seres.exe / svcst.exe / braviax et alertes de sécurité

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

seres.exe / svcst.exe / braviax et alertes de sécurité

par Malekal_morte »

Pour supprimer cette infection, se rendre à l'adresse : https://www.malekal.com/WinAntiVirusPro ... navxmy.php


Après l'infection winntify.exe qui affiche une alerte via une icône avec un rong barré, ceci afin de vous faire faire télécharger le rogue WinAntiSpyware 2007 & Privacy Protector

Image

C'est au tour du rogue WinAntivirus Pro 2007 d'avoir son infection.

Cette infection ajoute le aussi une icône avec un triangle jaune qui affiche des alertes.

Image

L'alerte se fait à travers le fichier : winavxmy.exe
Si vous cliquez sur l'icône vous arrivez sur des sites qui affichent de fausses alertes afin de vous faire télécharger/acheter WinAntivirus Pro 2007

Par exemple :

Image


L'infection ajoute les lignes suivantes sur HijackThis

O2 - BHO: CIEIntegrator Object - {2178F3FB-2560-458F-BDEE-631E2FE0DFE4} - C:\Program Files\WinAntiVirus Pro 2007\winpgi.dll
O2 - BHO: IEFW Object - {B5141620-C2B2-4D95-9F0F-134D99C87AB0} - C:\Program Files\WinAntiVirus Pro 2007\IEFWBHO.dll
O4 - HKLM\..\Run: [WinAntiSpyware 2006 Free] "C:\Program Files\WinAntiSpyware 2006 Free\was6.exe" /min
O4 - HKLM\..\Run: [uwas6cw] "C:\Program Files\WinAntiSpyware 2006 Free\uwas6cw.exe" -c
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvX.exe
O4 - HKLM\..\Run: [uwa7pcw] "C:\Program Files\Common Files\WinAntiVirus Pro 2007\uwa7pcw.exe" -c
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\WinAntiVirus Pro 2007\mav_startupmon.exe"
O4 - HKLM\..\Run: [rtasks] C:\Program Files\WinAntiVirus Pro 2007\rtasks.exe
O4 - HKLM\..\Run: [WinAntiVirus Pro 2007] C:\Program Files\WinAntiVirus Pro 2007\WinAv.exe /min
O4 - HKLM\..\RunOnce: [fat.exe] "C:\Program Files\WinAntiVirus Pro 2007\fat.exe"
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvX.exe
O4 - HKCU\..\Run: [uwa7pcw] "C:\Program Files\Common Files\WinAntiVirus Pro 2007\uwa7pcw.exe" -c
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfsm.dat
O23 - Service: Background Intelligent Transfer Service BITSUPS (BITSUPS) - Unknown owner - C:\WINDOWS\system32\amcompatx.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\perfsm.dat is probably a variant of O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat est une variante de perfc000.dat/trojan.crypt.xpack.gen

- L'infection désactive l'éditeur du registre, en lançant regedit.exe vous pouvez obtenir le message "L'édition du registre a été désactivée par votre administrateur"
- L'infection désactive le gestionnaire de tâches, en appuyant sur CTRL+ALT+Suppr vous pouvez obtenir le message "Le gestionnaire des tâches a été désactivé par l'administrateur"
- Lors de l'installation de l'infection, si vous utilisez Process Explorer, ceclui-ci a pu être supprimé.

Notez que vous pouvez rétablir le gestionnaire de tâches & éditeur du registre comme ceci, néanmoins il convient de nettoyer l'infection au préalable :
- Télécharge Activer_regedit_taskmgr.reg
- Désactive tous les logiciels de protection : AVG Anti-Spyware, Doctor Spyware, SpySweeper etc..
- Double-clic sur Activer_regedit_taskmgr.reg et accepte l'inscription des données
- Redémarre l'ordinateur

