WORM/autorun.bzty

[pear]

Débranchez la clé usb fautive.au besoin, vous devrez peut-être la formater.

Relancez Usbfix.

[ray23]

Usbfix fait le scan (en mode réparer) mais ne redémarre pas.

[ray23]

Au redémarrage, AVIRA trouve toujours les 2 fichiers infectés par le même ver.

[pear]

Bonsoir,

 

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

La console de Récupération

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[ray23]

Bonsoir,

Je rentre du travail et j'ai appliqué combofix. Tout semble etre rentré dans l'ordre.

Quand je vais chercher le rapport combofix dans C:, AVIRA me dit : "C:\Autorun.inf" a été bloqué."

 

Je n'ose pas remettre ma clé que je pense infectée. Mais comment faire pour la formater alors?

MERCI POUR VOTRE PRECIEUSE AIDE.

Puis-je supprimer tous les logiciels? Puis-je rétablir l'autorun?

 

Voici le rapport combofix:

 

ComboFix 11-01-31.02 - CPC EPS 03/02/2011 18:07:41.1.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1976.1575 [GMT 1:00]

Lancé depuis: c:\documents and settings\CPC EPS\Bureau\ComboFix.exe

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\CPC EPS\Application Data\bowcav.exe

c:\documents and settings\CPC EPS\mss.exe

C:\Install.exe

c:\windows\ggdrive32.exe

c:\windows\system32\02.exe

 

c:\windows\regedit.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-01-03 au 2011-02-03 ))))))))))))))))))))))))))))))))))))

.

 

2011-02-02 11:03 . 2011-02-02 19:20 -------- d-----w- C:\UsbFix

2011-02-01 20:14 . 2011-02-03 15:30 131072 ----a-w- C:\xdx.exe

2011-01-27 20:29 . 2011-01-27 20:31 -------- d-----w- C:\01e38dde97ae52e84e1e

2011-01-23 09:44 . 2011-01-23 09:44 -------- d-----w- C:\4bd8c7e8affd1942a93399fa

2011-01-22 21:30 . 2011-01-22 21:37 -------- d-----w- C:\e9948b45290c424639ff

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-01-21 13:13 . 2008-06-07 16:12 219648 ----a-w- c:\windows\system32\uxtheme.dll

2010-11-09 14:52 . 2008-04-14 14:00 249856 ----a-w- c:\windows\system32\odbc32.dll

2010-11-06 00:21 . 2008-04-23 04:16 916480 ----a-w- c:\windows\system32\wininet.dll

2010-11-06 00:21 . 2008-06-07 16:12 43520 ------w- c:\windows\system32\licmgr10.dll

2010-11-06 00:21 . 2008-04-23 04:16 1469440 ------w- c:\windows\system32\inetcpl.cpl

.

 

------- Sigcheck -------

 

[-] 2008-04-14 . 3EFE912DD25D2586E6A0341DB0A66F69 . 979968 . . [6.00.2900.5512] . . c:\windows\explorer.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 630784]

"\\RAYMS\EPSON Stylus SX400 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE" [2007-12-17 188928]

"Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3\AWC.exe" [2010-12-16 2403536]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-04-04 1044480]

"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-14 177456]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-05 150040]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-05 170520]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-05 141848]

"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2008-05-14 61440]

"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-11-30 74752]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2011-01-28 149280]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2009-03-08 128512]

 

c:\documents and settings\CPC EPS\Menu D‚marrer\Programmes\D‚marrage\

RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]

TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]

UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]

Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-5-12 576104]

InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2011-1-21 114688]

podXP.lnk - c:\program files\podXP\podXP.exe [2006-3-11 503808]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

"NoNetworkConnections"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoSMMyPictures"= 0 (0x0)

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Research In Motion\\BlackBerry Desktop\\Rim.Desktop.exe"=

 

R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [21/01/2011 11:22 24064]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [21/01/2011 14:21 135336]

R3 e1yexpress;Intel® Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [21/01/2011 13:08 244368]

R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [21/01/2011 13:03 36608]

R3 rismc32;RICOH Smart Card Reader;c:\windows\system32\drivers\rismc32.sys [21/01/2011 13:52 47616]

S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [21/01/2011 13:52 193840]

.

