Trojan.Staser avec Isafer ?

[tisouit]

Bonjour, a la suite de ce sujet :

 

http://forum.zebulon.fr/mini-freeze-t206469.html?p=1714955

(Svp lisez le, il y a pas beaucoup de posts)

 

Je m'en viens donc par ici pour comprendre et resoudre le probleme que j'ai expose.

 

Ab-web me trouve ce Trojan.Staser avec Isafer (qui est un parfeu opensource) sur le rapport de Zhp DIag

 

qui se trouve la http://jipctovul8.1fichier.com/

 

Quels outils je dois utiliser pour virer ca ?

 

Merci de m'aider, bye !

 

 

Modifié le 13 mars 2014 par tisouit

[pear]

Bonjour,

 

Avant d'aller plus loin, faites cette vérification, svp:

Poste de travail->Outils ->Options des dossiers ->Affichage
Cocher "Afficher les dossiers cachés"
Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"
--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.


Rendez vous à cette adresse:
Cliquez sur parcourir(Choose File) pour trouver ces fichiers
C:\Program Files\iSafer\iSaferSvr.exe

et cliquez sur "envoyer le fichier"(Scan it)
Copiez /collez la réponse dans votre prochain message.
Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

[tisouit]

Il n'y a que kingsoft qui trouverais ceci :

 

Kingsoft Win32.Malware.Heur_Generic.B.(kcloud) 20140312

 

voici le detail :

 

 

 

 

file being studied is a Portable Executable file! More specifically, it is a Win32 EXE file for the Windows GUI subsystem.

Authenticode signature block

Copyright

© 2004-2005 winsockfirewall.sourceforge.net

Publisher http://winsockfirewall.sourceforge.net

Product iSaferSvr.exe

Original name iSaferSvr.exe

Internal name iSaferSvr.exe

File version 1.0.0.1

Description iSafer - Personal Firewall

Comments Have any question, mail to Truong2D@Yahoo.com

PE header basic information

Target machine Intel 386 or later processors and compatible processors

Compilation timestamp 1992-06-19 22:22:17

Link date 11:22 PM 6/19/1992

Entry Point 0x0006824C

Number of sections 8

PE sections

Name Virtual address Virtual size Raw size Entropy MD5

CODE 4096 422548 422912 6.56 9916fd58108678762994fd588da2a4dc

DATA 430080 8004 8192 4.57 33ac8aa64381f2af3b5565e4db5176e8

BSS 438272 3213 0 0.00 d41d8cd98f00b204e9800998ecf8427e

.idata 442368 10474 10752 4.98 331501adec4934c511d5444130810cca

.tls 454656 16 0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rdata 458752 24 512 0.19 abd943d80ffdd641aa9c3341c25b23a7

.reloc 462848 27812 28160 6.67 83d456c5b157d6cefcfd8f6b14a81e4a

.rsrc 491520 23552 23552 4.13 850701bff8d239809dedd42901439f69

PE imports

[+] advapi32.dll

[+] comctl32.dll

[+] gdi32.dll

[+] kernel32.dll

[+] oleaut32.dll

[+] user32.dll

[+] version.dll

Number of PE resources by type

RT_STRING 17

RT_BITMAP 11

RT_GROUP_CURSOR 7

RT_CURSOR 7

RT_RCDATA 3

RT_DIALOG 1

RT_ICON 1

RT_VERSION 1

RT_GROUP_ICON 1

Number of PE resources by language

NEUTRAL 46

ENGLISH US 3

ExifTool file metadata

CodeSize

422912

SubsystemVersion

4.0

Comments

Have any question, mail to Truong2D@Yahoo.com

LinkerVersion

2.25

ImageVersion

0.0

FileSubtype

0

FileVersionNumber

1.0.0.1

LanguageCode

English (U.S.)

FileFlagsMask

0x003f

FileDescription

iSafer - Personal Firewall

CharacterSet

Windows, Latin1

InitializedDataSize

71168

FileOS

Win32

MIMEType

application/octet-stream

LegalCopyright

© 2004-2005 winsockfirewall.sourceforge.net

FileVersion

1.0.0.1

TimeStamp

1992:06:19 23:22:17+01:00

FileType

Win32 EXE

PEType

PE32

InternalName

iSaferSvr.exe

FileAccessDate

2014:03:12 20:53:11+01:00

ProductVersion

1.0.0.1

UninitializedDataSize

0

OSVersion

4.0

FileCreateDate

2014:03:12 20:53:11+01:00

OriginalFilename

iSaferSvr.exe

Subsystem

Windows GUI

MachineType

Intel 386 or later, and compatibles

CompanyName

http://winsockfirewall.sourceforge.net

LegalTrademarks

iSafer

ProductName

iSaferSvr.exe

ProductVersionNumber

1.0.0.1

EntryPoint

0x6824c

ObjectFileType

Executable application

et le complement d'info:

File identification

MD5 4a44a7f34f41cf9982f630ebd49c12e9

SHA1 7063e2eea6c342d0f2d5ccb822ef24772257ea1b

SHA256 eed393ef8b1f7ceb9d1c2a74e72742efee015ba1f203469d14638b016baf2f70

ssdeep

12288:WlGdcttturKHApBoYxanNGjppmJGSfYaoqfCh:GhterKHA8YyNagGSTjfC

imphash 093efa27e4f1d8f46b17e2d75f8b8c35

File size 483.5 KB ( 495104 bytes )

