Il y a actuellement 478 visiteurs
Dimanche 22 Décembre 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

Analyse VirusTotal

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel

Analyse VirusTotal

Message le 03 Juin 2010 18:19

Salut à tous,

Cette fois, je n'ai besoin que d'un avis concernant un fichier que j'ai fait analyser en ligne par VirusTotal. Je vous copie ci-dessous le résultat, et j'aimerais savoir ce que vous en pensez...

Bien sincèrement,
RV.

Code: Tout sélectionner
a-squared    5.0.0.26    2010.05.31    -
AhnLab-V3    2010.05.30.00    2010.05.29    -
AntiVir    8.2.1.242    2010.05.31    Worm/AInfBot.BK.1
Antiy-AVL    2.0.3.7    2010.05.31    -
Authentium    5.2.0.5    2010.05.31    -
Avast    4.8.1351.0    2010.05.31    Win32:Trojan-gen
Avast5    5.0.332.0    2010.05.31    Win32:Trojan-gen
AVG    9.0.0.787    2010.05.31    -
BitDefender    7.2    2010.05.31    -
CAT-QuickHeal    10.00    2010.05.31    -
ClamAV    0.96.0.3-git    2010.05.31    -
Comodo    4965    2010.05.31    -
DrWeb    5.0.2.03300    2010.05.31    Trojan.PWS.Dybalom
eSafe    7.0.17.0    2010.05.30    -
eTrust-Vet    35.2.7522    2010.05.31    -
F-Prot    4.6.0.103    2010.05.31    -
F-Secure    9.0.15370.0    2010.05.31    -
Fortinet    4.1.133.0    2010.05.30    -
GData    21    2010.05.31    Win32:Trojan-gen
Ikarus    T3.1.1.84.0    2010.05.31    -
Jiangmin    13.0.900    2010.05.30    -
Kaspersky    7.0.0.125    2010.05.31    Worm.Win32.AInfBot.bk
McAfee    5.400.0.1158    2010.05.31    -
McAfee-GW-Edition    2010.1    2010.05.31    Artemis!91B305B9CAC5
Microsoft    1.5802    2010.05.31    -
NOD32    5158    2010.05.31    a variant of Win32/Injector.BVU
Norman    6.04.12    2010.05.31    -
nProtect    2010-05-31.01    2010.05.31    -
Panda    10.0.2.7    2010.05.30    Suspicious file
PCTools    7.0.3.5    2010.05.31    -
Prevx    3.0    2010.05.31    -
Rising    22.50.00.04    2010.05.31    -
Sophos    4.53.0    2010.05.31    Mal/Generic-L
Sunbelt    6382    2010.05.31    -
Symantec    20101.1.0.89    2010.05.31    -
TheHacker    6.5.2.0.290    2010.05.31    -
TrendMicro    9.120.0.1004    2010.05.31    -
TrendMicro-HouseCall    9.120.0.1004    2010.05.31    -
VBA32    3.12.12.5    2010.05.31    -
ViRobot    2010.5.31.2331    2010.05.31    -
VirusBuster    5.0.27.0    2010.05.31    -
Information additionnelle
File size: 1462272 bytes
MD5   : 91b305b9cac5271a25b1756829487e6d
SHA1  : b3dffc65efa200bcf947242d86bb368b87145c8a
SHA256: 24df72b3e5fc9d6f6dd3d183fce829600e544c4e70ff37fd79de70a11754dfbf
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x17D8
timedatestamp.....: 0x4BFF8587 (Fri May 28 10:57:43 2010)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xE3DC 0xF000 5.38 4442dd8a0469de17d33ab86bb2af80c5
.data 0x10000 0x964 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x11000 0x1537F8 0x154000 7.91 44ad86ef68070efd2f35267a67e24774

( 1 imports )