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

FF - ProfilePath - c:\documents and settings\CPC EPS\Application Data\Mozilla\Firefox\Profiles\f76m8s7b.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.nba.com

FF - prefs.js: network.proxy.type - 2

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff

FF - user.js: browser.cache.memory.capacity - 65536

FF - user.js: browser.chrome.favicons - false

FF - user.js: browser.display.show_image_placeholders - true

FF - user.js: browser.turbo.enabled - true

FF - user.js: browser.urlbar.autocomplete.enabled - true

FF - user.js: browser.urlbar.autofill - true

FF - user.js: content.interrupt.parsing - true

FF - user.js: content.max.tokenizing.time - 2250000

FF - user.js: content.notify.backoffcount - 5

FF - user.js: content.notify.interval - 750000

FF - user.js: content.notify.ontimer - true

FF - user.js: content.switch.threshold - 750000

FF - user.js: network.http.max-connections - 48

FF - user.js: network.http.max-connections-per-server - 16

FF - user.js: network.http.max-persistent-connections-per-proxy - 16

FF - user.js: network.http.max-persistent-connections-per-server - 8

FF - user.js: network.http.pipelining - true

FF - user.js: network.http.pipelining.firstrequest - true

FF - user.js: network.http.pipelining.maxrequests - 8

FF - user.js: network.http.proxy.pipelining - true

FF - user.js: network.http.request.max-start-delay - 0

FF - user.js: nglayout.initialpaint.delay - 0

FF - user.js: plugin.expose_full_path - true

FF - user.js: ui.submenuDelay - 0

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-02-03 18:11

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe???????????????????????|?M?|?????M?|??@

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(904)

c:\windows\system32\antiwpa.dll

.

Heure de fin: 2011-02-03 18:12:53

ComboFix-quarantined-files.txt 2011-02-03 17:12

 

Avant-CF: 27 570 696 192 octets libres

Après-CF: 27 536 801 792 octets libres

 

- - End Of File - - 9CE1744E799D48A7C8A8280726617426

[pear]

Bonsoir,

 

Télécharger WinReplace de Loup Blanc

Si vous utilisez Spybot

Désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot->Options Avancées :- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

L'antivirus doit être désactivé.

Pour éviter qu'il se relance au redémarrage, décochez le dans Msconfig->Démarrage

 

Fermez tous les programmes et double-cliquez sur l'icône WinFileReplace

Dans le menu qui apparaît , choisissez la langue du programme. soit F puis Entrée pour mettre le programme en Français.

 

Le programme se lance et vérifie votre version de Windows.

Le bloc-note s'ouvre et vous devez indiquer le ou les fichiers à restaurer,sous forme de liste..

 

regedit.exe

lsass.exe

winlogon.exe

 

explorer.exe

 

Fermez le bloc-note et enregistrez les changements.

 

Le service pack correspondant à votre système va être alors téléchargé.

Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).

 

Vous devez ensuite accepter le contrat d'utilisateur de Microsoft

 

Confirmez la restauration du fichier en appuyant sur la touche o et Entrée

 

Une fois le remplacement effectué, vous devrezRedémarrer l'ordinateur en appuyant sur la touche o puis Entrée.

Au redémarrage, un rapport s'ouvre qui vérifie et vous indique si la restauration a réussi.

copier/coller ce rapport.

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

C:\xdx.exe

C:\01e38dde97ae52e84e1e

C:\4bd8c7e8affd1942a93399fa

C:\e9948b45290c424639ff

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

Modifié le 3 février 2011 par pear

[ray23]

Bonsoir,

Je crois que le remplacement n'a pas marché car on m'a demandé d'insérer le cd windows XP pack 3 que je n'ai pas.

Voici le rapport. Merci pour tout.

 

 

WinFileReplace - ver : 1.1.0 - by Loup blanc

 

---------------------------

Microsoft Windows XP

Service Pack 3

Fran‡ais

---------------------------

Contrôle du fichier téléchargé :

MD5 recherchée : a9a9a86e7330bffaf64ae2acfb73d959

sp3.000 MD5 : a9a9a86e7330bffaf64ae2acfb73d959

et

---------------------------

 

============ Comparaison des fichiers avant remplacement ============

 

---------

"C:\WinFileReplace\lsass.exe" MD5 : a9a9a86e7330bffaf64ae2acfb73d959

"C:\FR-files\lsass.exe" MD5 : 91e6024d6d4dcdecdb36c43ecf9bbecb

Commande ECHO d‚sactiv‚e.

Commande ECHO d‚sactiv‚e.

sont différents...

-----------

 

"C:\WinFileReplace\winlogon.exe" MD5 : 91e6024d6d4dcdecdb36c43ecf9bbecb

"C:\FR-files\winlogon.exe" MD5 : dd73d6b9f6b4cb630cf35b438b540174

Commande ECHO d‚sactiv‚e.

Commande ECHO d‚sactiv‚e.

sont différents...