Le fichier HOSTS de Windows est modifié afin de ne plus pouvoir se rendre sur les sites des éditeurs d'antivirus mais surtout empécher les mises à jour de votre Antivirus.
192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 http://www.avp.ch
192.168.200.3 http://www.avp.com
192.168.200.3 http://www.avp.ru
192.168.200.3 http://www.awaps.net
192.168.200.3 http://www.ca.com
192.168.200.3 http://www.f-secure.com
192.168.200.3 http://www.fastclick.net
192.168.200.3 http://www.grisoft.com
192.168.200.3 http://www.kaspersky-labs.com
192.168.200.3 http://www.kaspersky.com
192.168.200.3 http://www.kaspersky.ru
192.168.200.3 http://www.mcafee.com
192.168.200.3 http://www.my-etrust.com
192.168.200.3 http://www.nai.com
192.168.200.3 http://www.networkassociates.com
192.168.200.3 http://www.sophos.com
192.168.200.3 http://www.symantec.com
192.168.200.3 http://www.symantec.com
192.168.200.3 http://www.trendmicro.com
192.168.200.3 http://www.viruslist.com
192.168.200.3 http://www.viruslist.ru
192.168.200.3 http://www.virustotal.com
192.168.200.3 www3.ca.com
Enfin voici un scan des fichiers au 14 Juillet :

Vous pouvez constater qu'Avast! ne détecte pas les fichiers.
En conséquence, voici pourquoi je recommande plutôt Antivir qu'Avast!, voir les deux sujets :

* Avast! VS Antivir
* Un point sur les antivirus
File winavx.exe received on 07.14.2007 12:56:19 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.39 2007.07.13 HEUR/Malware
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.13 no virus found
BitDefender 7.2 2007.07.14 Generic.Malware.SP!DYVd!wdldspg.2119ABBC
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.14 no virus found
DrWeb 4.33 2007.07.14 no virus found
eSafe 7.0.15.0 2007.07.10 suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.14 no virus found
Fortinet 2.91.0.0 2007.07.14 no virus found
F-Prot 4.3.2.48 2007.07.13 W32/NewMalware-Rootkit-PX-based!Maximus
Ikarus T3.1.1.8 2007.07.14 no virus found
Kaspersky 4.0.2.24 2007.07.14 no virus found
McAfee 5074 2007.07.13 New Malware
Microsoft 1.2704 2007.07.14 no virus found
NOD32v2 2398 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.13 Suspicious file
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.14 no virus found
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.13 no virus found
Webwasher-Gateway 6.0.1 2007.07.14 Heuristic.Malware
Aditional information
File size: 18944 bytes
MD5: 9c74faf97efede878de8f34952a36b04
SHA1: 583fcd99ceac4ee8a4be2951295b7a4dcc103cf1
File perfsm.dat received on 07.14.2007 12:56:34 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 Win-Trojan/Agent.6144.BP
AntiVir 7.4.0.39 2007.07.13 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.13 no virus found
BitDefender 7.2 2007.07.14 no virus found
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.14 no virus found
DrWeb 4.33 2007.07.14 Trojan.Proxy.1939
eSafe 7.0.15.0 2007.07.10 Suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.14 no virus found
Fortinet 2.91.0.0 2007.07.14 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.14 no virus found
Kaspersky 4.0.2.24 2007.07.14 Trojan.Win32.Agent.ali
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.14 no virus found
NOD32v2 2398 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 W32/Agent.BVLY
Panda 9.0.0.4 2007.07.13 Suspicious file
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.14 Trojan.Perfcoo
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.13 no virus found
Webwasher-Gateway 6.0.1 2007.07.14 Trojan.Crypt.XPACK.Gen
Aditional information
File size: 6144 bytes
MD5: c6a79ce192fb02f6c136d92c76fad13a
SHA1: d01bc02d0a3a7201be7033b8ccc7fc15d9bbe92d
Les drivers utilisés par WinAntivirus Pro 2007 :
%windir%\system32\drivers\fopn.sys
%windir%\system32\drivers\uwasfsd.sys
File uwasfsd.sys received on 07.14.2007 13:41:20 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.39 2007.07.13 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.13 no virus found
BitDefender 7.2 2007.07.14 Application.Winfixer.BF
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.14 no virus found
DrWeb 4.33 2007.07.14 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.14 no virus found
Fortinet 2.91.0.0 2007.07.14 Misc/WinFixer
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.14 no virus found
Kaspersky 4.0.2.24 2007.07.14 no virus found
McAfee 5074 2007.07.13 potentially unwanted program Winfixer
Microsoft 1.2704 2007.07.14 Program:Win32/WinSoftware.WinAntiSpyware
NOD32v2 2399 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.13 Generic Malware
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 WinAntiSpyware
Symantec 10 2007.07.14 WinAntiSpyware
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.13 no virus found
Webwasher-Gateway 6.0.1 2007.07.14 Win32.Malware.gen!80 (suspicious)
Aditional information
File size: 11776 bytes
MD5: c3663c9d9a3b81d6781f92ae20fd05c9
SHA1: 892d486d9c361afb9d0a4f96c0d7c0b40e613659
Sunbelt info: WinAntiSpyware is a rogue antis-pyware product which pesters users with scareware tactics to purchase the product.
File fopn.sys received on 07.14.2007 13:40:21 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.39 2007.07.13 APPL/Winfixer.46592
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.13 Potentially harmful program WinFixer.IV
BitDefender 7.2 2007.07.14 Adware.Winantivirus.L
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.14 no virus found
DrWeb 4.33 2007.07.14 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.14 no virus found
Fortinet 2.91.0.0 2007.07.14 Misc/WinFixer
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.14 no virus found
Kaspersky 4.0.2.24 2007.07.14 no virus found
McAfee 5074 2007.07.13 potentially unwanted program Winfixer
Microsoft 1.2704 2007.07.14 Program:Win32/Winfixer
NOD32v2 2399 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.13 Generic Malware
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 WinSoftware Corporation, Inc. (v)
Symantec 10 2007.07.14 WinFixer
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.13 no virus found
Webwasher-Gateway 6.0.1 2007.07.14 Riskware.Winfixer.46592
Aditional information
File size: 52432 bytes
MD5: a72576b9eb1c4e950e45cae0d91c3a02
SHA1: 63178366e402e93db036dbc04f6b504263a18ae9
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