> msvbvm60.dll: __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaFreeVar, __vbaAryMove, __vbaLenBstr, __vbaStrVarMove, __vbaFreeVarList, _adj_fdiv_m64, -, _adj_fprem1, __vbaRecAnsiToUni, -, __vbaStrCat, __vbaLsetFixstr, __vbaSetSystemError, __vbaRecDestruct, __vbaHresultCheckObj, _adj_fdiv_m32, -, __vbaAryVar, __vbaAryDestruct, -, -, __vbaOnError, -, _adj_fdiv_m16i, _adj_fdivr_m16i, -, -, _CIsin, -, __vbaErase, __vbaVarCmpGt, __vbaVarZero, -, __vbaChkstk, __vbaFileClose, __vbaGenerateBoundsError, __vbaStrCmp, __vbaPutOwner3, __vbaVarTstEq, __vbaAryConstruct2, __vbaI2I4, DllFunctionCall, __vbaRedimPreserve, _adj_fpatan, __vbaFixstrConstruct, __vbaRedim, __vbaUI1ErrVar, __vbaRecUniToAnsi, __vbaUI1I2, _CIsqrt, __vbaExceptHandler, _adj_fprem, _adj_fdivr_m64, -, __vbaFPException, __vbaInStrVar, -, __vbaGetOwner3, __vbaUbound, __vbaStrVarVal, __vbaVarCat, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaR8Str, -, __vbaNew2, __vbaInStr, __vbaVar2Vec, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaI4Str, -, __vbaFreeStrList, __vbaDerefAry1, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaI4Var, __vbaVarCmpEq, __vbaAryLock, __vbaStrToAnsi, __vbaVarDup, __vbaAryVarVarg, __vbaFpI4, __vbaRecDestructAnsi, -, _CIatan, __vbaStrMove, __vbaAryCopy, -, __vbaStrVarCopy, _allmul, _CItan, __vbaAryUnlock, __vbaFPInt, _CIexp, __vbaFreeObj, __vbaFreeStr

( 0 exports )
TrID  : File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
Symantec reputation: Suspicious.Insight http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
ssdeep: 24576:Gbk6gx8EvFtnveKn1BX/OT2WlABXNwWdepzKurH/k5xyMi0BYawnei:P8Ev6K1BXz6AEHpmu7WxPDBYaw
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD  : -
RDS   : NSRL Reference Data Set
-
hervax
Sous Expert(e)
Sous Expert(e)
 
Messages: 49
Inscription: 03 Mar 2010 14:38
 


Re: Analyse VirusTotal

Message le 03 Juin 2010 19:04

hello,

Tu as le nom exact et l'emplacement de ce fichier stp...? :wink:
Avatar de l'utilisateur
jeanmimigab
PC-Infopraticien
PC-Infopraticien
 
Messages: 2986
Inscription: 29 Nov 2009 12:05
 

Re: Analyse VirusTotal

Message le 03 Juin 2010 19:06

re,

il ne se trouve pas dans %temp% par hasard 8)
EDIT
Le mD5 conduit ici...http://www.threatexpert.com/report.aspx ... 6829487e6d
Avatar de l'utilisateur
jeanmimigab
PC-Infopraticien
PC-Infopraticien
 
Messages: 2986
Inscription: 29 Nov 2009 12:05
 

Re: Analyse VirusTotal

Message le 03 Juin 2010 20:03

Salut, et merci pour ce lien!

Pas pensé à tester à partir du MD5. Le fichier d'origine, que j'avais reçu par mail, devait être un soi-disant keygen pour un produit Krosoft...

A+, RV.