-----------

 

"C:\WinFileReplace\explorer.exe" MD5 : dd73d6b9f6b4cb630cf35b438b540174

"C:\FR-files\explorer.exe" MD5 : f2317622d29f9ff0f88aeecd5f60f0dd

Commande ECHO d‚sactiv‚e.

Commande ECHO d‚sactiv‚e.

sont différents...

-----------

 

 

============ Comparaison des fichiers après remplacement ============

 

-----------

Les fichiers

et

"C:\FR-files\lsass.exe" MD5 = 91e6024d6d4dcdecdb36c43ecf9bbecb

sont différents...

 

Echec du remplacement

-----------

 

Les fichiers

et

"C:\FR-files\winlogon.exe" MD5 = dd73d6b9f6b4cb630cf35b438b540174

sont différents...

 

Echec du remplacement

-----------

 

Les fichiers

et

"C:\FR-files\explorer.exe" MD5 = f2317622d29f9ff0f88aeecd5f60f0dd

sont différents...

 

Echec du remplacement

-----------

 

======= Fin du rapport =======

Modifié le 4 février 2011 par ray23

[pear]

Avant de poursuivre, j'attends le rapport Virus Total.

[ray23]

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 4 VT Community user(s) with a total of 1075 reputation credit(s) say(s) this sample is malware.

File name:

xdx.exe

Submission date:

2011-02-05 11:24:50 (UTC)

Current status:

queued queued analysing finished

Result:

25/ 43 (58.1%)

 

VT Community

 

malware

Safety score: 0.0%

Compact

Print results

Antivirus Version Last Update Result

AhnLab-V3 2011.01.27.01 2011.01.27 Trojan/Win32.Llac

AntiVir 7.11.2.80 2011.02.04 TR/Agent.131072.BQ

Antiy-AVL 2.0.3.7 2011.01.28 -

Avast 4.8.1351.0 2011.02.05 Win32:Trojan-gen

Avast5 5.0.677.0 2011.02.05 Win32:Trojan-gen

AVG 10.0.0.1190 2011.02.05 Generic20.CLBC

BitDefender 7.2 2011.02.05 Trojan.Generic.KD.123076

CAT-QuickHeal 11.00 2011.02.04 -

ClamAV 0.96.4.0 2011.02.05 -

Commtouch 5.2.11.5 2011.02.05 -

Comodo 7595 2011.02.04 Heur.Suspicious

DrWeb 5.0.2.03300 2011.02.05 Win32.HLLW.Autoruner.45048

Emsisoft 5.1.0.2 2011.02.05 Trojan.Win32.Llac!IK

eSafe 7.0.17.0 2011.02.03 -

eTrust-Vet 36.1.8141 2011.02.04 -

F-Prot 4.6.2.117 2011.02.04 -

F-Secure 9.0.16160.0 2011.02.05 Trojan.Generic.KD.123076

Fortinet 4.2.254.0 2011.02.05 -

GData 21 2011.02.05 Trojan.Generic.KD.123076

Ikarus T3.1.1.97.0 2011.02.05 Trojan.Win32.Llac

Jiangmin 13.0.900 2011.02.05 Worm/Bybz.my

K7AntiVirus 9.81.3752 2011.02.05 -

Kaspersky 7.0.0.125 2011.02.05 Trojan.Win32.Llac.pmc

McAfee 5.400.0.1158 2011.02.05 -

McAfee-GW-Edition 2010.1C 2011.02.05 -

Microsoft 1.6502 2011.02.05 Trojan:Win32/Ircbrute

NOD32 5847 2011.02.04 Win32/AutoRun.KS

Norman 6.07.03 2011.02.05 W32/Injector.ZW

nProtect 2011-01-27.01 2011.02.02 -

Panda 10.0.3.5 2011.02.05 -

PCTools 7.0.3.5 2011.02.05 -

Prevx 3.0 2011.02.05 Medium Risk Malware

Rising 23.43.05.01 2011.02.05 Trojan.Win32.Generic.12777DB3

Sophos 4.61.0 2011.02.05 Troj/Agent-QGS

SUPERAntiSpyware 4.40.0.1006 2011.02.05 -

Symantec 20101.3.0.103 2011.02.05 -

TheHacker 6.7.0.1.124 2011.02.04 -

TrendMicro 9.200.0.1012 2011.02.05 TROJ_LLAC.BG

TrendMicro-HouseCall 9.200.0.1012 2011.02.05 TROJ_LLAC.BG

VBA32 3.12.14.3 2011.02.04 -

VIPRE 8314 2011.02.05 Trojan.Win32.Generic!BT

ViRobot 2011.2.5.4294 2011.02.05 Trojan.Win32.Llac.122880

VirusBuster 13.6.182.0 2011.02.04 Trojan.Llac!zUE+5mKNb9o

Additional information

Show all

MD5 : aafd0521eeb4483a4a08fb8694e62f96

SHA1 : 582d72cb1b25b74eb754dcb914fb3316f175a6f2

SHA256: eef293136caeedb0a3d64601c4a49e100d7a845a372a1e7375d334291299daab

ssdeep: 1536:fVwI4+zMW1oxTji7fL/kM7akJRtwCVrQsVtvMycN4kUjbF:uItfakztwCx5tvMrN4kKbF