WinAntiivrus Pro & Alertes amaena.com

par Malekal_morte »

Une nouvelle petite variante assez récente...
On retrouve les mêmes caractérisques que précédent.

L'infection ajoute toujours une icône en bas à droite à côté de l'horloge :
Image

L'infection provoque des redirection vers le site amaena.com avec comme titre "Error Detected"
--> hxxp://amaena.com/securityworm5/

Image

L'infection ouvre aussi des popups :

Image

L'infection ajoute les lignes suivantes sur HijackThis
REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O20 - AppInit_DLLs: hrum.txt
Vous pouvez supprimer les fichiers C:\WINDOWS\system32\WinAvXX.exe & C:\WINDOWS\system32\printer.exe en mode sans échec, si vous avez besoin d'aide pour désinfecter votre ordinateur. Créez un sujet dans la partie VIRUS.
L'inf
Vous noterez le changement de fichier.. on passe de C:\WINDOWS\system32\WinAvX.exe à C:\WINDOWS\system32\WinAvXX.exe

L'infection désactive Windows Update ainsi que l'accès au panneau de cnofiguration, vous pouvez recevoir un message disant que l'accès au panneau de configuration est interdit suite à des restrictions.
Vous pouvez restaurer l'accès en faisant ces manipulations :

- Télécharge Activer_regedit_taskmgr.reg
- Désactive tous les logiciels de protection : AVG Anti-Spyware, Doctor Spyware, SpySweeper etc..
- Double-clic sur Activer_regedit_taskmgr.reg et accepte l'inscription des données
- Redémarre l'ordinateur

____

File WinAvXX.exe received on 08.05.2007 14:15:52 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 8/32 (25%)

Antivirus Version Last Update Result
AhnLab-V3 2007.8.3.0 2007.08.03 -
AntiVir 7.4.0.57 2007.08.03 HEUR/Crypted
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.05 -
AVG 7.5.0.476 2007.08.04 -
BitDefender 7.2 2007.08.05 Generic.Malware.SDYd!wsp.A951E53A
CAT-QuickHeal 9.00 2007.08.04 -
ClamAV 0.91 2007.08.05 -
DrWeb 4.33 2007.08.05 -
eSafe 7.0.15.0 2007.07.31 suspicious Trojan/Worm
eTrust-Vet 31.1.5032 2007.08.04 -
Ewido 4.0 2007.08.03 -
FileAdvisor 1 2007.08.05 -
Fortinet 2.91.0.0 2007.08.05 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.03 -
Ikarus T3.1.1.8 2007.08.05 -
Kaspersky 4.0.2.24 2007.08.05 -
McAfee 5090 2007.08.03 potentially unwanted program Winfixer
Microsoft 1.2704 2007.08.05 -
NOD32v2 2438 2007.08.05 -
Norman 5.80.02 2007.08.03 -
Panda 9.0.0.4 2007.08.05 Adware/WinAntiVirus2007
Prevx1 V2 2007.08.05 Generic.Malware
Rising 19.34.40.00 2007.08.03 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.05 Trojan.KillAV
TheHacker 6.1.7.162 2007.08.04 -
VBA32 3.12.2.2 2007.08.04 -
VirusBuster 4.3.26:9 2007.08.04 -
Webwasher-Gateway 6.0.1 2007.08.03 Heuristic.Crypted
Additional information
File size: 14848 bytes
MD5: d30a87cea893e96556da5652c0a942ca
SHA1: 0d5b38f5b26fd061a255d9dddd8b05c6a0ca93aa
packers: UPX
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

