rootkit

[Sma]

merci charles ingalls pour te repondre je ne suis pas sous un proxy et je n'ai pas tres bien compris le scan de chez jotti mais je vais faire une analyse avec panda

[Thanos]

en fait je parlais de ce fichier:

 

C:\DOCUME~1\xpr2610\LOCALS~1\Temp\AFTDISI.ex

 

j'aurais aimé que tu le fasse analyser par jotti online malwarescan .

 

Une fois sur le site,tu parcours ton dd jusqu'au fichier en

 

question, puis une fois trouvé tu cliques dessus.Enfin tu cliques sur "submit". Pour l'instant le scan ne semble

 

pas répondre! trop de monde en ligne! essaie quand même,et poste le rapport stp.

[Sma]

ok dc pour te montrer le resultat je fais du copier coller??

 

 

Service load:

0% 100%

File: AFTDISI.exe

Status:

MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5 641b78a00501c94108b80a854aa9b8bd

Packers detected:

UPX

Scanner results

AntiVir

Found nothing

ArcaVir

Found nothing

Avast

Found nothing

AVG Antivirus

Found nothing

BitDefender

Found nothing

ClamAV

Found nothing

Dr.Web

Found nothing

F-Prot Antivirus

Found nothing

Fortinet

Found nothing

Kaspersky Anti-Virus

Found nothing

NOD32

Found nothing

Norman Virus Control

Found nothing

UNA

Found nothing

VBA32

Found nothing

 

Powered by

images/antivir.png images/arcabit.png images/avast.png images/avg.gif images/bitdefender.png images/clamav-logo1.png images/drweb.gif images/f-prot.png images/fortinet.gif images/kaspersky.png images/nod32.gif images/norman.png images/una_logo.jpg images/vba32.png

Disclaimer

This service is by no means 100% safe. If this scanner says 'OK', it does not necessarily mean the file is clean. There could be a whole new virus on the loose. NEVER EVER rely on one single product only, not even this service, even though it utilizes several products. Therefore, We cannot and will not be held responsible for any damage caused by results presented by this non-profit online service.

 

Also, we are aware of the implications of a setup like this. We are sure this whole thing is by no means scientifically correct, since this is a fully automated service (although manual correction is possible). We are aware, in spite of efforts to proactively counter these, false positives might occur, for example. We do not consider this a very big issue, so please do not e-mail us about it. This is a simple online scan service, not the university of Wichita.

 

Scanning can take a while, since several scanners are being used, plus the fact some scanners use very high levels of (time consuming) heuristics. Scanners used are Linux versions, differences with Windows scanners may or may not occur. Another note: some scanners will only report one virus when scanning archives with multiple pieces of malware.

 

Virus definitions are updated every hour. There is a 15Mb limit per file. Please refrain from uploading tons of hex-edited or repacked variants of the same sample.

 

Please do not ask for viruses uploaded here, unless you work for an anti-virus vendor. They are not for trade. This is a legitimate service, not a VX site. Viruses uploaded here will be distributed to antivirus vendors without exception.

 

Sponsored by donations (in random order) from: Stormbyte Technologies LLC, The ClamAV project, James Love, Gideon Pertzov, Malcolm Murray, Nigel Thomas, Wendy Dickerson, Anthony Midmore, "ethereal", Mark Rubins, Steve S., Eric Johansen, Eric Schechter, Paul Bokel, Wilders Security, Wilfried Lilie, Prevx, SonicWALL, Lance Mueller, Ewido networks, and some people who prefer to remain anonymous... many thanks to all!

 

Statistics

Last file scanned at least one scanner reported something about: vmsvc32.exe, detected by:

 

Scanner Malware name

AntiVir Worm/Agobot.516096

ArcaVir X

Avast X

AVG Antivirus X

BitDefender X

ClamAV X

Dr.Web X

F-Prot Antivirus X

Fortinet X

Kaspersky Anti-Virus X

NOD32 X

Norman Virus Control X

UNA I-Worm.Bagle.av

VBA32 X

 

 

You're free to (mis)interpret these automated, flawed statistics at your own discretion. For antivirus comparisons, visit AV comparatives

We are not affiliated with any third parties that conduct tests using this service.

