Virus win32
Fermé
bordelik
-
11 juin 2012 à 16:15
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 11 juin 2012 à 22:09
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 11 juin 2012 à 22:09
A voir également:
- Virus win32
- Svchost.exe virus - Guide
- Faux message virus iphone ✓ - Forum iPhone
- Win32:bogent - Forum Virus
- Trojan win32 - Forum Virus
- Win32:malware-gen ✓ - Forum Virus
29 réponses
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
11 juin 2012 à 20:18
11 juin 2012 à 20:18
peux-tu envoyer ce fichier sur https://www.virustotal.com/gui/ ?
C:\Windows\SysWow64\IntelCpHeciSvc.exe
et me coller le lien vers l'analyse.
=============================================
copie ces lignes :
M2 - MFEP: prefs.js [Thibault - 80xekhpd.default\ffxtlbr@babylon.com] [] Babylon v1.2.0 (.Babylon.) => Infection BT (Toolbar.Babylon)
O4 - HKUS\S-1-5-21-4228051853-4042188132-206577013-1001-4228051853-4042188132-206577013-1000\..\Run: [HKCU] C:\Windows\system32\windir\svcshot.exe (.not file.) => Infection Diverse
O4 - HKUS\S-1-5-21-4228051853-4042188132-206577013-1001-4228051853-4042188132-206577013-1000\..\Run: [WindowsUpdates.exe] C:\Users\UpdatusUser\AppData\Roaming\Microsoft Windows Updates.exe (.not file.) => Infection FakeAlert (Possible)
O4 - HKUS\S-1-5-21-4228051853-4042188132-206577013-1001-4228051853-4042188132-206577013-1000\..\Run: [explorer.exe] C:\Users\UpdatusUser\AppData\Roaming\system\explorer.exe (.not file.) => Infection Diverse (.)
O47 - AAKE:Key Export SP - "C:\Users\Thibault\AppData\Roaming\blackshades.exe" [Enabled] .(...) -- C:\Users\Thibault\AppData\Roaming\blackshades.exe (.not file.) => Infection FakeAlert (Possible)
O47 - AAKE:Key Export SP - "C:\Users\Thibault\AppData\Roaming\system\explorer.exe" [Enabled] .(...) -- C:\Users\Thibault\AppData\Roaming\system\explorer.exe (.not file.) => Infection FakeAlert (Possible)
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.tlbrSrchUrl","http://start.facemoods.com/?a=ironto&f=3"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.hmpgUrl", "http://start.facemoods.com/?a=ironto"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.id", "da14c64900000000000078929c15c935"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.sid", "561ac6916bf64d4388cd978c72ade694"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.instlDay", "15336"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.vrsn", "1.4.17.11"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.prtnrId", "facemoods.com"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.aflt", "ironto"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.DNSErrUrl","http://start.facemoods.com/?a=ironto&f=5"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.mntz",""); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.hmpg", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.dfltSrch", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.searchProviderAdded", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.dfltSrchPrvdr", "Facemoods Search"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.dnsErr", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.newTab", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.newTabUrl", "http://start.facemoods.com/?a=ironto&f=2"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.firstRun", true); => Adware.Facemoods
C:\Users\Thibault\AppData\Roaming\Mozilla\Firefox\Profiles\80xekhpd.default\Extensions\ffxtlbr@babylon.com => Infection BT (Toolbar.Babylon)
G0 - GCSP: Preference [User Data\Default][HomePage] https://www.google.com/#u_ip=91.209.35.218
R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.google.com/#u_ip=91.209.35.218
[MD5.00000000000000000000000000000000] [APT] [{110D55EB-4516-424F-BC76-FE046D3FEE17}] (...) -- C:\Users\Thibault\Downloads\Skin Installer Ultimate\Skin Installer Ultimate\Skin Installer Ultimate.exe (.not file.) => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{4C5043B1-6FFC-466F-8E48-B2A00D96912F}] (...) -- F:\Crack\Maj\6.2.4\Sims3_6.2.4.010001_from_6.1.11.009001.exe (.not file.) => Crack, KeyGen, Keymaker - Possible Malware