winter.exe/proper.exe et alertes WinAntivirus Pro 2007

par Malekal_morte »

Nouvelle variante, les noms des fichiers ont changés avec maintenant les lignes suivantes sur HijackThis :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe
O4 - HKLM\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKCU\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - Startup: infos.exe
O4 - Global Startup: autos.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\skuns.dat
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

AdWare.Win32.Agent.zb / mustafx.exe / users32.dat

par Malekal_morte »

Les variantes continuent..


Initialement, l'infection ajoute les fichiers suivants :
* %System%\user32.dat
* %Windir%\medichi.exe
* %Windir%\medichi2.exe
* %Windir%\murka.dat
Sur HijackThis, on obtient :
O4 - HKLM\..\Run: [Medichi] medichi.exe
O4 - HKLM\..\Run: [Medichi2] medichi2.exe
O20 - AppInit_DLLs: murka.dat
la dernière variante ajoute les fichiers :
* %Windir%\mustafx.exe
* %Windir%\mustafx2.exe
* %Windir%\system32\murka.dat
* %Windir%\system32\mustafx.exe
* %Windir%\system32\mustafx2.exe
* %Windir%\system32\users32.dat
La nouvelle infection est plus complexe puisqu'elle :
* patche le driver légitime beep.sys
* patche des fichiers légitime qui se lance au démarrage de l'ordinateur pour charger le fichier users32.dat

Détection de users32.dat
File users32.dat received on 01.01.2008 23:06:57 (CET)
Result: 6/32 (18.75%)

Avast 4.7.1098.0 2008.01.01 Win32:Agent-PDP
AVG 7.5.0.516 2008.01.01 Adware Generic2.ZKV
BitDefender 7.2 2008.01.01 Trojan.Agent.AGHH
CAT-QuickHeal 9.00 2007.12.31 AdWare.Agent.zb (Not a Virus)
Ikarus T3.1.1.15 2008.01.01 not-a-virus:AdWare.Win32.Agent.zb
Kaspersky 7.0.0.125 2008.01.01 not-a-virus:AdWare.Win32.Agent.zb

L'outil SDFix liste les fichiers patchés de cette manière :
Below files have been patched to load users32.dat and should be replaced:

D:\WINDOWS\UpdReg.exe
D:\Program Files\D-Tools\daemon.exe
D:\WINDOWS\system32\NeroCheck.exe
D:\Program Files\Video\QuickTime Alternative\qttask.exe
D:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
L'outil ComboFix les liste de cette manière :
Files Infected - Win32.Agent.zb
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Common Files\Dell\EUSW\Support.exe
C:\Program Files\Linksys\Wireless-N Network Monitor\WPC300N.exe
C:\Program Files\PCSecurityShield\Common\Base\VRMONNT.EXE
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Documents and Settings\Kris\Application Data\yktww.exe
Plus d'informations :
Chez Symantec, ces infections sont nommés Trojan.Virantix :
http://www.symantec.com/security_respon ... 99&tabid=2
http://www.symantec.com/business/securi ... 99&tabid=2
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: winavxmy.exe et alertes WinAntivirus Pro 2007

par Malekal_morte »

