Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

2 de mes propres progs infectés : faux positifs ?

Arnaud

Par Arnaud
dans Analyses et éradication malwares

 Partager

Messages recommandés

Arnaud Full Patch Member

Arnaud

Posté(e)
Posté(e)

Bonjour.

 

J'ai voulu tester Pandan ActiveCsan et voici le résultat :

 

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

 

00818975 Trj/Nabload.DMH Virus/Trojan No 0 Yes No c:\program files\vergnes\prog\lanceur tc.exe

00818975 Trj/Nabload.DMH Virus/Trojan No 0 Yes No c:\program files\vergnes\prog\lanceur google.exe

 

 

Ces deux progs viennent d'être recompilés à l'instant même, mais ActiveSan persiste.

 

Et voici ce qu'en dite Total Virus pour Lanceur TC.EXE :

 

AhnLab-V3 2011.01.

27.01 2011.01.27 Win-Trojan/Dadobra.392704

Emsisoft 5.1.0.2 2011.02.02 Trojan-Spy.Win32.Goldun!IK

Ikarus T3.1.1.97.0 2011.02.02 Trojan-Spy.Win32.Goldun

Jiangmin 13.0.900 2011.02.01 Trojan/CD_open.ad

McAfee-GW-Edition 2010.1C 2011.02.02 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Backdoor.I

 

 

Pour TRend, pour BitDefender et Antivir, rien.

 

MBAM : rien.

 

Qu'est-ce que ça veut dire ?

 

Merci.

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Il est possible que vous utilisiez dans vos programmes des outils considérés comme malicieux .

Cela se produit souvent lors du lancement d'outils de désinfection détectés malveillants par l'antivirus(c'est pourquoi on préconise de le désactiver)

 

Dans votre cas, goldun est détecté. C'est un Haxdor.

Faute de connaitre ce que contiennent vos outils, je vous propose un peu de lecture qui , peut-être, vous permettra de vous faire une idée.

 

Variantes Haxfix:

Haxfix1

Haxfix2

Téléchargez haxfix.exe.

Enregistrez-le sur votre bureau.

Fermez toutes les fenêtres et tous les programmes ouverts.

Doublez-cliquez sur haxfix.exe pour lancer le programme.

Une fenêtre dos rouge va alors s'ouvrir avec le menu suivant

1. Make logfile

E. Exit Haxfix

 

Option 1: Make logfile.

Choisissez l'option 1: Créez un log en appuyant sur 1/

Cela peut parfois durer longtemps.

Lors de l'utilisation de l'option 1 (création du log),

en cours de balayage, il y a ouverture puis fermeture d'une fenêtre à fond noir "catchme"

Ne fermez pas cette fenêtre.

lorsque le balayage sera terminé, utiliser l'option E (Exit) pour fermer HaxFix.

Un rapport s'ouvre (haxlog.txt)s'ouvrira qui montre tout ce qui peut révéler la présence d'une variante de Haxdoor.

 

L'examen met en évidence

- le fichier ps.a3d (le seul fichier non caché par le rootkit chez toutes les variantes)

- notify subkeys comme ****16, ****32, ****xt, ****tt

- services comme ****16, ****24, ****32, ****64, ****xt, ****xm, ****tt, ****mm,..

- safeboot services comme ****16.sys, ****24.sys, ****32.sys, ****64.sys, ****xt.sys, ****xm.sys, ****tt.sys, ****mm.sys,...

Il faut avoir vérifié ce rapport pour établir un diagnostic correct, et déterminer si une ou plusieurs variantes de haxdoor sont présentes.

 

2)Haxfix_Nettoyage

Relancer Haxfix à nouveau en cliquant sur son icône.

Vous obtenez un menu avec les options suivantes:

1. Make logfile

2. Run auto fix

3. Run manual fix

4. Run unknown fix

E. Exit Haxfix

 

Choisissez l'option 2

 

Option 2: effectue un fix en mode automatique.

Fermez toutes les fenêtres et toutes les programmes ouverts, l'ordinateur va redémarrer durant la suppression.

Appuyez sur "2" puis sur "Entrée" pour démarrer le "Run auto fix".

Suivez les instructions à l' écran.

L'ordinateur va alors redémarrer

Lorsque Haxfix aura fini, un rapport va s'ouvrir (c:\haxfix.txt)

 

Cette option s'occupe des clés Notify trouvées.

Elle effectue pour chaque clé trouvée une vérification de la présence d'un service ou d'un Safebootservice

 

Si un service ou un Safebootservice est trouvée, le fix démarre.

Si au contraire rien n'est trouvé, le fix ne s'effectue pas pour le clé Notify.

 

Option 3: effectue en fix en mode manuel.

Fermez toutes les fenêtres et toutes les programmes ouverts, l'ordinateur va redémarrer durant la suppression.

Appuyez sur "3" puis sur "entrée" pour démarrer le "Run manual fix".

Si l'annonce suivant apparaît:

"Insert the haxdoorkey,

and then press enter:"

Entrez ceci: <haxdoorkey **** (sans les numéros)>

(exemples: avpe, pptp, fuxx, snda, xptp ....)