File size : 131072 bytes

First seen: 2011-02-03 03:35:26

Last seen : 2011-02-05 11:24:50

TrID:

Win64 Executable Generic (59.6%)

Win32 Executable MS Visual C++ (generic) (26.2%)

Win32 Executable Generic (5.9%)

Win32 Dynamic Link Library (generic) (5.2%)

Generic Win/DOS Executable (1.3%)

sigcheck:

publisher....: n/a

copyright....: Copyright © 2011

product......: Crypted Application

description..: Crypted Application

original name: Crypted.exe

internal name: Crypted

file version.: 1,0,0,0

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

PEInfo: PE structure information

 

[[ basic data ]]

entrypointaddress: 0x3F2F

timedatestamp....: 0x4D4A0DC1 (Thu Feb 03 02:06:57 2011)

machinetype......: 0x14c (I386)

 

[[ 5 section(s) ]]

name, viradd, virsiz, rawdsiz, ntropy, md5

.text, 0x1000, 0xABD8, 0xB000, 6.49, 385c5789ada807539cc24c6cb066e1c4

.rdata, 0xC000, 0x270E, 0x3000, 4.78, c913022df37bb937df34ae6a455f3dd8

.data, 0xF000, 0x3970, 0x2000, 1.57, 06a67a29c124ee965dd77806c775c33c

.rsrc, 0x13000, 0xC0F8, 0xD000, 6.84, dc8ced57c2d9ab19a7db29a0918071f8

.reloc, 0x20000, 0x1632, 0x2000, 3.01, a1a7e0833af611e1a9c95ab7a9cddde3

 

[[ 1 import(s) ]]

KERNEL32.dll: GetThreadContext, GetCurrentThread, GetModuleHandleA, GetProcAddress, LoadLibraryA, GetCommandLineA, GlobalFree, GlobalAlloc, WaitForSingleObject, CreateThread, GetLastError, HeapFree, HeapAlloc, GetVersionExA, GetProcessHeap, GetStartupInfoA, RaiseException, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, EnterCriticalSection, LeaveCriticalSection, HeapDestroy, HeapCreate, VirtualFree, DeleteCriticalSection, VirtualAlloc, HeapReAlloc, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, Sleep, HeapSize, SetFilePointer, GetConsoleCP, GetConsoleMode, GetCPInfo, GetACP, GetOEMCP, RtlUnwind, InitializeCriticalSection, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, FlushFileBuffers, CreateFileA, CloseHandle

Prevx Info:

http://info.prevx.com/aboutprogramtext.asp?PX5=28CABD03003B10F8007B0262189B030083505CEA

ExifTool:

file metadata

CharacterSet: Unicode

CodeSize: 45056

EntryPoint: 0x3f2f

FileDescription: Crypted Application

FileFlagsMask: 0x0017

FileOS: Win32

FileSize: 128 kB

FileSubtype: 0

FileType: Win32 EXE

FileVersion: 1,0,0,0

FileVersionNumber: 1.0.0.0

ImageVersion: 0.0

InitializedDataSize: 81920

InternalName: Crypted

LanguageCode: English (U.S.)

LegalCopyright: Copyright © 2011

LinkerVersion: 8.0

MIMEType: application/octet-stream

MachineType: Intel 386 or later, and compatibles

OSVersion: 4.0

ObjectFileType: Executable application

OriginalFilename: Crypted.exe

PEType: PE32

ProductName: Crypted Application

ProductVersion: 1.0.0.0

ProductVersionNumber: 1.0.0.0

Subsystem: Windows GUI

SubsystemVersion: 4.0

TimeStamp: 2011:02:03 03:06:57+01:00

UninitializedDataSize: 0

Symantec reputation:Suspicious.Insight

Modifié le 5 février 2011 par ray23

[ray23]

Bonjour,

Ces 3 là sont des dossiers

C:\01e38dde97ae52e84e1e

C:\4bd8c7e8affd1942a93399fa

C:\e9948b45290c424639ff

 

Je n'arrive pas à les analyser avec virus total.