Marre marre marre encore un virus (gomeo)

[nikigabal]

Je lance tdsskiller, il scan mais aucun rapport n'apparait car il me dit qu'il n'y a aucune infection. Je trouve bizarre car avira en trouve.

 

J'avoue que je ne comprends plus ????

[pear]

Ce n'est pas anormal!

Tdss Killer ne recherche que Tdss..

 

J'attends toujours les rapports Virus Total, mais ça ne durera pas.

Modifié le 9 juin 2011 par pear

[nikigabal]

Désolé j'ai oublié de poster virus total. Je répare mon erreur mais ne peut analyser le dernier car on me dit que le chemin d'accès est introuvable...

 

1 VT Community user(s) with a total of 12 reputation credit(s) say(s) this sample is goodware. 1 VT Community user(s) with a total of 1 reputation credit(s) say(s) this sample is malware.

File name: winlogon.exe

Submission date: 2011-06-08 13:51:27 (UTC)

Current status: finished

Result: 1 /42 (2.4%)

VT Community

 

goodware

Safety score: 92.3%

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2011.06.08.01 2011.06.08 -

AntiVir 7.11.9.99 2011.06.08 -

Antiy-AVL None 2011.06.07 -

Avast 4.8.1351.0 2011.06.08 -

Avast5 5.0.677.0 2011.06.08 -

AVG 10.0.0.1190 2011.06.08 -

BitDefender 7.2 2011.06.08 -

CAT-QuickHeal 11.00 2011.06.08 -

ClamAV 0.97.0.0 2011.06.08 -

Commtouch 5.3.2.6 2011.06.08 -

Comodo 8995 2011.06.08 -

DrWeb 5.0.2.03300 2011.06.08 -

eSafe 7.0.17.0 2011.06.06 -

eTrust-Vet 36.1.8374 2011.06.08 -

F-Prot 4.6.2.117 2011.06.08 -

F-Secure 9.0.16440.0 2011.06.08 -

Fortinet 4.2.257.0 2011.06.08 -

GData 22 2011.06.08 -

Ikarus T3.1.1.104.0 2011.06.08 -

Jiangmin 13.0.900 2011.06.08 -

K7AntiVirus 9.105.4781 2011.06.07 -

Kaspersky 9.0.0.837 2011.06.08 -

McAfee 5.400.0.1158 2011.06.08 -

McAfee-GW-Edition 2010.1D 2011.06.08 -

Microsoft 1.6903 2011.06.08 -

NOD32 6190 2011.06.08 -

Norman 6.07.10 2011.06.08 -

nProtect 2011-06-08.02 2011.06.08 Trojan-Downloader/W32.Small.512000.B

Panda 10.0.3.5 2011.06.07 -

PCTools 7.0.3.5 2011.06.08 -

Prevx 3.0 2011.06.08 -

Rising 23.61.02.03 2011.06.08 -

Sophos 4.66.0 2011.06.08 -

SUPERAntiSpyware 4.40.0.1006 2011.06.08 -

Symantec 20111.1.0.186 2011.06.08 -

TheHacker 6.7.0.1.225 2011.06.08 -

TrendMicro 9.200.0.1012 2011.06.08 -

TrendMicro-HouseCall 9.200.0.1012 2011.06.08 -

VBA32 3.12.16.0 2011.06.08 -

VIPRE 9521 2011.06.08 -

ViRobot 2011.6.8.4500 2011.06.08 -

VirusBuster 14.0.71.0 2011.06.07 -

Additional informationShow all

MD5 : dd73d6b9f6b4cb630cf35b438b540174

SHA1 : 2904328b7e27f004042d4f83440c50659d64018b

SHA256: ecef5a07dbc72e99adcb82af4dab143f5a2bad3812ccbfa87ea5e82e29e133fa

ssdeep: 6144:SNZlxEdL5RvGlcHF37newMLao6nMnKHOD13XRnCfOVSePfLtisgZYlg:tdz+lcDKao6nSK

