High-Tech Santé Médecine Droit-Finances

Mettre

de la musique

sur une DSi

Rechercher : dans
Par :

Détection de TR/Spy.Banker.DS.1909248

Dernière réponse le 30 jui 2009 à 23:33:18 matelot83, le 25 jui 2009 à 22:16:02 
 Signaler ce message aux modérateurs

Bonjour,
Avira antivir premium v9 détecte TR/Spy.Banker.DS.1909248 sur Outlook express d'un des 3 ID utilisateurs définis sur mon PC sous windows XP Pro SP3. J'utilise GOTO Vade Retro antispam la détection a souvent lieu quand je mets à jour Vade Retro, mais aussi lors de la réception de mails. Rien sous les 2 autres ID Utilisateurs.
J'ai scané le PC avec Avira, il n'a rien trouvé (alors que le Guard le détecte en utilisation), avec Malwarebytes antimalware, il n'a rien trouvé. Jai fait un scan avec HiJackthis qe je joins ici.
Quelqu'un peut-il m'aider, s'agit-il d'un faux positif ? sinon comment l'éradiquer ?
Merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:54:38, on 25/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\SearchIndexer.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINNT\System32\wbem\wmiapsrv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\WINNT\system32\WF2K.EXE
C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
C:\Program Files\CardDetector\ICON225\CardDetector.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINNT\system32\SearchProtocolHost.exe
C:\WINNT\system32\SearchProtocolHost.exe
C:\WINNT\system32\wscntfy.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinFoxV2] C:\WINNT\system32\WF2K.EXE Initial
O4 - HKLM\..\Run: [VadeRetro Desktop] C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
O4 - HKLM\..\Run: [CardDetectorICON225] C:\Program Files\CardDetector\ICON225\CardDetector.exe
O4 - HKLM\..\Run: [BEWINTERNET-FR-DMGP-V2SessionManager] C:\Program Files\Orange\IEWInternet\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Service McAfee Framework (McAfeeFramework) - Unknown owner - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe (file missing)
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
End of file - 9189 bytes

Configuration: Windows XP Pro SP3 Internet Explorer 8.0

Meilleures réponses pour « Détection de TR/Spy.Banker.DS.1909248 » dans :
[Virus] Spy Sherif / Spy Sheriff VoirSpy Sherif est un spyware assez coriace utilisant le service d'affichage des messages de Windows pour afficher des messages sous la forme de pop-ups. Voici ci-dessous une procédure complète pour s'en débarrasser : 1) Avant toute chose installer...
Télécharger Spy Sweeper VoirTrès bon antispyware qui possède, selon son éditeur, la détection de spywares la plus sophistiquée du marché. Tout comme CounterSpy, Spy Sweeper est le leader mondial en matière de lutte contre les spywares !
Posez votre question Répondre

1

kduc, le 25 jui 2009 à 22:24:55

Salut,

Fais un scan en ligne ...
http://www.kaspersky.com/...

Clique sur > Accept.
Il est possible qu’ une barre jaune te demande d’ installer le
Kavwebscan_Unicode.cab (ActiveX) ; installe-le.
Clique une nouvelle fois sur > Accept.
Les mises à jour vont s’ installer. Patiente un moment.
Clique sur > Next.
Clique sur > My Computer. Le scan va commencer.
Attends la fin du scan (ne ferme pas la fenêtre, sinon il va stopper).
Une fois le scan achevé, poste le rapport.

Utilise Internet Explorer pour le scan et désactive Antivir le temps du scan.

   
Répondre à kduc

2

matelot83, le 26 jui 2009 à 08:24:11

Rien trouvé, voici le rappor :

KASPERSKY ONLINE SCANNER 7.0: rapport d'analyse
dimanche 26 juillet 2009
Système d'exploitation : Microsoft Windows XP Professional Service Pack 3 (build 2600)
Version de Kaspersky Online Scanner : 7.0.26.13
Dernière mise à jour de la base : Sunday, July 26, 2009 00:14:59
Enregistrements dans la base : 2532990
------------------------------------------------------------­--------------------

Paramètres d'analyse:
analyser avec la base suivante: étendue
Analyser les archives: oui
Analyser les bases de messagerie: oui

Zone d'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\

Statistiques d'analyse:
Objets analysés: 371897
Menaces trouvées: 0
Objets infectés trouvés: 0
Objets suspects trouvés: 0
Durée d'analyse: 05:34:32

Aucune menace trouvée. La zone d'analyse est propre.

La zone sélectionnée a été analysée.

   
Répondre à matelot83

3

kduc, le 26 jui 2009 à 18:03:36

Salut,

Ce n' est pas un faux positif.