File type Win32 EXE

Magic literal

PE32 executable for MS Windows (GUI) Intel 80386 32-bit

TrID Win32 Executable Borland Delphi 7 (68.3%)
Win32 Executable Borland Delphi 6 (27.0%)
Win32 Executable Delphi generic (1.5%)
Windows Screen Saver (1.3%)
Win32 Dynamic Link Library (generic) (0.6%)

Tags

peexe

VirusTotal metadata

First submission 2008-08-15 00:10:24 UTC ( 5 years, 7 months ago )

Last submission 2014-03-12 19:53:04 UTC ( 4 minutes ago )

File names iSaferSvr.exe
EED393EF8B1F7CEB9D1C2A74E72742EFEE015BA1F203469D14638B016BAF2F70.dat-diff-isafer-personal-firewall
4a44a7f34f41cf9982f630ebd49c12e9
EED393EF8B1F7CEB9D1C2A74E72742EFEE015BA1F203469D14638B016BAF2F70.exe
EED393EF8B1F7CEB9D1C2A74E72742EFEE015BA1F203469D14638B016BAF2F70.dat

Advanced heuristic and reputation engines

ClamAV PUA

Possibly Unwanted Application. While not necessarily malicious, the scanned file presents certain characteristics which depending on the user policies and environment may or may not represent a threat. For full details see: http://www.clamav.net/index.php?s=pua&lang=en .

 

 

 

 

J'ai fais un "chkdisk", ca ne m'a pas affiche de detail malgrer le /v de verbose..

Modifié le 12 mars 2014 par tisouit

[pear]

Vous lisez quelque fois les réponses qui vous sont faites ?

[tisouit]

? Qu'est-ce qu'il manque ? J'ai mis les rapport en Spoiler, vous ne les voyez pas ?

 

EDIT : A moins que vous vouliez ca

 

 

SHA256: eed393ef8b1f7ceb9d1c2a74e72742efee015ba1f203469d14638b016baf2f70 Nom du fichier : iSaferSvr.exe Ratio de détection : 1 / 49 Date d'analyse : 2014-03-14 15:47:07 UTC (il y a 0 minute)

 

 

Antivirus Résultat Mise à jour Kingsoft Win32.Malware.Heur_Generic.B.(kcloud) 20140314 AVG 20140314 Ad-Aware 20140314 Agnitum 20140313 AhnLab-V3 20140314 AntiVir 20140314 Antiy-AVL 20140311 Avast 20140314 Baidu-International 20140314 BitDefender 20140314 Bkav 20140313 ByteHero 20140314 CAT-QuickHeal 20140314 CMC 20140313 ClamAV 20140314 Commtouch 20140314 Comodo 20140314 DrWeb 20140314 ESET-NOD32 20140314 Emsisoft 20140314 F-Prot 20140314 F-Secure 20140314 Fortinet 20140314 GData 20140314 Ikarus 20140314 Jiangmin 20140314 K7AntiVirus 20140314 K7GW 20140314 Kaspersky 20140314 Malwarebytes 20140314 McAfee 20140314 McAfee-GW-Edition 20140314 MicroWorld-eScan 20140314 Microsoft 20140314 NANO-Antivirus 20140314 Norman 20140314 Panda 20140314 Qihoo-360 20140302 Rising 20140314 SUPERAntiSpyware 20140314 Sophos 20140314 Symantec 20140314 TheHacker 20140314 TotalDefense 20140314 TrendMicro 20140314 TrendMicro-HouseCall 20140314 VBA32 20140313 VIPRE 20140314 ViRobot 20140314 nProtect 20140314

 

 

Pas tres agreable a lire...

Modifié le 14 mars 2014 par tisouit

[pear]

 

A moins que vous vouliez ca

 

Exactement .

C'est ce que vous ai suggéré

SHA256: eed393ef8b1f7ceb9d1c2a74e72742efee015ba1f203469d14638b016baf2f70 Nom du fichier : iSaferSvr.exe Ratio de détection : 1 / 49 Date d'analyse : 2014-03-14 15:47:07 UTC (il y a 0 minute)

Ratio de détection : 1 / 49

C'est donc bien un faux positif.

[tisouit]

Merci pour la confirmation ... On repasse au sujet initial maintenant ...

 

http://forum.zebulon.fr/mini-freeze-t206469.html?p=1714955

[pear]

Vous devez trouver les 2 icônes Zhpdiag, Zhpfix. sur le bureau

ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer Importer
pour inscrire le texte dans la fenêrtre vide qui s'ouvre

[

Script Zhpfix

O3 - Toolbar\WebBrowser: (no name) - [HKCU]{D4027C7F-154A-4066-A1AD-4243D8127440} Clé orpheline
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}

EmptyTemp
EmptyClsid
Proxyfix
FirewallRaz
SysRestore



Cliquer sur "Go" en bas, à gauche

Redémarrer pour achever le nettoyage.

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .
Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt



Télécharger SFTGC.exe
sur le Bureau, impérativement sous peine de risquer un plantage

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Gopour lancer le nettoyage.

Un rapport va s'ouvrir à la fin.
Ce rapport est sur le bureau (SFT.txt)

Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

[tisouit]

Rapport de ZHP : http://cjoint.com/?DCpuWwC9Jo0

 

Rapport de SFTGC : http://cjoint.com/?DCpuXdMVRTp