HsRqOMgxZgp

File size : 512000 bytes

First seen: 2009-02-13 09:43:40

Last seen : 2011-06-08 13:51:27

Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit

TrID:

Win64 Executable Generic (80.9%)

Win32 Executable Generic (8.0%)

Win32 Dynamic Link Library (generic) (7.1%)

Generic Win/DOS Executable (1.8%)

DOS Executable Generic (1.8%)

sigcheck:

publisher....: Microsoft Corporation

copyright....: © Microsoft Corporation. Tous droits r_serv_s.

product......: Syst_me d_exploitation Microsoft_ Windows_

description..: Application d_ouverture de session Windows NT

original name: WINLOGON.EXE

internal name: winlogon

file version.: 5.1.2600.5512 (xpsp.080413-2113)

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

 

PEiD: -

PEInfo: PE structure information

 

[[ basic data ]]

entrypointaddress: 0x3E5E1

timedatestamp....: 0x48027549 (Sun Apr 13 21:04:09 2008)

machinetype......: 0x14C (Intel I386)

 

[[ 3 section(s) ]]

name, viradd, virsiz, rawdsiz, ntropy, md5

.text, 0x1000, 0x70991, 0x70A00, 6.82, 82b1e7e83279c56e34dc6c6e8c33f81d

.data, 0x72000, 0x4E70, 0x2000, 6.28, 44bd27282514b5e3a27b570106930d8d

.rsrc, 0x77000, 0xA18C, 0xA200, 3.69, 2de1a63c2a7883cf163c3699bb614883

 

CWSandbox:

http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=dd73d6b9f6b4cb630cf35b438b540174

Androguard:

-

ExifTool:

file metadata

CharacterSet: Unicode

CodeSize: 461312

CompanyName: Microsoft Corporation

EntryPoint: 0x3e5e1

FileDescription: Application d'ouverture de session Windows NT

FileFlagsMask: 0x003f

FileOS: Windows NT 32-bit

FileSize: 500 kB

FileSubtype: 0

FileType: Win32 EXE

FileVersion: 5.1.2600.5512 (xpsp.080413-2113)

FileVersionNumber: 5.1.2600.5512

ImageVersion: 21315.20512

InitializedDataSize: 49664

InternalName: winlogon

LanguageCode: French

LegalCopyright: Microsoft Corporation. Tous droits r serv s.

LinkerVersion: 7.1

MIMEType: application/octet-stream

MachineType: Intel 386 or later, and compatibles

OSVersion: 5.1

ObjectFileType: Executable application

OriginalFilename: WINLOGON.EXE

PEType: PE32

ProductName: Syst me d'exploitation Microsoft Windows

ProductVersion: 5.1.2600.5512

ProductVersionNumber: 5.1.2600.5512

Subsystem: Windows GUI

SubsystemVersion: 4.0

TimeStamp: 2008:04:13 23:04:09+02:00

UninitializedDataSize: 0

Warning: Possibly corrupt Version resource

 

Symantec reputation:Suspicious.Insight

 

 

VT Community

 

2

User:Anonymous

 

Reputation:1 credits

 

Comment date:2010-10-12 01:20:36 (UTC)

Detected (along with some .scr files), by AVG Free edition, after waking from idle (with screensaver) state, on Windows XP Ultimate Edition by Maddog.

Haven't tested immediately right after the install of this Windows, so not completely sure that it comes from it.

 

AVG suppress it (and 3 other files & some registry keys), reboot, redetect it (and 2 other files and less registry keys) just after rebooting and suppress again (iwth no reboot required).