[MD5.00000000000000000000000000000000] [APT] [{C3476F3C-8CB8-4995-9A4C-5BE8D41092DB}] (...) -- F:\Crack\Maj\6.1.1\Sims3_6.1.11.009001_from_6.0.81.009001.exe (.not file.) => Crack, KeyGen, Keymaker - Possible Malware
[MD5.00000000000000000000000000000000] [APT] [{ED2D70F1-3EEF-4FBF-A84F-5FDFD7CB036C}] (...) -- C:\Program Files (x86)\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\setup.exe (.not file.) => Fichier absent
O41 - Driver: (dtsoftbus01) . (. - .) - C:\Windows\System32\DRIVERS\dtsoftbus01.sys (.not file.) => Fichier absent
O44 - LFC:[MD5.6E89E9B2B4B2F63988FACA5F1AD69904] - 11/06/2012 - 15:11:25 ---A- . (...) -- C:\user.js [237]
O87 - FAEL: "TCP Query User{7A540499-B0BA-40A0-9C9D-6747B0F2B073}C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{A0C5FB3C-495D-432A-B94D-783E3207F56C}C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{9D4F3423-D5A5-44EE-A010-A583DDA82E5B}C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{28AF65E9-F21F-4E08-9423-2363909589D9}C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{328D9053-AE7D-470F-B512-AAB87A6043A6}C:\users\thibault\desktop\kw.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\thibault\desktop\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{F91FDABA-79E9-4380-9E7E-D2B63D2E9E63}C:\users\thibault\desktop\kw.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\thibault\desktop\kw.exe (.not file.) => Fichier absent
EMPTYTEMP
EMPTYFLASH
EMPTYCLSID
Ouvre ZHPFIX
Clique sur le H puis sur GO et poste le rapport.
C:\Windows\SysWow64\IntelCpHeciSvc.exe
et me coller le lien vers l'analyse.
=============================================
copie ces lignes :
M2 - MFEP: prefs.js [Thibault - 80xekhpd.default\ffxtlbr@babylon.com] [] Babylon v1.2.0 (.Babylon.) => Infection BT (Toolbar.Babylon)
O4 - HKUS\S-1-5-21-4228051853-4042188132-206577013-1001-4228051853-4042188132-206577013-1000\..\Run: [HKCU] C:\Windows\system32\windir\svcshot.exe (.not file.) => Infection Diverse
O4 - HKUS\S-1-5-21-4228051853-4042188132-206577013-1001-4228051853-4042188132-206577013-1000\..\Run: [WindowsUpdates.exe] C:\Users\UpdatusUser\AppData\Roaming\Microsoft Windows Updates.exe (.not file.) => Infection FakeAlert (Possible)
O4 - HKUS\S-1-5-21-4228051853-4042188132-206577013-1001-4228051853-4042188132-206577013-1000\..\Run: [explorer.exe] C:\Users\UpdatusUser\AppData\Roaming\system\explorer.exe (.not file.) => Infection Diverse (.)
O47 - AAKE:Key Export SP - "C:\Users\Thibault\AppData\Roaming\blackshades.exe" [Enabled] .(...) -- C:\Users\Thibault\AppData\Roaming\blackshades.exe (.not file.) => Infection FakeAlert (Possible)
O47 - AAKE:Key Export SP - "C:\Users\Thibault\AppData\Roaming\system\explorer.exe" [Enabled] .(...) -- C:\Users\Thibault\AppData\Roaming\system\explorer.exe (.not file.) => Infection FakeAlert (Possible)
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.tlbrSrchUrl","http://start.facemoods.com/?a=ironto&f=3"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.hmpgUrl", "http://start.facemoods.com/?a=ironto"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.id", "da14c64900000000000078929c15c935"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.sid", "561ac6916bf64d4388cd978c72ade694"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.instlDay", "15336"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.vrsn", "1.4.17.11"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.prtnrId", "facemoods.com"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.aflt", "ironto"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.DNSErrUrl","http://start.facemoods.com/?a=ironto&f=5"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.mntz",""); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.hmpg", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.dfltSrch", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.searchProviderAdded", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.dfltSrchPrvdr", "Facemoods Search"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.dnsErr", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.newTab", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.newTabUrl", "http://start.facemoods.com/?a=ironto&f=2"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.firstRun", true); => Adware.Facemoods