Appuyez sur "Entrée".

 

Si vous souhaitez entrer une nouvelle clé:

Appuyez sur Y pour valider

quand le message suivant s'affiche

Insert the haxdoorkey,

and then press enter:

on recommence alors l'étape telle que décrite ci-dessus.

 

Si au contraire vous ne voulez rien ajouter:

Appuyez sur N.

 

Suivez les indications à l'écran, l'ordinateur va redémarrer au cours de la suppression

lorsque Haxfix aura fini, un rapport s'ouvrira (c:\haxfix.txt).

 

Cette option permet d'entrer manuellement une clé

Lorsqu'une clé est entrée, un premier test de présence des Services / Safebootservices est effectué.

Si rien n'est détecté aucune clé ne sera ajoutée.

Vous avez la possibilité d'ajouter plus d'une clé.

L'option 3 peut être utilisée:

- si aucune clé notify n'a été trouvée

- si des entrées légitimes ne nécessitant pas de suppression sont reportées dans le log

 

 

Option 4: laisse le fix en mode "inconnu" s'effectuer.

 

Depuis la version 4.43, catchme est intégré à Haxfix

Le log de catchme sera vérifié par Haxfix pour trouver des variantes de goldun ou de haxdoor, qui utilisent les clés notify et les services.

Les variantes inconnues trouvées par cette méthode peuvent être supprimées par l'option 4.

 

E. Exit Haxfix

Cette option termine Haxfix

Faites bien attention car des entrées légitimes peuvent se trouver dans les logs effectués depuis l'option 1.

Si une clé du type se trouve sur l'ordinateur et si un service est trouvé (un seul suffit), cette clé sera supprimée par Haxfix.

 

Si cette indication :

"registrysettings failed"

se trouve dans un log effectué depuis l'option 2 ou 3, demandez à l'utilisateur d'exécuter ceci :

%systemdrive%\haxfix.exe /reset

 

Après le redémarrage de l'ordinateur par Haxfix, si aucun scan ne s'ouvre, exécutez ceci :

%systemdrive%\haxfix.exe /after

 

Ne faites pas n'importe quoi avec ce programme !

=========================

Arnaud Full Patch Member

Arnaud

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Il est possible que vous utilisiez dans vos programmes des outils considérés comme malicieux .

Cela se produit souvent lors du lancement d'outils de désinfection détectés malveillants par l'antivirus(c'est pourquoi on préconise de le désactiver)

 

Dans votre cas, goldun est détecté. C'est un Haxdor.

Faute de connaitre ce que contiennent vos outils, je vous propose un peu de lecture qui , peut-être, vous permettra de vous faire une idée.

 

Variantes Haxfix:

Haxfix1

Haxfix2

Téléchargez haxfix.exe.

Enregistrez-le sur votre bureau.

Fermez toutes les fenêtres et tous les programmes ouverts.

Doublez-cliquez sur haxfix.exe pour lancer le programme.

Une fenêtre dos rouge va alors s'ouvrir avec le menu suivant

1. Make logfile

E. Exit Haxfix

 

Option 1: Make logfile.

Choisissez l'option 1: Créez un log en appuyant sur 1/

Cela peut parfois durer longtemps.

Lors de l'utilisation de l'option 1 (création du log),

en cours de balayage, il y a ouverture puis fermeture d'une fenêtre à fond noir "catchme"

Ne fermez pas cette fenêtre.

lorsque le balayage sera terminé, utiliser l'option E (Exit) pour fermer HaxFix.

Un rapport s'ouvre (haxlog.txt)s'ouvrira qui montre tout ce qui peut révéler la présence d'une variante de Haxdoor.

 

L'examen met en évidence

- le fichier ps.a3d (le seul fichier non caché par le rootkit chez toutes les variantes)

- notify subkeys comme ****16, ****32, ****xt, ****tt

- services comme ****16, ****24, ****32, ****64, ****xt, ****xm, ****tt, ****mm,..

- safeboot services comme ****16.sys, ****24.sys, ****32.sys, ****64.sys, ****xt.sys, ****xm.sys, ****tt.sys, ****mm.sys,...

Il faut avoir vérifié ce rapport pour établir un diagnostic correct, et déterminer si une ou plusieurs variantes de haxdoor sont présentes.

 

2)Haxfix_Nettoyage

Relancer Haxfix à nouveau en cliquant sur son icône.

Vous obtenez un menu avec les options suivantes:

1. Make logfile

2. Run auto fix

3. Run manual fix

4. Run unknown fix

E. Exit Haxfix

 

Choisissez l'option 2

 

Option 2: effectue un fix en mode automatique.

Fermez toutes les fenêtres et toutes les programmes ouverts, l'ordinateur va redémarrer durant la suppression.

Appuyez sur "2" puis sur "Entrée" pour démarrer le "Run auto fix".

Suivez les instructions à l' écran.

L'ordinateur va alors redémarrer

Lorsque Haxfix aura fini, un rapport va s'ouvrir (c:\haxfix.txt)

 

Cette option s'occupe des clés Notify trouvées.

