamAV 0.94.1 2009.11.05 -

Comodo 2852 2009.11.05 -

DrWeb 5.0.0.12182 2009.11.05 -

eSafe 7.0.17.0 2009.11.05 Suspicious File

eTrust-Vet 35.1.7105 2009.11.05 -

F-Prot 4.5.1.85 2009.11.05 -

F-Secure 9.0.15370.0 2009.11.04 -

Fortinet 3.120.0.0 2009.11.05 -

GData 19 2009.11.05 -

Ikarus T3.1.1.74.0 2009.11.05 P2P-Worm.Win32.Nugg

Jiangmin 11.0.800 2009.11.05 -

K7AntiVirus 7.10.889 2009.11.05 -

Kaspersky 7.0.0.125 2009.11.05 -

McAfee 5793 2009.11.05 -

McAfee+Artemis 5793 2009.11.05 -

McAfee-GW-Edition 6.8.5 2009.11.05 -

Microsoft 1.5202 2009.11.05 -

NOD32 4576 2009.11.05 a variant of Win32/Kryptik.AVM

Norman 6.03.02 2009.11.05 W32/Smalltroj.UBYM

nProtect 2009.1.8.0 2009.11.05 -

Panda 10.0.2.2 2009.11.05 Trj/CI.A

PCTools 7.0.3.5 2009.11.05 -

Prevx 3.0 2009.11.05 High Risk Cloaked Malware

Rising 21.54.34.00 2009.11.05 -

Sophos 4.47.0 2009.11.05 -

Sunbelt 3.2.1858.2 2009.11.05 -

Symantec 1.4.4.12 2009.11.05 -

TheHacker 6.5.0.2.061 2009.11.05 -

TrendMicro 9.0.0.1003 2009.11.05 -

VBA32 3.12.10.11 2009.11.04 -

ViRobot 2009.11.5.2023 2009.11.05 -

VirusBuster 4.6.5.0 2009.11.05 -

 

Information additionnelle

File size: 121344 bytes

MD5...: 3f5afaaf22018a9bfd40df3253aa623d

SHA1..: 9a6820d8c06e8ec70c6605f7794634a8a88cd5e4

SHA256: 60e2c1a6abca401c81dd80d9666f1f6a94aec801d282bc85c36c834c382c7e1b

ssdeep: 1536:A/aDhwCH14G3ME7fHRUqf1vabRWMVgHevJmdoU8BlyM5zZac9NtalF78Gp:<br>vWe4GDfxUghrwQdoUy/zZ7bAF78G<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1bb0b<br>timedatestamp.....: 0x48c8e837 (Thu Sep 11 09:43:19 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>CODE 0x1000 0x1aba1 0x1ac00 7.97 3464d7e95d50594b2f6ebfecdb4a3c1d<br>DATA 0x1c000 0x3e07 0x600 3.90 d90731a360e4eb0537717b720ca66e9c<br>BSS 0x20000 0xf3a 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x21000 0x9fc 0xa00 4.72 b0ffe12015bc01590d6d5089038bdb73<br>.reloc 0x22000 0x1993 0x1a00 6.66 c0640c981a73787508c95f14cd3d2060<br><br>( 10 imports ) <br>> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle<br>> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA<br>> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<br>> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen<br>> kernel32.dll: TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc<br>> kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, SetFilePointer, SetEvent, SetEndOfFile, ResetEvent, ReadFile, LeaveCriticalSection, InitializeCriticalSection, GetVersionExA, GetThreadLocale, GetStringTypeExA, GetStdHandle, GetProcAddress, GetOEMCP, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCPInfo, GetACP, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CompareStringA, CloseHandle<br>> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA<br>> kernel32.dll: Sleep<br>> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit<br>> dsound.dll: DirectSoundCreate<br><br>( 0 exports ) <br>

RDS...: NSRL Reference Data Set<br>-

pdfid.: -

trid..: Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=38F6392100FA373BDA7D01914E719A0011F8313C' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=38F6392100FA373BDA7D01914E719A0011F8313C</a>

Modifié par vincent_57
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Si tu lis bien mes instructions pour MBAM, j'y mets ceci:

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!!

 

Pourquoi? En cas de faux-positifs! On se garde ainsi une chance de rétablir des fichiers injustement mis en quarantaine.

 

Il faudrait alors réinstaller le programme en question...s'ils ont été virés.

 

Il ne faut jamais se précipiter sur les quarantaines d'outils, les fichiers mis dedans ne risquent pas d'en sortir tout seuls...

 

@++

vincent_57 Member

vincent_57

Posté(e)
  • Auteur
Posté(e) (modifié)

je n'est pas vider la quarantaine...promis juré craché....

 

j'avais bien lu ton avertissement. :P

 

Par contre si je parcour mon DD et que je cherche ces fichiers, il son encore la...

Modifié par vincent_57
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Tant mieux alors!

 

Je vais te demander de bien vouloir héberger le fichier qu'on a fait analyser par Virus Total pour pouvoir le remonter aux développeurs d'outils pour de plus amples analyses.

 

c:\windows\system32\ncxpnt32.dll

 

Héberge le fichier sur le site senduit.com:

  • - 1 - Clique sur Parcourir et recherche le fichier sur ton disque dur
  • - 2 - Choisis le temps pendant lequel le fichier sera accessible (1 semaine/week)
  • - 3 - Clique sur Upload
     
    [align=center]001image-191.jpg[/align]
     
  • Lorsque l'upload est terminé, un lien t'est retourné.
    Copie-colle le-moi par message privé et surtout pas ici sur le forum.
     
    [align=center]002image-37.jpg[/align]

 

@++

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Vincent, tu imagines que si j'acceptais les demandes d'aide par mp ou par messenger j'en sortirais plus.

 

Je n'aide Jamais par mp ou messenger.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier.

 

----------------------------------

On va virer les restes de BitDefender:

 

http://kb.bitdefender.com/KB333-fr--Desins...itDefender.html

 

-----------------------------------

Redémarre le pc. Ce sera sûrement demandé.

 

--------------------------------------------

Ce script a été rédigé spécialement pour cet utilisateur; ne pas l'utiliser sur une autre machine: dangereux!

 

1. Ferme tous les navigateurs ouverts.

2. Désactive provisoirement l'antivirus.

 

--> connecte les supports amovibles!

 

2. Ferme/désactive tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

 

3. Ouvre le Bloc-notes et fais un copier/coller du texte situé dans la boîte Code ci-dessous dans le Bloc-notes: (sans le mot code)!

 

File:: 

c:\windows\system32\ncxpnt32.dll


Registry::

 

Enregistre le fichier sous le nom CFScript.txt, au même endroit que ComboFix.exe

 

 

1da6921e7e542c8575546d19b6c6e.gif

 

Comme sur l'image ci-dessus, fais glisser CFScript puis dépose-le sur ComboFix.exe

 

Lorsque l'outil aura terminé, il t'affichera un rapport nommé C:\ComboFix.txt que tu devras m'envoyer dans ton prochain message.

 

@++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...