Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Analyse Hijacjthis & Ewido report (Resolu)

CIOCC

Par CIOCC
dans Analyses et éradication malwares

 Partager

Messages recommandés

tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Re,

 

 

 

Bonne nouvelle, smitfraudfix a bien travaillé, plus de trace de SpywareQuake sur ton log

 

Par contre, j'ai un doute sur ce fichier --> ARPWRMSG.EXE

 

Tu vas modifier l'affichage des fichiers/dossiers, rechercher ce fichier et l'uploader sur 2 sites... :

 

 

1/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

 

2/ Recherche et localise le fichier suivant :

 

ARPWRMSG.EXE

 

 

Il est probablement situé dans C:\Windows ou dans C:\Windows\system32 . Tu peux également faire une recherche avec l'outil de Windows, en vérifiant d'avoir coché toutes ces cases dans les options avancées.

 

 

 

 

3/ Fais le analyser par ces 2 sites :

 

- http://www.virustotal.com/flash/index_en.html (clique sur parcourir, sélectionne le fichier incriminé, puis clique sur send)

 

- http://virusscan.jotti.org/ (clique sur parcourir, sélectionne le fichier incriminé, puis clique sur submit )

 

 

 

Copie les rapports générés, puis met-les dans ton prochain post

 

 

 

 

 

A+ :P

Modifié par tornado

CIOCC Power Member

CIOCC

Posté(e)
  • Auteur
Posté(e)

Re,

Bonne nouvelle, smitfraudfix a bien travaillé, plus de trace de SpywareQuake sur ton log

 

Par contre, j'ai un doute sur ce fichier --> ARPWRMSG.EXE

 

Tu vas modifier l'affichage des fichiers/dossiers, rechercher ce fichier et l'uploader sur 2 sites... :

1/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

2/ Recherche et localise le fichier suivant :

 

ARPWRMSG.EXE

Il est probablement situé dans C:\Windows ou dans C:\Windows\system32 . Tu peux également faire une recherche avec l'outil de Windows, en vérifiant d'avoir coché toutes ces cases dans les options avancées.

3/ Fais le analyser par ces 2 sites :

 

- http://www.virustotal.com/flash/index_en.html (clique sur parcourir, sélectionne le fichier incriminé, puis clique sur send)

 

- http://virusscan.jotti.org/ (clique sur parcourir, sélectionne le fichier incriminé, puis clique sur submit )

Copie les rapports générés, puis met-les dans ton prochain post

A+ :P

 

 

 

Re-bonsoir

 

J'ai trouvé 2 fichiers

 

C:\windows\ARPWRMSG.EXE

date = 03/08/2005 (je n'avais pas encore le PC)

 

C:\windows\prefetch\ARPWRMSG.EXE-3073C672.pf

date = 02/04/2006

 

 

 

par Virustotal

 

C:\windows\ARPWRMSG.EXE

 

a

This is a report processed by VirusTotal on 04/03/2006 at 22:13:32 (CET) after scanning the file "arpwrmsg.exe" file.

Antivirus Version Update Result

AntiVir 6.34.0.14 04.03.2006 no virus found

Avast 4.6.695.0 04.03.2006 no virus found

AVG 386 04.03.2006 no virus found

Avira 6.34.0.54 04.03.2006 no virus found

BitDefender 7.2 04.03.2006 no virus found

CAT-QuickHeal 8.00 03.31.2006 no virus found

ClamAV devel-20060202 04.03.2006 no virus found

DrWeb 4.33 04.03.2006 no virus found

eTrust-InoculateIT 23.71.118 04.02.2006 no virus found

eTrust-Vet 12.4.2146 04.03.2006 no virus found

Ewido 3.5 04.03.2006 no virus found

Fortinet 2.71.0.0 04.03.2006 no virus found

F-Prot 3.16c 03.30.2006 no virus found

Ikarus 0.2.59.0 04.03.2006 no virus found

Kaspersky 4.0.2.24 04.03.2006 no virus found

McAfee 4732 04.03.2006 no virus found

NOD32v2 1.1468 04.03.2006 no virus found

Norman 5.90.15 04.03.2006 no virus found

Panda 9.0.0.4 04.03.2006 no virus found

Sophos 4.04.0 04.03.2006 no virus found

Symantec 8.0 04.03.2006 no virus found

TheHacker 5.9.7.124 04.03.2006 no virus found

UNA 1.83 04.03.2006 no virus found

VBA32 3.10.5 04.03.2006 no virus found

 

 

 

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

> Go to: Home Contact En español

--------------------------------------------------------------------------------

www.virustotal.com :: ©Hispasec Sistemas 2004-06 :: e-mail info@virustotal.com

 

 

Par Virus Total

 

C:\windows\prefetch\ARPWRMSG.EXE-3073C672.pf

 

a

This is a report processed by VirusTotal on 04/03/2006 at 22:25:09 (CET) after scanning the file "ARPWRMSG.EXE-3073C672.pf" file.