Fais ce scan en ligne : http://www.bitdefender.fr/scan_fr/scan8/ie.html

Clique sur J' accepte > Démarrer l' analyse, etc ...

Une fois le scan achevé, sauvegarde le rapport et poste-le.

Tuto : http://forum.pcastuces.com/bitdefender_online_scanner___tutoriel-f31s2.htm

---
PS : désactive tes protections résidentes, notamment celle d' Antivir ...

http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm

   
Répondre à kduc

6

matelot83, le 27 jui 2009 à 11:26:20

Voici le log de bitdefender :


BitDefender Online Scanner


Rapport d'analyse généré à: Mon, Jul 27, 2009 - 11:12:36



Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;





Statistiques
Temps
00:37:37
Fichiers
108803
Directoires
21208
Secteurs de boot
0
Archives
2021
Paquets programmes
5978



Résultats
Virus identifiés
1
Fichiers infectés
1
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
1



Info sur les moteurs
Définition virus
3849907
Version des moteurs
AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)
Analyse des plugins
17
Archive des plugins
45
Unpack des plugins
7
E-mail plugins
6
Système plugins
4



Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ol­e;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rt­f;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;sm­m;pfd;msi;ini;csc;cmd;bas;
Excludez les extensions

Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui




Fichier analysé
Statut
C:\System Volume Information\_restore{9DDBFCAA-9B48-40EC-A49D-3F95DC524B5A}\R­P56\A0020802.dll
Infecté par: DeepScan:Generic.Banker.Delf.3D090796
C:\System Volume Information\_restore{9DDBFCAA-9B48-40EC-A49D-3F95DC524B5A}\R­P56\A0020802.dll
Echec de la désinfection
C:\System Volume Information\_restore{9DDBFCAA-9B48-40EC-A49D-3F95DC524B5A}\R­P56\A0020802.dll
Supprimé

   
Répondre à matelot83

4

matelot83, le 26 jui 2009 à 23:51:57

J'étais absent aujourd'hui, ce matin après avoir posté mon message en attendant le tien, j'ai lancé escan antivirus toolkit en mode sans échec (on me l'avais déja fait utiliser) à tout hasard, je lancerai demain soir bitdefender en attendant voici le log de escan qui est positif :

Sun Jul 26 23:02:31 2009 => Checking for Parite.a Virus...
Sun Jul 26 23:02:31 2009 => ***** Scanning complete. *****
Sun Jul 26 23:02:31 2009 => Total Number of Files Scanned: 382458
Sun Jul 26 23:02:31 2009 => Total Number of Virus(es) Found: 5
Sun Jul 26 23:02:31 2009 => Total Number of Disinfected Files: 0
Sun Jul 26 23:02:31 2009 => Total Number of Files Renamed: 4
Sun Jul 26 23:02:31 2009 => Total Number of Deleted Files: 0
Sun Jul 26 23:02:31 2009 => Total Number of Errors: 17
Sun Jul 26 23:02:31 2009 => Time Elapsed: 10:54:32
Sun Jul 26 23:02:31 2009 => Virus Database Date: 2009/07/26
Sun Jul 26 23:02:31 2009 => Virus Database Count: 2534430

File C:\Documents and Settings\Maxime\Application Data\Microsoft\Office\Récents\??? fin ?;?? ..........lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Maxime\Application Data\SecuROM\UserData\???????????p????????? infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Maxime\Application Data\SecuROM\UserData\???????????p????????? infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Maxime\Mes documents\??? fin ?;?? ..........doc infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{9DDBFCAA-9B48-40EC-A49D-3F95DC524B5A}\RP39\A0017961.exe tagged as not-a-virus:NetTool.Win32.Portscan.c. No Action Taken.

   
Répondre à matelot83

5

matelot83, le 27 jui 2009 à 00:13:52

Dernière nouvelle sur mes 3 ID utilisateurs du PC, un deuxième outlook express est infecté depuis ce soir

   
Répondre à matelot83

7

matelot83, le 27 jui 2009 à 23:08:27

Il semble que antivir génère des faux positifs :

http://forum.telecharger.01net.com/...

   
Répondre à matelot83

8

kduc, le 27 jui 2009 à 23:48:34

Salut,

Fais aussi ce scan (ça ne coûte rien) :

http://www.eset-nod32.fr/scanner.html (il faut utiliser Internet Explorer) …

- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt <-- le rapport

   
Répondre à kduc

10

matelot83, le 29 jui 2009 à 11:34:20

Tout ceci ne change pas l'alerte de avira antivir en tâche de fond sur le fichier : c:\documets and settings\Maxime\local settings\Temp\vr\vr00001.dll lors de la mise à jour de GOTO Vade Retro antispam. Ce fichier est un fichier de GOTO qui permet la mise à jour de l'antispam, qui est depuis bloquée par Antivir.
Si on fait contrôler ce fichier par Avira antivir ensuite, il ne trouve rien !!