PS: j'ai re-tenté une analyse par VirusTotal, il me trouve maintenant 25 positifs sur 41 au lieu de 10 il y a seulement 3 jours...
hervax
Sous Expert(e)
Sous Expert(e)
 
Messages: 49
Inscription: 03 Mar 2010 14:38
 

Re: Analyse VirusTotal

Message le 03 Juin 2010 20:10

c'est un dropper, est ce que tu peux le zipper et me l'envoyer par mail (je te le file en MP)>> tu mets le mot de passe infected quand tu le compresses, sinon ton Antivirus ou celui de ma boite Hotmail va couiner et bloquer l'envoie

merci d'avance :wink:
Avatar de l'utilisateur
jeanmimigab
PC-Infopraticien
PC-Infopraticien
 
Messages: 2986
Inscription: 29 Nov 2009 12:05
 

Re: Analyse VirusTotal

Message le 03 Juin 2010 21:19

C'est parti. Peux-tu juste me dire ce que tu entends par "c'est un dropper" ? :o
hervax
Sous Expert(e)
Sous Expert(e)
 
Messages: 49
Inscription: 03 Mar 2010 14:38
 

Re: Analyse VirusTotal

Message le 04 Juin 2010 05:50

re,

c'est à dire que ce fichier n'est pas infectieux à proprement dit, mais il a des propriété de BotIRC qui fait qu'il se connectera à un serveur distant afin de télécharger 9/10 fois des roques destinés à générer de fausse alertes virales afin de te faire acheter une version payante, bref une grosse arnaque
un rogue c'est ça...
viewtopic-47974-0-asc-135.html#p383495

en général, quand tu l'exécutes, il disparait de son emplacement d'origine et va se loger dans les fichiers temps ou dans le menu démarrer, ainsi il s'exécuter à chaque démarrage, certain modifie même la séquence de démarrage de windows

merci pour le fichier, je le test et te tient au parfum pour te dire de quoi il en résulte exactement :wink:

bonne journée
Avatar de l'utilisateur
jeanmimigab
PC-Infopraticien
PC-Infopraticien
 
Messages: 2986
Inscription: 29 Nov 2009 12:05
 

Re: Analyse VirusTotal

Message le 04 Juin 2010 06:07

Ok! Merci pour l'explication.
J'ai donc bien fait de m'abstenir pour le moment. J'avais déjà demandé de l'aide à bernard53 il y a 3 mois pour débarrasser l'ordi d'un collègue de Dr.Guard (sur ce lien: infection-dr-guard-et-vt-49962.html).
A+, RV.
hervax
Sous Expert(e)
Sous Expert(e)
 
Messages: 49
Inscription: 03 Mar 2010 14:38
 

Re: Analyse VirusTotal

Message le 04 Juin 2010 20:06

hello,

ben heureusement que tu ne l'as pas installer,

il m'a planter mon pc en 15 minutes, et deux heure de boulot pour arriver à redémarre le pc :roll:

le dropper se connecte et rapatrie un fichier qui patch le driver tcpip et un rootkit

le script exécuter sous OTLPE ppour pouvoir redémarrer le pc
:Files
C:\WINDOWS\System32\explorer.exe <<< UN EXPLORER.EXE DANS SYSTEM32 LOL
C:\WINDOWS\system32\sshnas21.dll
C:\WINDOWS\system32\drivers\kpjly.sys <<<< LE ROOTKIT
C:\WINDOWS\System32\net.net
C:\WINDOWS\raidhost.exe ()
D:\Documents and Settings\papa\Local Settings\Application Data\kqwaknekq\cgnejlptssd.exe
c:\Apps\HDReg\HDRegApp.exe
C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
C:\WINDOWS\System32\gmsykbkmfo.dll
C:\WINDOWS\System32\mmscslbd.dll
C:\WINDOWS\System32\juaswxmu.dll
C:\WINDOWS\System32\rplzdgqr.exe
B:\Documents and Settings\Default User\Desktop\Internet Explorer.lnk
C:\WINDOWS\system32\drivers\tcpip.sys | C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys /replace <<< LA RESTAURATION DE MON DRIVER PATCHE