Antivirus Version Update Result

AntiVir 6.34.0.14 04.03.2006 no virus found

Avast 4.6.695.0 04.03.2006 no virus found

AVG 386 04.03.2006 no virus found

Avira 6.34.0.54 04.03.2006 no virus found

BitDefender 7.2 04.03.2006 no virus found

CAT-QuickHeal 8.00 03.31.2006 no virus found

ClamAV devel-20060202 04.03.2006 no virus found

DrWeb 4.33 04.03.2006 no virus found

eTrust-InoculateIT 23.71.118 04.02.2006 no virus found

eTrust-Vet 12.4.2146 04.03.2006 no virus found

Ewido 3.5 04.03.2006 no virus found

Fortinet 2.71.0.0 04.03.2006 no virus found

F-Prot 3.16c 03.30.2006 no virus found

Ikarus 0.2.59.0 04.03.2006 no virus found

Kaspersky 4.0.2.24 04.03.2006 no virus found

McAfee 4732 04.03.2006 no virus found

NOD32v2 1.1468 04.03.2006 no virus found

Norman 5.90.15 04.03.2006 no virus found

Panda 9.0.0.4 04.03.2006 no virus found

Sophos 4.04.0 04.03.2006 no virus found

Symantec 8.0 04.03.2006 no virus found

TheHacker 5.9.7.124 04.03.2006 no virus found

UNA 1.83 04.03.2006 no virus found

VBA32 3.10.5 04.03.2006 no virus found

 

 

 

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

> Go to: Home Contact En español

--------------------------------------------------------------------------------

www.virustotal.com :: ©Hispasec Sistemas 2004-06 :: e-mail info@virustotal.com

 

 

C:\windows\ARPWRMSG.EXE

 

Par Virusscan

 

Service load: 0% 100%

 

File: arpwrmsg.exe

Status: OK

MD5 9282601aa39b82197384fd51cb42f279

Packers detected: -

Scanner results

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

UNA Found nothing

VirusBuster Found nothing

VBA32 Found nothing

 

 

C:\windows\prefetch\ARPWRMSG.EXE-3073C672.pf

 

Par virusscan

 

Service load: 0% 100%

 

File: ARPWRMSG.EXE-3073C672.pf

Status: OK

MD5 ec3c9386fff1b61bcb4741ee2f5e0ccb

Packers detected: -

Scanner results

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

UNA Found nothing

VirusBuster Found nothing

VBA32 Found nothing

 

Voilà les 4 scan effectués. Merci de me donner le résultat

 

A+

tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Re,

 

 

 

Bon apparemment, il n'est pas infectieux ce fichier :P

 

 

Ton rapport hijackthis est donc propre...

 

Tu peux faire le scan en ligne de panda --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE)

 

- Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Copie le rapport du scan et met-le dans ton prochain post

 

 

Le tuto si tu bloques sur quelque chose --> http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

 

 

 

 

 

A + :P

Modifié par tornado
CIOCC Power Member

CIOCC

Posté(e)
  • Auteur
Posté(e)

Re,

Bon apparemment, il n'est pas infectieux ce fichier :P

Ton rapport hijackthis est donc propre...

 

Tu peux faire le scan en ligne de panda --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE)

 

- Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Copie le rapport du scan et met-le dans ton prochain post

Le tuto si tu bloques sur quelque chose --> http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

A + :P

 

 

Tornado

 

L'adresse http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php

 

ne focntionne pas !!!

 

A+

tornado Full Patch Member

tornado

Posté(e)
Posté(e)

Re,

 

 

 

Eh ***** j'avais oublié ce détail. Avast détecte l'activex comme infectieux, alors qu'il ne l'est pas du tout.

 

Et cela fait longtemps que ça dure, Alwil n'ayant toujours pas résolu ce problème.

 

 

Il va donc falloir que tu désactives la protection résidente d'avast le temps du scan (clic droit sur le "a" d'avast dans la barre des tâches --> "arrêter la protection résidente). Et ne t'inquiète pas, tu ne risques rien :P

 

 

A+ :P

CIOCC Power Member

CIOCC

Posté(e)
  • Auteur
Posté(e)

Re,

Bon apparemment, il n'est pas infectieux ce fichier :P

Ton rapport hijackthis est donc propre...

 

Tu peux faire le scan en ligne de panda --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE)

 

- Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Copie le rapport du scan et met-le dans ton prochain post

Le tuto si tu bloques sur quelque chose --> http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

A + :P

 

Re,

 

Le scan est en cours et il a déjà trouvé

 

7 Logiciels espion

3 outils de piratages outil indésirables

 

Au bas de la fenetre, il y a une flèche : Conseil de désinfection

 

Dois-je faire quelque chose avec ou bien attendre la fin et envoyer le rapport?

 

A+

CIOCC Power Member

CIOCC

Posté(e)
  • Auteur
Posté(e)

Re,

 

Le scan est en cours et il a déjà trouvé

 

7 Logiciels espion

3 outils de piratages outil indésirables

 

Au bas de la fenetre, il y a une flèche : Conseil de désinfection

 

Dois-je faire quelque chose avec ou bien attendre la fin et envoyer le rapport?

 

A+

 

Re,

 

Voici le raport du scan

 

 

 

Incident Statut Analyse

 

Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\SiteProcAceStupid\multi bind.exe

Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\SiteProcAceStupid\upless.exe

Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\SiteProcAceStupid\wave trust.exe

Adware:Adware/Lop No Désinfecté C:\Documents and Settings\HP_Administrateur\Application Data\BOLD ADMIN\Interping.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\HP_Administrateur\Bureau\SmitfraudFix\Process.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\HP_Administrateur\Bureau\SmitfraudFix.zip[Process.exe]

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@serving-sys[2].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@tradedoubler[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@xiti[1].txt

Outil indésirable:Application/KillApp.B No Désinfecté C:\hp\bin\KillIt.exe

 

A+

tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Re CIOCC,

 

 

 

Lop... aurais-tu entre temps installé messengerplus, avec les sponsors ?

 

 

J'aimerais que tu postes un nouveau rapport hijackthis, pour vérifier si il y a des clés Run correspondantes, ou pas...

 

 

 

A+ :P

Modifié par tornado

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...