 

 

 

Frequently asked questions - Feedback

 

Debian Valid HTML 4.01!

 

Page generated by JTPL

 

Copyright © 2004-2005 Jordi Bosveld <jotti@jotti.

 

t'en pense quoi charles ingalls?

Modifié le 20 novembre 2005 par Sma

[Thanos]

malgré le résultat du scan en ligne de jotti,rien d'évident! Si tu n'as pas installé toi même ce programme,

 

je te conseille de stopper le service et le désactiver en passant par Démarrer\Exécuter puis tu tapes :

 

services.msc Ensuite,tu double cliques sur le service AFTDISI et tu mets le service sur arrêter

 

(dans status) puis sur désactivé (dans type de démarrage).

 

 

Ensuite, fais ceci: vas dans Démarrer\Exécuter puis tu tapes cmd

 

dans la fenêtre tape : sc delete AFTDISI

 

Un message doit t'avertir du succès de l'opération.

 

Enfin, fais ceci:

 

-Télécharge Clean Up 40 (et installe le dans un répertoitre à lui):

http://www.stevengould.org/software/cleanup/

 

-Ouvre CleanUp40 et vas sur "clean up custom" et assure toi que seules ces cases sont cochées:

 

* Empty Recycle Bins

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Puis lance le scan(cleanup)

 

-aide en image:(merci a Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

 

Dis moi, c'est quoi ce fichier "vmsvc32.exe" qui apparait dans le rapport jotti? N'oublie pas de poster le

 

rapport de scan de Panda!

[Sma]

je vais faire tout ce que tu m'a demandé. par contre en ce qui concerne vmsvc32.exe c'est pas moi il semble que ce soit quelque chose qu'il est detecté chez qq'un d'autre . J'ai recherché ce fichier sur le disque dur il n'existe pas

[Sma]

J'ai fait tout ce que tu m'a demandé merci je poste le log hijackthis avant le rapport de panda voila

 

 

Logfile of HijackThis v1.99.1

Scan saved at 01:28:59, on 21/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE

C:\WINDOWS\System32\dllhost.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE

C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe

C:\Program Files\Securitoo\av_fw\fswsclds.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE

C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE

C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe

C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE

C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe

C:\Documents and Settings\xpr2610\Mes documents\logiciels\hijackthis_hijackthis_1.99.1_anglais_17891.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.233.21.166:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1125953888796

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe

O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

[Thanos]

re sma

 

J'avais pas vu: est ce toi qui a installé ceci :

 

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

 

Tres fréquent sur les logs,on le fait souvent fixer.Si tu ne te sert pas de ce"Boonty Games", fais la même

 

manip que précédemment, puis tu vire le dossier qui se trouve ici:

 

C:\Program Files\Fichiers communs\BOONTY Shared=>le dossier.

 

J'hésite encore à virer cette ligne de ton log,je ne sais pas d'ou ca peut provenir :

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.233.21.166:8080

 

serait ce notre ami FSecure qui l'aurait installé?dans la série je m'incruste! Si quelqu'un a des infos...

 

A+ tardpour le rapport Panda

[Sma]

panda ne m'a rien trouvé dc ca sert a rien ke je te le poste non?

[Sma]

par contre quelqu'un peut-il m'aider je ne me connecte pas a l'aide d'un proxy j'aimerai bien comprendre et pouvoir ne plus voir ca merci

[Thanos]

re

 

Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.233.21.166:8080

Ferme toutes les fenêtres, tous les programmes et clique surFix checked

 

Si ca affecte ta connection(ce que je ne pense pas) tu peux restaurer la ligne à partir des backups de hijackthis.Refais toi un log pour voir si elle a disparu.

Modifié le 21 novembre 2005 par charles ingals