Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Win32:Pythia

Titmarmote

Par Titmarmote
dans Analyses et éradication malwares

 Partager

Messages recommandés

Titmarmote Member

Titmarmote

Posté(e)
  • Auteur
Posté(e) (modifié)

Le scan est terminé à priori sans problèmes mais je ne sais pas où je peux trouver le rapport, si rapport il y a.

 

Et les problèmes persistent :(

 

Ya d'ailleurs une chose étrange, un fichier impossible à supprimer dans :

c:\Documents and settings\Caroline\Local settings\Temp\lohdx.old

Dès qu'il est supprimé, il réapparait aussitôt.

C'est d'ailleurs ce fichier qu'avast me mettait en quarantaine, plusieurs fois par jour, puisqu'une fois en quarantaine, il était recréé...

A quoi ça peut correspondre ?

 

 

Si par hasard, tu as une solution ultime...

Parce que ça me saoule réellement de formater !

 

Merci en tout cas pour ton aide.

Et bon courage pour tes soucis ;)

Modifié par Titmarmote

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Ce qui m'embête le plus, c'est que tu ne sais rien installer et que tu restes sans protection.

 

Passe ce nettoyeur avast! Utilitaire de Désinstallation

 

Télécharge une nouvelle copie d'Antivir et réessaie l'installation. Si échec, donne-moi les messages d'erreur exacts qui sont indiqués quant à cet événement.

 

Rends toi sur ce lien : Virus Total

  • Clique sur le bouton Parcourir...
  • Parcours tes dossiers jusque à ce fichier, si tu le trouves :

  • c:\Documents and settings\Caroline\Local settings\Temp\lohdx.old
     
     

     

 

  • Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  • Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : txtvt.jpg
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

@++

Titmarmote Member

Titmarmote

Posté(e)
  • Auteur
Posté(e)

Bonjour.

 

Toujours impossible d'installer antivir.

Mais je n'ai pas de message d'erreur visible.

La fenêtre s'ouvre et l'extraction des fichiers commence. La barre d'état en bas avance normalement et quand elle arrive à la fin la fenêtre se ferme. C'est tout.

 

J'ai trouvé un journal d'erreurs sur l'aide et support de windows. Est-ce que ça pourrait te donner des infos ?

 

 

Chose étonnante je viens d'essayer d'installer la version d'évaluation de kaspersky internet security et là je n'ai eu aucun problème.

 

 

Pour le fichier vérifié en ligne, voilà le rapport :

 

 

Fichier lohdx.old reçu le 2010.07.28 12:51:18 (UTC)

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2010.07.28.04 2010.07.28 Win-Trojan/Daonol2.Gen