Autre variante :
O4 - HKLM\..\Run: [bolenja] bolenja.exe
O4 - HKLM\..\Run: [bolenjx] bolenjx.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: kus109.dat
Scan des fichiers :
Fichier kus109.dat reçu le 2008.01.23 13:22:17 (CET)
Situation actuelle: terminé
Résultat: 16/32 (50.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - Trojan.Agent.ebj
ClamAV - - -
DrWeb - - Trojan.Proxy.1739
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - Trojan.Win32.Agent.ebj
Ikarus - - Virus.Trojan.Win32.Agent.ebj
Kaspersky - - Trojan.Win32.Agent.ebj
McAfee - - -
Microsoft - - TrojanDownloader:Win32/Eldycow.gen!A
NOD32v2 - - Win32/TrojanProxy.Agent.NDH
Norman - - W32/Smalltroj.CJUV
Panda - - Suspicious file
Prevx1 - - -
Rising - - -
Sophos - - Mal/EncPk-BB
Sunbelt - - -
Symantec - - Trojan.Perfcoo
TheHacker - - Trojan/Agent.ebj
VBA32 - - Trojan.Win32.Agent.ebj
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.XPACK.Gen
Information additionnelle
MD5: a3b359f9bcfd3c3e0350c0763a7a8d0e
SHA1: cf6599a6cbf673dd60b51d4b395bbe2d029bdc2f
Fichier bolenjx.exe reçu le 2008.01.21 23:51:13 (CET)
Situation actuelle: terminé
Résultat: 13/32 (40.62%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - TR/Agent.14848.55
Authentium - - -
Avast - - -
AVG - - Downloader.Small.BLM
BitDefender - - DeepScan:Generic.Malware.FYddld!.989A467B
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - Win32.SuspectCrc
Kaspersky - - not-a-virus:AdWare.Win32.Agent.zo
McAfee - - -
Microsoft - - -
NOD32v2 - - Win32/TrojanDownloader.Small.NZN
Norman - - W32/Agent.DYJQ
Panda - - Suspicious file
Prevx1 - - TROJAN.AGENT.GEN
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - Trojan.Dropper
TheHacker - - -
VBA32 - - AdWare.Win32.Agent.abn
VirusBuster - - -
Webwasher-Gateway - - Trojan.Agent.14848.55
Information additionnelle
MD5: 6fe7a7e343d59f5b7bb8a1655b76c40b
SHA1: 5db79fda17f2a52d37968ac805b154013cc237a8
Fichier multikz.exe reçu le 2008.01.23 13:17:49 (CET)
Situation actuelle: terminé
Résultat: 11/32 (34.38%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - ADSPY/Agent.abn.1
Authentium - - -
Avast - - -
AVG - - Adware Generic2.AAMW
BitDefender - - -
CAT-QuickHeal - - AdWare.Agent.abn (Not a Virus)
ClamAV - - -
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - Adware/Agent
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - not-a-virus:AdWare.Win32.Agent.abn
McAfee - - -
Microsoft - - -
NOD32v2 - - Win32/TrojanDownloader.Small.NZN
Norman - - -
Panda - - Suspicious file
Prevx1 - - Heuristic: Suspicious File With Bad Parent Associations
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - AdWare.Win32.Agent.abn
VirusBuster - - -
Webwasher-Gateway - - Ad-Spyware.Agent.abn.1
Information additionnelle
MD5: 763b5a33a78a5076af51a3a5fbfa9932
SHA1: 1d1ab91f155ab3167f43c176ab5ace0eb45deb95
Fichier bolenja.exe reçu le 2008.01.23 13:20:55 (CET)
Situation actuelle: terminé
Résultat: 12/32 (37.50%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - Generic.Malware.DYd!sp!.2A86D3CD
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - Trojan-Downloader.Win32.Agent.hmm
Ikarus - - Trojan-Downloader.Win32.Agent.hmm
Kaspersky - - Trojan-Downloader.Win32.Agent.hmm
McAfee - - -
Microsoft - - Trojan:Win32/Wantvi.B
NOD32v2 - - probably unknown NewHeur_PE virus
Norman - - W32/Malware
Panda - - Suspicious file
Prevx1 - - Generic.Malware
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - Trojan-Downloader.Win32.Agent.hmm
VirusBuster - - -
Webwasher-Gateway - - Win32.ModifiedUPX.gen (suspicious)
Information additionnelle
MD5: b8df10e3f31dc542a49f61382e452266
SHA1: 91a16b669efd18958d1c5dd8aa8444db79d83a2b
Fichier beep.sys reçu le 2008.01.23 13:22:16 (CET)
Situation actuelle: terminé
Résultat: 7/32 (21.88%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - Generic.Malware.P!.E4C4ADFF
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
DrWeb - - Trojan.MulDrop.origin
eSafe - - -
eTrust-Vet - - Win32/Eldycow!generic
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - Win32.SuspectCrc
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - Heuristic: Suspicious File With Anti-Security Technology
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Win32.Malware.gen!80 (suspicious)
Information additionnelle
MD5: 918286678e4b6dcd6836e0abc285f18c
SHA1: 2970d1caa559c01628e233b81fe827a05c6e1dd5
SHA256: c9edcc773a24fcd5e2244a7963ed8769b0cb0bd39082a13b17baf33fc281191a
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: winavxmy.exe et alertes WinAntivirus Pro 2007

par Malekal_morte »