:OTL
SRV - (SSHNAS) -- C:\WINDOWS\system32\sshnas21.dll ()
DRV - (kpjly) -- C:\WINDOWS\system32\drivers\kpjly.sys ()
O4 - HKLM\..\Run: [net] C:\WINDOWS\System32\net.net (Privat)
O4 - HKLM\..\Run: [raidhost.exe] C:\WINDOWS\raidhost.exe () <<< LE DROPPER qui est dans ton keygen
O4 - HKU\papa_ON_E\..\Run: [fqchseyy] D:\Documents and Settings\papa\Local Settings\Application Data\kqwaknekq\cgnejlptssd.exe File not found
O4 - HKLM\..\RunOnce: [HDReg] c:\Apps\HDReg\HDRegApp.exe (Altwood Systems Ltd)
O7 - HKU\papa_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\papa_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EditLevel = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLogOff = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFileMenu = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCommonGroups = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoUserNameInStartMenu = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogoff = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispBackgroundPage = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispScrSavPage = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoColorChoice = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoSizeChoice = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoVisualStyleChoice = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SetVisualStyle = %SystemRoot%\Resources\Themes\Luna.theme ()
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\System32\explorer.exe [2010/05/31 04:18:02 | 000,000,000 | -H-D | M]
ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player

Le fichier téléchargé par le dropper qui a installé l'infection n'est pas dans le script, je l'ai viré manuellement

Le rogue qui a été installé est un faux "AntiVir"
il a mis un foutoir dans mon pc test :roll:
Bref, que du bonheur :lol:
Avatar de l'utilisateur
jeanmimigab
PC-Infopraticien
PC-Infopraticien
 
Messages: 2986
Inscription: 29 Nov 2009 12:05
 

Re: Analyse VirusTotal

Message le 04 Juin 2010 22:04

Bien content d'avoir pu te rendre service :lol:
hervax
Sous Expert(e)
Sous Expert(e)
 
Messages: 49
Inscription: 03 Mar 2010 14:38
 

Re: Analyse VirusTotal

Message le 05 Juin 2010 06:32

hello,

Bien content d'avoir pu te rendre service


Tu crois pas si bien dire, c'est dernier temps les roques plantent le pc en pagaille et pouvoir l'étudier nous facilitera le dépannage des pc qui sont plantés ou ne démarre qu'en mode sans échec.

Encore merci pour le fichier :wink:

bonWE
Avatar de l'utilisateur
jeanmimigab
PC-Infopraticien
PC-Infopraticien
 
Messages: 2986
Inscription: 29 Nov 2009 12:05
 

Re: Analyse VirusTotal

Message le 05 Juin 2010 11:19

jeanmimigab a écrit:
en général, quand tu l'exécutes, il disparait de son emplacement d'origine et va se loger dans les fichiers temps ou dans le menu démarrer, ainsi il s'exécuter à chaque démarrage, certain modifie même la séquence de démarrage de windows



jean mi, tu sais pas des fois si ca change aussi l ordre de boot des gadgets de vista ?
Avatar de l'utilisateur
NEO HYUGA
PC-Infopraticien
PC-Infopraticien
 
Messages: 3020
Inscription: 29 Mar 2004 19:43
Localisation: dans mes fringues ;)
 

Re: Analyse VirusTotal

Message le 06 Juin 2010 10:10

hello Neo Hyuga,

pas à ma connaissant....

Quand je parle de modifier la "séquence de démarrage de windows", je parle d'une modification de la clef "winlogon".
La donnée de la valeur 'userinit" et modifiée comme cela par exemple:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit"="C:\WINDOWS\system32\vilain.exe"

La vrais donnée de cette valeur est "C:\WINDOWS\system32\userinit.exe," et non "C:\WINDOWS\system32\vilain.exe,"
Dans ce cas la au lieu d'appeler le fichier "userinit.exe", c'est vilain.exe qui est appelé (il contrôle totalement le démarrage de la cession)
Ici le gros souci c'est que si ton anti-virus vire le fichier "vilain.exe" ton pc ne démarre plus (même en MSE)