J'ai fait contrôler le fichier par virus total :

Antivirus;Version;Dernière mise à jour;Résultat
a-squared;4.5.0.24;2009.07.28;Generic.Banker.Delf!IK
AhnLab-V3;5.0.0.2;2009.07.28;-
Antiy-AVL;2.0.3.7;2009.07.28;-
Authentium;5.1.2.4;2009.07.27;-
Avast;4.8.1335.0;2009.07.27;-
AVG;8.5.0.387;2009.07.27;-
CAT-QuickHeal;10.00;2009.07.28;-
ClamAV;0.94.1;2009.07.28;-
Comodo;1791;2009.07.28;-
DrWeb;5.0.0.12182;2009.07.28;-
eSafe;7.0.17.0;2009.07.27;-
eTrust-Vet;31.6.6642;2009.07.27;-
F-Prot;4.4.4.56;2009.07.27;-
F-Secure;8.0.14470.0;2009.07.28;-
Fortinet;3.120.0.0;2009.07.27;PossibleThreat
GData;19;2009.07.28;DeepScan:Generic.Banker.Delf.3D090796
Ikarus;T3.1.1.64.0;2009.07.28;Generic.Banker.Delf
Jiangmin;11.0.800;2009.07.28;-
K7AntiVirus;7.10.803;2009.07.27;-
Kaspersky;7.0.0.125;2009.07.28;-
McAfee;5690;2009.07.27;-
McAfee+Artemis;5690;2009.07.27;Artemis!13F52CD02583
Microsoft;1.4903;2009.07.28;-
NOD32;4283;2009.07.28;-
Norman;6.01.09;2009.07.27;-
nProtect;2009.1.8.0;2009.07.28;-
Panda;10.0.0.14;2009.07.27;Trj/CI.A
PCTools;4.4.2.0;2009.07.27;-
Prevx;3.0;2009.07.28;Medium Risk Malware
Rising;21.40.11.00;2009.07.28;-
Sophos;4.44.0;2009.07.28;Mal/Generic-A
Sunbelt;3.2.1858.2;2009.07.28;-
Symantec;1.4.4.12;2009.07.28;Infostealer.Bancos
TheHacker;6.3.4.3.375;2009.07.28;-
TrendMicro;8.950.0.1094;2009.07.28;-
ViRobot;2009.7.28.1856;2009.07.28;-
VirusBuster;4.6.5.0;2009.07.27;-

Information additionnelle
File size: 1909248 bytes
MD5...: 13f52cd02583c9b310b630e85f58db22
SHA1..: 6e811bb5c40531140c73bc98d18ee69ac19ad9ce
SHA256: 8695f2e5889517eee81cbecf5cb8d62c6c9f04660193bbc4b9e0eda39dc7­fe52
ssdeep: 24576:bndbPZRNR+sMTmV1U1yzk999kCB6+gJ2n9NrXSG425eQG3OiQ:7t5b­ODb9<BR>NxgS9lm+<BR>
PEiD..: -
TrID..: File type identification<BR>Win32 Executable Generic (58.3%)<BR>Win16/32 Executable Delphi generic (14.1%)<BR>Generic Win/DOS Executable (13.7%)<BR>DOS Executable Generic (13.6%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1c1694<BR>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 8 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x1bfb70 0x1bfc00 6.01 6323ef4cc9f65e759086926192dd06a0<BR>.itext 0x1c1000 0x6ac 0x800 5.48 efcd7f27e10bb35a3e7a31ad5d2e3819<BR>.data 0x1c2000 0x9524 0x9600 5.00 705abc6499407dc51d3f48fb64c7c039<BR>.bss 0x1cc000 0x33bc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.idata 0x1d0000 0xb78 0xc00 4.78 9bf12fa55801c721e2aaf7158b4bb75c<BR>.edata 0x1d1000 0x1be 0x200 4.72 a97d276c159a233f7a91da1410028f83<BR>.reloc 0x1d2000 0x5354 0x5400 6.67 60404204fa6f101a3b45cea82dd03b4b<BR>.rsrc 0x1d8000 0x2200 0x2200 3.78 b90ef872cf98c6344dd17ff250c82d9f<BR><BR>( 10 imports ) <BR>> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen<BR>> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<BR>> user32.dll: GetKeyboardType, DestroyWindow, LoadStringA, MessageBoxA, CharNextA<BR>> kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle<BR>> kernel32.dll: TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc<BR>> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA<BR>> kernel32.dll: WritePrivateProfileStringA, WriteFile, WaitForSingleObject, VirtualQuery, SetFilePointer, SetEvent, SetEndOfFile, ResetEvent, ReadFile, LeaveCriticalSection, InitializeCriticalSection, GetVersionExA, GetTimeZoneInformation, GetThreadLocale, GetStdHandle, GetProcAddress, GetPrivateProfileStringA, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileAttributesA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCPInfo, FreeLibrary, FormatMessageA, FileTimeToSystemTime, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CompareStringA, CloseHandle<BR>> kernel32.dll: Sleep<BR>> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit<BR>> wsock32.dll: ntohl<BR><BR>( 16 exports ) <BR>VadeRetroNotes, VrBufInfo, VrClearInfos, VrDecodeKeywords, VrFileScore, VrGetSpamState, VrMsgDate, VrMsgInfo, VrOutlookFilter, VrSetDefaultUserSetup, VrSetSpamState, VrSpamFilter, VrUpdateKeywords, VrUserSetupFromIni, VrVersion, vrGetSpamThreshold<BR>
PDFiD.: -
RDS...: NSRL Reference Data Set<BR>-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=CC0B16FA008DFA4622D91DB5F85AAF005DBA148F' target='_blank'>http://info.prevx.com/...