AntiVir 8.2.4.26 2010.07.28 -

Antiy-AVL 2.0.3.7 2010.07.28 -

Authentium 5.2.0.5 2010.07.28 -

Avast 4.8.1351.0 2010.07.28 Win32:Pythia

Avast5 5.0.332.0 2010.07.28 Win32:Pythia

AVG 9.0.0.851 2010.07.28 Generic18.AMDE

BitDefender 7.2 2010.07.28 Gen:Trojan.Heur.UT.bC4@b8LFZXf

CAT-QuickHeal 11.00 2010.07.28 -

ClamAV 0.96.0.3-git 2010.07.28 -

Comodo 5567 2010.07.28 Heur.Packed.Unknown

DrWeb 5.0.2.03300 2010.07.28 -

Emsisoft 5.0.0.34 2010.07.28 -

eSafe 7.0.17.0 2010.07.27 -

eTrust-Vet 36.1.7745 2010.07.28 Win32/Pythia.A!generic

F-Prot 4.6.1.107 2010.07.28 -

F-Secure 9.0.15370.0 2010.07.28 Gen:Trojan.Heur.UT.bC4@b8LFZXf

Fortinet 4.1.143.0 2010.07.28 -

GData 21 2010.07.28 Gen:Trojan.Heur.UT.bC4@b8LFZXf

Ikarus T3.1.1.84.0 2010.07.28 -

Jiangmin 13.0.900 2010.07.28 -

Kaspersky 7.0.0.125 2010.07.28 -

McAfee 5.400.0.1158 2010.07.28 -

McAfee-GW-Edition 2010.1 2010.07.28 Heuristic.LooksLike.Trojan.PSW.Kates.E

Microsoft 1.6004 2010.07.28 -

NOD32 5319 2010.07.28 Win32/Daonol.O

Norman 6.05.11 2010.07.28 W32/Suspicious_Gen2.BQFRI

nProtect 2010-07-28.02 2010.07.28 Trojan/W32.Agent.24064.LD

Panda 10.0.2.7 2010.07.28 Generic Trojan

PCTools 7.0.3.5 2010.07.28 -

Prevx 3.0 2010.07.28 -

Rising 22.58.02.04 2010.07.28 Trojan.Win32.Generic.52206440

Sophos 4.55.0 2010.07.28 -

Sunbelt 6653 2010.07.28 Trojan.Win32.Generic!BT

SUPERAntiSpyware 4.40.0.1006 2010.07.28 -

Symantec 20101.1.1.7 2010.07.28 Suspicious.Pythia

TheHacker 6.5.2.1.326 2010.07.27 -

TrendMicro 9.120.0.1004 2010.07.27 -

TrendMicro-HouseCall 9.120.0.1004 2010.07.28 -

VBA32 3.12.12.6 2010.07.27 -

ViRobot 2010.7.23.3956 2010.07.28 -

VirusBuster 5.0.27.0 2010.07.28 -

Information additionnelle

File size: 24064 bytes

MD5...: e5c4dfc53ac9c6aa6de8ddbd28035512

SHA1..: 2be800064608430190d8a8b69ac75e56c555c657

SHA256: a164c20002293dc97d0d869f38937834158a865a4884d9a186e41f28ce9e981b

ssdeep: 384:d3jsZpyIVClxC8jpHPEc8hcanshP2mZ9d6GiZXPlWZi1PWSBV5EphNxpG:d3<br>gZ8PK8yc8htmwGiHbPR8pP<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x5f0c<br>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>CODE 0x1000 0x4fd4 0x5000 7.98 2a470be539d97148f240f0ec93b112b2<br>DATA 0x6000 0x4 0x200 0.07 1d7d80e8b5ce8c86e7c833467964b6ae<br>BSS 0x7000 0xd 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x8000 0xea 0x200 1.91 02977453bff5b8a9692a86437f6e1b53<br>.edata 0x9000 0x4a 0x200 0.69 d2114c47dd3e359acd14a42e0f908ad8<br>.reloc 0xa000 0x4c 0x200 0.98 791f6b1094d4d6bd08b54717a16cb3d7<br>.rsrc 0xb000 0x10 0x200 0.08 99fd3f40658aa85a948ec35efeeba675<br><br>( 3 imports ) <br>> advapi32.dll: EqualPrefixSid<br>> kernel32.dll: GetConsoleMode, FreeConsole<br>> user32.dll: SetCaretPos, GetWindowLongA<br><br>( 1 exports ) <br>TransSimonial<br>

RDS...: NSRL Reference Data Set<br>-

pdfid.: -

trid..: Win32 Dynamic Link Library (generic) (55.4%)<br>Win16/32 Executable Delphi generic (15.1%)<br>Generic Win/DOS Executable (14.6%)<br>DOS Executable Generic (14.6%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2010.07.28.04 2010.07.28 Win-Trojan/Daonol2.Gen