========================================================================================================

Mais aussi du shell spawning.....ici ce n'est pas le vrais "explorer.exe" qui est appelé (le vrais est dans %windir%)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\WINDOWS\System32\explorer.exe"


La vrais donnée de cette valeur est "Explorer.exe" et non""C:\WINDOWS\System32\explorer.exe"
Idem que pour le cas précédent, Ici le gros souci c'est que si ton anti-virus vire le fichier "C:\WINDOWS\System32\explorer.exe" tu te retrouve (normalement, car je n'ai jamais testé) avec une page noir à la place du bureau, ce qui peux laisser croire que le pc est planté.

Après je passe les problèmes le problème plus compliqués de modification de la MBR et du Kernel...quand certains rootkits sont là...

Mais pour les gadgets de Vista, je n'ai jamais vue de souci lié à une infection.
La seule chose qui pourrait éventuellement jouer sur l'ordre de chargement de ces gadget, c'est leur rapidité à s'ouvrir à mon avis ( aussi si il se connecte au web, météo, bourse etc)

@++
Avatar de l'utilisateur
jeanmimigab
PC-Infopraticien
PC-Infopraticien
 
Messages: 2986
Inscription: 29 Nov 2009 12:05
 

Re: Analyse VirusTotal

Message le 06 Juin 2010 12:23

ok merci jeanmi ;)
Avatar de l'utilisateur
NEO HYUGA
PC-Infopraticien
PC-Infopraticien
 
Messages: 3020
Inscription: 29 Mar 2004 19:43
Localisation: dans mes fringues ;)
 



Sujets similaires

Message Aide suite à une analyse FRST contre un virus vbc.exe
Bonjour tout le monde, J'ai récemment constaté que j'étais infecté par un virus lié à vbc.exe, ce qui entraîne une utilisation du CPU allant jusqu'à 30% voire 40%. J'ai donc effectué mes analyses FRST et voici les rapports obtenus : - FRST.txt: https://pjjoint.malekal.com/files.php?id=FRST_20240315_ ...
Réponses: 3

Message [Réglé] Aide pour analyse fichier FRST
Bonsoir,J'ai une fenêtre Powershell.exe qui s'ouvre et se ferme quelques minutes après le démarrage et ca n'était pas le cas avant.Mise à jour windows et mise à jour Nvidia récente.J'ai effectué une analyse et j'ai obtenu les fichiers texte suivants.Est ce que quelqu'un peut m'aider et me dire de qu ...
Réponses: 7

Message analyse rapport RogueKiller
Bonjour,Mon pc est trop long aujourd'hui. le scan par RogueKiller fait apparaitre 2 virus ou genre malicieux.quelq"un pourra m'expliquer de quoi il s'agit exactement?merci d'avance
Réponses: 1

Message [Réglé] Rapport desinfection suite analyse FRST64
FRST.txtAddition.txtShortcut.txtBonjour, suite a mon message posté il y a quelques jours concernant un ordinateur tres lent, je vous poste aujourd'hui le résultat.Merci pour vos réponsesMF
Réponses: 4

Message [Réglé] erreur ccleaner analyse de registre
Salut tout le mondeen me servant de CCleaner je me suis aperçu de cette erreur impossible à réparer j'ai recommencé chaque fois elle revient voici la capture écran :https://cjoint.com/c/KBgsoszS5Hf
Réponses: 11

Message [W10] Analyse et Réparation du lecteur C:
Bonjour,Je vous écris car quand j'ai démarré mon PC ce matin, une analyse et une réparation du lecteur C: a été effectuée automatiquement. Ça m'a étonné car il n'y a eu aucun événement notable qui aurait pu pousser mon PC à le faire. Il a toujours été éteint normalement, je l'ai jamais fait de force ...
Réponses: 3


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 112 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.