C:\Users\Thibault\AppData\Roaming\Mozilla\Firefox\Profiles\80xekhpd.default\Extensions\ffxtlbr@babylon.com => Infection BT (Toolbar.Babylon)
G0 - GCSP: Preference [User Data\Default][HomePage] https://www.google.com/#u_ip=91.209.35.218
R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.google.com/#u_ip=91.209.35.218
[MD5.00000000000000000000000000000000] [APT] [{110D55EB-4516-424F-BC76-FE046D3FEE17}] (...) -- C:\Users\Thibault\Downloads\Skin Installer Ultimate\Skin Installer Ultimate\Skin Installer Ultimate.exe (.not file.) => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{4C5043B1-6FFC-466F-8E48-B2A00D96912F}] (...) -- F:\Crack\Maj\6.2.4\Sims3_6.2.4.010001_from_6.1.11.009001.exe (.not file.) => Crack, KeyGen, Keymaker - Possible Malware
[MD5.00000000000000000000000000000000] [APT] [{C3476F3C-8CB8-4995-9A4C-5BE8D41092DB}] (...) -- F:\Crack\Maj\6.1.1\Sims3_6.1.11.009001_from_6.0.81.009001.exe (.not file.) => Crack, KeyGen, Keymaker - Possible Malware
[MD5.00000000000000000000000000000000] [APT] [{ED2D70F1-3EEF-4FBF-A84F-5FDFD7CB036C}] (...) -- C:\Program Files (x86)\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\setup.exe (.not file.) => Fichier absent
O41 - Driver: (dtsoftbus01) . (. - .) - C:\Windows\System32\DRIVERS\dtsoftbus01.sys (.not file.) => Fichier absent
O44 - LFC:[MD5.6E89E9B2B4B2F63988FACA5F1AD69904] - 11/06/2012 - 15:11:25 ---A- . (...) -- C:\user.js [237]
O87 - FAEL: "TCP Query User{7A540499-B0BA-40A0-9C9D-6747B0F2B073}C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{A0C5FB3C-495D-432A-B94D-783E3207F56C}C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{9D4F3423-D5A5-44EE-A010-A583DDA82E5B}C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{28AF65E9-F21F-4E08-9423-2363909589D9}C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{328D9053-AE7D-470F-B512-AAB87A6043A6}C:\users\thibault\desktop\kw.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\thibault\desktop\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{F91FDABA-79E9-4380-9E7E-D2B63D2E9E63}C:\users\thibault\desktop\kw.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\thibault\desktop\kw.exe (.not file.) => Fichier absent
EMPTYTEMP
EMPTYFLASH
EMPTYCLSID
Ouvre ZHPFIX
Clique sur le H puis sur GO et poste le rapport.
voici l analyse :
https://www.virustotal.com/file/288ea64a57057ead135685f2c46ca53ba0319ea28b7b7a2ecbe29e50ed807fca/analysis/1339439108/
https://www.virustotal.com/file/288ea64a57057ead135685f2c46ca53ba0319ea28b7b7a2ecbe29e50ed807fca/analysis/1339439108/
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
11 juin 2012 à 20:42
11 juin 2012 à 20:42
héberge-le sur cjoint.com :)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
11 juin 2012 à 20:51
11 juin 2012 à 20:51
t'as fait quoi ? mdr
m'enfin c'bon.
reste ça : https://gen-hackman.kanak.fr/
m'enfin c'bon.
reste ça : https://gen-hackman.kanak.fr/
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
11 juin 2012 à 22:09
11 juin 2012 à 22:09
bah en fait t'as copié/collé ton premier rapport ZHPFix dans ZHPFix et t'as refais un nettoyage :o)
Mais y'a pas eu de conséquences ;)
Fais le grand nettoyage de printemps maintenant :p
Mais y'a pas eu de conséquences ;)
Fais le grand nettoyage de printemps maintenant :p
willy97418
Messages postés
13
Date d'inscription
lundi 11 juin 2012
Statut
Membre
Dernière intervention
11 juin 2012
11 juin 2012 à 17:28
11 juin 2012 à 17:28
le virus la bloqué donc ne l'utilise plus mais utilise malwarabite et msnfix https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/43103.html sa marche sur windows 7.