AntiVir 8.2.4.26 2010.07.28 -

Antiy-AVL 2.0.3.7 2010.07.28 -

Authentium 5.2.0.5 2010.07.28 -

Avast 4.8.1351.0 2010.07.28 Win32:Pythia

Avast5 5.0.332.0 2010.07.28 Win32:Pythia

AVG 9.0.0.851 2010.07.28 Generic18.AMDE

BitDefender 7.2 2010.07.28 Gen:Trojan.Heur.UT.bC4@b8LFZXf

CAT-QuickHeal 11.00 2010.07.28 -

ClamAV 0.96.0.3-git 2010.07.28 -

Comodo 5567 2010.07.28 Heur.Packed.Unknown

DrWeb 5.0.2.03300 2010.07.28 -

Emsisoft 5.0.0.34 2010.07.28 -

eSafe 7.0.17.0 2010.07.27 -

eTrust-Vet 36.1.7745 2010.07.28 Win32/Pythia.A!generic

F-Prot 4.6.1.107 2010.07.28 -

F-Secure 9.0.15370.0 2010.07.28 Gen:Trojan.Heur.UT.bC4@b8LFZXf

Fortinet 4.1.143.0 2010.07.28 -

GData 21 2010.07.28 Gen:Trojan.Heur.UT.bC4@b8LFZXf

Ikarus T3.1.1.84.0 2010.07.28 -

Jiangmin 13.0.900 2010.07.28 -

Kaspersky 7.0.0.125 2010.07.28 -

McAfee 5.400.0.1158 2010.07.28 -

McAfee-GW-Edition 2010.1 2010.07.28 Heuristic.LooksLike.Trojan.PSW.Kates.E

Microsoft 1.6004 2010.07.28 -

NOD32 5319 2010.07.28 Win32/Daonol.O

Norman 6.05.11 2010.07.28 W32/Suspicious_Gen2.BQFRI

nProtect 2010-07-28.02 2010.07.28 Trojan/W32.Agent.24064.LD

Panda 10.0.2.7 2010.07.28 Generic Trojan

PCTools 7.0.3.5 2010.07.28 -

Prevx 3.0 2010.07.28 -

Rising 22.58.02.04 2010.07.28 Trojan.Win32.Generic.52206440

Sophos 4.55.0 2010.07.28 -

Sunbelt 6653 2010.07.28 Trojan.Win32.Generic!BT

SUPERAntiSpyware 4.40.0.1006 2010.07.28 -

Symantec 20101.1.1.7 2010.07.28 Suspicious.Pythia

TheHacker 6.5.2.1.326 2010.07.27 -

TrendMicro 9.120.0.1004 2010.07.27 -

TrendMicro-HouseCall 9.120.0.1004 2010.07.28 -

VBA32 3.12.12.6 2010.07.27 -

ViRobot 2010.7.23.3956 2010.07.28 -

VirusBuster 5.0.27.0 2010.07.28 -

 

Information additionnelle

File size: 24064 bytes

MD5...: e5c4dfc53ac9c6aa6de8ddbd28035512

SHA1..: 2be800064608430190d8a8b69ac75e56c555c657

SHA256: a164c20002293dc97d0d869f38937834158a865a4884d9a186e41f28ce9e981b

ssdeep: 384:d3jsZpyIVClxC8jpHPEc8hcanshP2mZ9d6GiZXPlWZi1PWSBV5EphNxpG:d3<br>gZ8PK8yc8htmwGiHbPR8pP<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x5f0c<br>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>CODE 0x1000 0x4fd4 0x5000 7.98 2a470be539d97148f240f0ec93b112b2<br>DATA 0x6000 0x4 0x200 0.07 1d7d80e8b5ce8c86e7c833467964b6ae<br>BSS 0x7000 0xd 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x8000 0xea 0x200 1.91 02977453bff5b8a9692a86437f6e1b53<br>.edata 0x9000 0x4a 0x200 0.69 d2114c47dd3e359acd14a42e0f908ad8<br>.reloc 0xa000 0x4c 0x200 0.98 791f6b1094d4d6bd08b54717a16cb3d7<br>.rsrc 0xb000 0x10 0x200 0.08 99fd3f40658aa85a948ec35efeeba675<br><br>( 3 imports ) <br>> advapi32.dll: EqualPrefixSid<br>> kernel32.dll: GetConsoleMode, FreeConsole<br>> user32.dll: SetCaretPos, GetWindowLongA<br><br>( 1 exports ) <br>TransSimonial<br>

RDS...: NSRL Reference Data Set<br>-

pdfid.: -

trid..: Win32 Dynamic Link Library (generic) (55.4%)<br>Win16/32 Executable Delphi generic (15.1%)<br>Generic Win/DOS Executable (14.6%)<br>DOS Executable Generic (14.6%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Re ;)

 

Je pensais à te faire essayer d'autres antivirus en cas de problème uniquement avec Antivir, tu as pris une excellente initiative en installant KIS. Il va falloir t'en servir pour faire une analyse complète après mise à jour mais avant ça:

 

NB: si Kaspersky rouspète, donne l'autorisation totale à OTM.

 

Télécharge systemsr4.pngOTM de OldTimer sur ton Bureau en cliquant sur ce lien:

 

OTM

 

Ou ici: http://ottools.noahdfear.net/OTM.exe

 

  • Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
     
    ---> sous VISTA/7: clic droit: exécuter en temps qu'administrateur.
     
  • Copie l'entièreté du code ci-dessous.
    Go

:Files
c:\Documents and settings\Caroline\Local settings\Temp\lohdx.old


:Services

:Reg

:Commands

[purity]
[emptytemp]
[start explorer]


     

  • Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
    "Paste Instructions for Items to be Moved" img-025804xb055.png
     
  • Clique sur le bouton Moveit! pour lancer le nettoyage: img-025919bxiq4.png
     
  • Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results img-030027q93ue.png
    --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  • Ferme OTM en cliquant sur Exit: img-030110c5gvf.png

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

*** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

 

@++

Modifié par Apollo
Titmarmote Member

Titmarmote

Posté(e)
  • Auteur
Posté(e)

Voilà le rapport

 

All processes killed

Error: Unable to interpret <Go > in the current context!