[nikigabal]

2 VT Community user(s) with a total of 4408 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.

File name: explorer.exe

Submission date: 2011-06-09 17:13:30 (UTC)

Current status: finished

Result: 0 /42 (0.0%)

VT Community

 

goodware

Safety score: 100.0%

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2011.06.10.00 2011.06.09 -

AntiVir 7.11.9.132 2011.06.09 -

Antiy-AVL 2.0.3.7 2011.06.09 -

Avast 4.8.1351.0 2011.06.09 -

Avast5 5.0.677.0 2011.06.09 -

AVG 10.0.0.1190 2011.06.09 -

BitDefender 7.2 2011.06.09 -

CAT-QuickHeal 11.00 2011.06.09 -

ClamAV 0.97.0.0 2011.06.09 -

Commtouch 5.3.2.6 2011.06.09 -

Comodo 9007 2011.06.09 -

DrWeb 5.0.2.03300 2011.06.09 -

eSafe 7.0.17.0 2011.06.09 -

eTrust-Vet 36.1.8377 2011.06.09 -

F-Prot 4.6.2.117 2011.06.09 -

F-Secure 9.0.16440.0 2011.06.09 -

Fortinet 4.2.257.0 2011.06.09 -

GData 22 2011.06.09 -

Ikarus T3.1.1.104.0 2011.06.09 -

Jiangmin 13.0.900 2011.06.09 -

K7AntiVirus 9.105.4792 2011.06.09 -

Kaspersky 9.0.0.837 2011.06.09 -

McAfee 5.400.0.1158 2011.06.09 -

McAfee-GW-Edition 2010.1D 2011.06.09 -

Microsoft 1.6903 2011.06.09 -

NOD32 6194 2011.06.09 -

Norman 6.07.10 2011.06.09 -

nProtect 2011-06-09.01 2011.06.09 -

Panda 10.0.3.5 2011.06.09 -

PCTools 7.0.3.5 2011.06.09 -

Prevx 3.0 2011.06.09 -

Rising 23.61.02.11 2011.06.09 -

Sophos 4.66.0 2011.06.09 -

SUPERAntiSpyware 4.40.0.1006 2011.06.09 -

Symantec 20111.1.0.186 2011.06.09 -

TheHacker 6.7.0.1.227 2011.06.09 -

TrendMicro 9.200.0.1012 2011.06.09 -

TrendMicro-HouseCall 9.200.0.1012 2011.06.09 -

VBA32 3.12.16.1 2011.06.09 -

VIPRE 9534 2011.06.09 -

ViRobot 2011.6.9.4502 2011.06.09 -

VirusBuster 14.0.74.0 2011.06.09 -

Additional informationShow all

MD5 : f2317622d29f9ff0f88aeecd5f60f0dd

SHA1 : d54b0b83de6ee5922dd90db1446872bf32062b25

SHA256: 1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13

[pear]

Bien,

 

Si on n'a pas encore trouvé le coupable, on a déjà éliminé quelques pistes.

 

Je serai absent de Samedi à Mardi.

Désolé.

 

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

La console de Récupération

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Les utilisateurs de Windows Vista,Seven peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Win RE)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[nikigabal]

Je viens de faire le scan combofix.

 

Un message m'a demandé de noté un nom de fichier que l'on en aurait besoin plus tard.

Combofix a demander à redémarrer ce que j'ai fait mais maintenant impossible de trouver un rapport combofix et plus rien ne se passe. Je n'ose pas relancer combofix.

 

Que faire ?

[pear]

Dites nous de quel fichier il s'agit.

 

Cherchez un fichier qoobox et donnez en le contenu.

[nikigabal]

Il s'agit de c:\Documents and Settings\Application Data\Asisa\ynyd.exe

[nikigabal]

qoobox : plusieurs dossiers apparaissent.

 

Seuls 2 contiennent des fichiers. Ce sont :

 

BackEnv

 

Quanrantine

[nikigabal]

Merci de votre aide si précieuse.

 

Malheureusement l'alimentation de mon pc m'a laché je l'ai dc amené pour le faire réparer.

 

Merci encore et je n'hésiterai pas a refaire appel a vous en cas de besoin.