Elle effectue pour chaque clé trouvée une vérification de la présence d'un service ou d'un Safebootservice

 

Si un service ou un Safebootservice est trouvée, le fix démarre.

Si au contraire rien n'est trouvé, le fix ne s'effectue pas pour le clé Notify.

 

Option 3: effectue en fix en mode manuel.

Fermez toutes les fenêtres et toutes les programmes ouverts, l'ordinateur va redémarrer durant la suppression.

Appuyez sur "3" puis sur "entrée" pour démarrer le "Run manual fix".

Si l'annonce suivant apparaît:

"Insert the haxdoorkey,

and then press enter:"

Entrez ceci: <haxdoorkey **** (sans les numéros)>

(exemples: avpe, pptp, fuxx, snda, xptp ....)

Appuyez sur "Entrée".

 

Si vous souhaitez entrer une nouvelle clé:

Appuyez sur Y pour valider

quand le message suivant s'affiche

Insert the haxdoorkey,

and then press enter:

on recommence alors l'étape telle que décrite ci-dessus.

 

Si au contraire vous ne voulez rien ajouter:

Appuyez sur N.

 

Suivez les indications à l'écran, l'ordinateur va redémarrer au cours de la suppression

lorsque Haxfix aura fini, un rapport s'ouvrira (c:\haxfix.txt).

 

Cette option permet d'entrer manuellement une clé

Lorsqu'une clé est entrée, un premier test de présence des Services / Safebootservices est effectué.

Si rien n'est détecté aucune clé ne sera ajoutée.

Vous avez la possibilité d'ajouter plus d'une clé.

L'option 3 peut être utilisée:

- si aucune clé notify n'a été trouvée

- si des entrées légitimes ne nécessitant pas de suppression sont reportées dans le log

 

 

Option 4: laisse le fix en mode "inconnu" s'effectuer.

 

Depuis la version 4.43, catchme est intégré à Haxfix

Le log de catchme sera vérifié par Haxfix pour trouver des variantes de goldun ou de haxdoor, qui utilisent les clés notify et les services.

Les variantes inconnues trouvées par cette méthode peuvent être supprimées par l'option 4.

 

E. Exit Haxfix

Cette option termine Haxfix

Faites bien attention car des entrées légitimes peuvent se trouver dans les logs effectués depuis l'option 1.

Si une clé du type se trouve sur l'ordinateur et si un service est trouvé (un seul suffit), cette clé sera supprimée par Haxfix.

 

Si cette indication :

"registrysettings failed"

se trouve dans un log effectué depuis l'option 2 ou 3, demandez à l'utilisateur d'exécuter ceci :

%systemdrive%\haxfix.exe /reset

 

Après le redémarrage de l'ordinateur par Haxfix, si aucun scan ne s'ouvre, exécutez ceci :

%systemdrive%\haxfix.exe /after

 

Ne faites pas n'importe quoi avec ce programme !

=========================

 

Merci. Dois-je poster la totalité du rapport de Hafix.EXE ? Exécuté deux fois hier, il ne semble pas avoir redémarré le système.

 

Fin du rapport (rien trouvé semble-t-il) :

 

no matching random used services found

 

checking for browser helper objects

no known browser helper objects found

 

checking for appinit files

no files found

 

checking for possible infected files

please submit these file here: Bleeping Computer - Computer Help and Discussion

no files found

 

checking for Active Setup Installed Components

no known Active Setup Installed Components found

 

checking iexplore.exe

iexplore.exe is not infected

 

 

--- Checking for other Goldun, Spybanker and Haxdoor files ---

no other Haxdoor or Goldun files found

 

 

--- Catchme logfile - thank you Gmer ---

 

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-02-05 18:37:27

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s0"=dword:af110c42

"s1"=dword:e6dd4f70

"s2"=dword:12423bc3

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:8a,34,85,9d,d0,64,ae,1e,0f,4c,ee,8a,e0,ca,9c,8f,56,53,d1,4b,ec,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:8a,34,85,9d,d0,64,ae,1e,0f,4c,ee,8a,e0,ca,9c,8f,56,53,d1,4b,ec,..

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

--- Analysing Catchme logfile ---

 

no matching regkeys found

 

 

Finished!

Arnaud Full Patch Member

Arnaud

Posté(e)
  • Auteur
Posté(e)

Voilà qui est rassurant

Il vous reste à indiquer vos outils dans les exceptions de votre antivirus.

 

1/ Que sont ces "outils" ? Je n'ai rien mis ds les exceptions d'Antivir. Ni MBAM.

 

2/ Ces fichiers sont reconnus comme vérolés y compris lorsque je les recompile : Delphi ou l'une de ses librairies seraient-ils infectés ? Pourtant (mais je sais que ça ne veut rien dire) ils pèsent le même poids à l'octet près...

 

Merci :)

pear Devil Member !

pear

Posté(e)
Posté(e)
Que sont ces "outils" ?

Ceux dont vous parlez : lanceur ..

 

Ces fichiers sont reconnus comme vérolés

Oui , mais par 5 logiciels sur 44 et ce ne sont pas les plus renommés.

et pas par Haxfix qui n'y voit aucune trace de Goldun

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...