Error: Unable to interpret < > in the current context!

========== FILES ==========

c:\Documents and settings\Caroline\Local settings\Temp\lohdx.old moved successfully.

========== SERVICES/DRIVERS ==========

========== REGISTRY ==========

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Caroline

->Temp folder emptied: 31290461 bytes

->Temporary Internet Files folder emptied: 11416174 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 42230594 bytes

->Google Chrome cache emptied: 557424 bytes

->Flash cache emptied: 890 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2134506 bytes

%systemroot%\System32 .tmp files removed: 3072 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 107615 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 39756091 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 122,00 mb

 

 

OTM by OldTimer - Version 3.1.15.0 log created on 07282010_162509

 

Files moved on Reboot...

File C:\Documents and Settings\Caroline\Local Settings\Temp\fla1C.tmp not found!

C:\Documents and Settings\Caroline\Local Settings\Temporary Internet Files\Content.IE5\9D10Q114\AP_CPL_728x90[1].htm moved successfully.

C:\Documents and Settings\Caroline\Local Settings\Temporary Internet Files\Content.IE5\6PTTT10T\afr[1].htm moved successfully.

C:\Documents and Settings\Caroline\Local Settings\Temporary Internet Files\Content.IE5\6PTTT10T\AP_ADV_728x90[1].htm moved successfully.

C:\Documents and Settings\Caroline\Local Settings\Temporary Internet Files\Content.IE5\6PTTT10T\ban_home_728x90[1].htm moved successfully.

C:\Documents and Settings\Caroline\Local Settings\Temporary Internet Files\Content.IE5\6PTTT10T\img[1].htm moved successfully.

C:\Documents and Settings\Caroline\Local Settings\Temporary Internet Files\Content.IE5\6PTTT10T\povh[1].htm moved successfully.

C:\Documents and Settings\Caroline\Local Settings\Temporary Internet Files\Content.IE5\6PTTT10T\win32pythia-t178240[1].htm moved successfully.

C:\Documents and Settings\Caroline\Local Settings\Temporary Internet Files\Content.IE5\0XGKBFCH\img[1].txt moved successfully.

C:\Documents and Settings\Caroline\Local Settings\Temporary Internet Files\Content.IE5\0XGKBFCH\rectangle_300x250[1].htm moved successfully.

C:\Documents and Settings\Caroline\Local Settings\Temporary Internet Files\Content.IE5\0IVVBODR\ads[1].txt moved successfully.

C:\Documents and Settings\Caroline\Local Settings\Temporary Internet Files\Content.IE5\0IVVBODR\afr[1].php moved successfully.

C:\Documents and Settings\Caroline\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

File C:\WINDOWS\temp\kls6967.tmp not found!

 

Registry entries deleted on Reboot...

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bon,

 

Si tu dois lancer une analyse complète avec Kasper, vaut mieux virer les outils sinon l'antivirus va gueuler lol.

 

On réinstallera l'un ou l'autre si nécessaire.

 

Télécharge OTC d'Old Timer :

http://oldtimer.geekstogo.com/OTC.exe

Double clique dessus, puis clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux.

 

@ + tard ;)

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bah je comprends pas; d'après virus total, ce troyen est archi-connu, et normalement, ComboFix doit l'avoir sans problème.

 

Le hic, c'est le fait que CF ne se lance pas sur ta machine...

As-tu des émulateurs où autres bidules genre alcoohol, deamon tool etc.?

 

On verra bien le résultat d'Eugène et au besoin retenter ComboFix en le renommant autrement (prendre une nouvelle copie). On n'en est pas là.

 

@++

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Ouvre le gestionnaire des tâches (clic droit sur l'horloge/gestionnaire des tâches) et regarde si tu aprçois un processus nommé: Suspicious.Pythia si oui, termine le processus.

 

Fais ensuite démarrer/exécuter/regedit et cherche si ti trouves cette clé: “HKEY_LOCAL_MACHINE\Software\Suspicious.Pythia.”

 

Si oui, tu fais un clic droit sur "suspicious.pythia" et tu supprimes. Ferme l'éditeur de registre.

 

Regarde ensuite dans %PROGRAM_FILES%\Suspicious.Pythia\Suspicious.Pythia.exe et si tu le trouves, supprime le répertoire que j'indique en gras.

 

Si ça cale quelques part on utilisera OTM mais je dois savoir si ce processus, cette sous-clé de registre et ce repertoire sont présents...

 

Belle saloperie en tous cas. ;)

 

@++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...