-------------------------------------------------------------------------------------------------------------------------------

Quelques antivirus le déterminent comme un "banker" possible.

J'en conclue provisoirement que c'est bien un faux positif et que pour avoir la paix, je dois demander à antivir de l'ignorer, et je fais un mail à GOTO pour leur demander ce qu'ils savent de leur produit.

   
Répondre à matelot83

11

matelot83, le 29 jui 2009 à 12:56:21

Et le rapport de ESETONLINE :

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=6
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.5889
# api_version=3.0.2
# EOSSerial=629cd6b6b1675a47a554caf50ffde4ee
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2009-07-28 11:51:34
# local_time=2009-07-29 01:51:34 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 37 75 100 943466875000
# scanned=370419
# found=4
# cleaned=1
# scan_time=8121
C:\Documents and Settings\Jean-Paul\Local Settings\Application Data\Identities\{B359F001-49A1-4372-9DE4-8AFEC220C868}\Microsoft\Outlook Express\Éléments envoyés.dbx une variante probable de Win32/SdBot cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
C:\Documents and Settings\Maxime\Local Settings\Application Data\Identities\{4215B730-F5D6-4680-82EE-370EE3196A20}\Microsoft\Outlook Express\Boîte de réception.dbx Win32/Joke.ScreenMate application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\Documents and Settings\Maxime\Mes documents\Felix.exe Win32/Joke.ScreenMate application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\Maxime\Mes documents\Outlook Express\Boîte de réception.dbx Win32/Joke.ScreenMate application (impossible de nettoyer) 00000000000000000000000000000000 I

   
Répondre à matelot83

12

kduc, le 29 jui 2009 à 22:39:00

Salut,

Tu as certainement un peu de ménage à faire dans ta boite Outlook Express ...

   
Répondre à kduc

13

matelot83, le 30 jui 2009 à 10:50:36

Vu OK, pour le pb voici la réponse du support GOTO Vade Retro :

"Le souci est bien connu au niveau de nos services, c'est ce qu'on appelle un faux positif, nous avons contacté Antivir et le souci est normalement réglé suite à une mise à jour de leur base.
A mon avis une réinstallation de votre antivirus devrait pallier au problème, si ce n'est pas le cas, il faudra ajouter la dll de vade retro dans les exceptions d'analyse de votre antivirus pour que la mise à jour de l'antispam puisse s'opérer normalement."

affaire résolue.
Merci pour toute l'intervention, tjrs beaucoup d'aide spontanée sur le site, merci à tous les helpers et toi en particulier.

   
Répondre à matelot83

14

 kduc, le 30 jui 2009 à 23:33:18

Salut,

Pas de quoi pour l' aide apportée ...

Quelques conseils ...
http://www.malekal.com/securiser_ordinateur.html
et aussi ...
http://www.malekal.com/securiser_internet_explorer.html

Sur ton tout premier message, mets le statut "résolu" :

http://www.commentcamarche.net/...

Bon surf.

   
Répondre à kduc
Posez votre question Répondre
Ils ont besoin de votre aide
Collection CommentÇaMarche.net