Nouvelle variante :
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKUS\S-1-5-18\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe (User 'Default user')
O20 - AppInit_DLLs: cru629.dat
Les scans VirusTotal sont disponibles à cette adresse : http://forum.malekal.com/braviax-exe-cr ... t8248.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: winavxmy.exe et alertes WinAntivirus Pro 2007

par Malekal_morte »

Cette infection utilise divers modes de propagation comme les exploits sur sites WEB, dernièrement fausses e-card par mail ou peut-être installé dans un package avec d'autres infections.

Elle est régulièrement mise à jour (certains fichiers peuvent changer notamment le driver beep.sys recopié et les fichiers .dat si encore.

Cette infection installe aussi automatiquement des rogues qui changent régulièrement comme XP Security Center, WinReanimator et dernièrement AntiSpyware 2009.

L'infection continue bien sûr d'afficher de fausses alertes de sécurité disant que vous êtes infecté.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: winavxmy.exe et alertes WinAntivirus Pro 2007

par Malekal_morte »

braviax.exe devient brastk.exe, ligne HijackThis :
O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: braviax et alertes de sécurité

par Malekal_morte »

Pour supprimer l'infection braviax, suivre la procédure de cette page : https://www.malekal.com/braviax.php

L'infection braviax installe le rogue PC Antispyware 2010. Une nouvelle campagne de cette infection a lieu depuis quelques semaines.

Cette infection se propage beaucoup via des exploits sur des sites WEB
sys32_nov.exe est installé par l'infection qui est un Trojan.Downloader qui se connecte à des domaines aléatoires, ex :

Code : Tout sélectionner

1252068044.511   3146 192.168.1.26 TCP_MISS/302 384 GET http://bnv07ry186c.com/40E8001430303030303030303030303030303030303031306C0000003C66000000007600000642EB0005307C889097 - DIRECT/67.215.65.132 text/html
1252068044.570   3207 192.168.1.26 TCP_MISS/302 384 GET http://vho07ls186v.com/40E8001430303030303030303030303030303030303031306C0000003C66000000007600000642EB0005309EAAB2B9 - DIRECT/67.215.65.132 text/html
1252068203.526  82589 192.168.1.26 TCP_MISS/302 384 GET http://lwf75cj864m.com/40E8001430303030303030303030303030303030303031306C0000003C66000000007600000642EB000530000D151C - DIRECT/67.215.65.132 text/html
1252068203.530  82592 192.168.1.26 TCP_MISS/302 384 GET http://iud76ah075k.com/40E8001430303030303030303030303030303030303031306C0000003C66000000007600000642EB00053007131B22 - DIRECT/67.215.65.132 text/html
C'est un Trojan.CutWail.

braviax est installé par sys32_nov.exe qui ensuite téléchargé le rogue comme le montre cette vidéo :


Quelques fichiers ajoutés (je passe les fichiers .com/bin/dl/dat etc) :
c:\Documents and Settings\All Users\Application Data\onaw.scr
c:\Documents and Settings\All Users\Documents\fykov.com
c:\Documents and Settings\Malekal_morte\sys32_nov.exe
c:\Program Files\PC_Antispyware2010
c:\WINDOWS\qytuso.sys
c:\WINDOWS\udixo.vbs
c:\WINDOWS\system32\_scui.cpl
c:\WINDOWS\system32\braviax.exe
c:\WINDOWS\system32\sys32_nov.exe
c:\WINDOWS\system32\wisdstr.exe Size: 191 357 bytes
c:\WINDOWS\system32\dllcache\agp440.sys Size: 94 272 bytes
c:\WINDOWS\system32\dllcache\beep.sys Size: 29 184 bytes
c:\WINDOWS\system32\dllcache\figaro.sys Size: 29 184 bytes
ajoutés/modifiés - a noter que agp440.sys était présent en majuscule AGP440.sys :
c:\WINDOWS\system32\agp440.sys
c:\WINDOWS\system32\beep.sys
Les lignes l'aide HiJackThis ajoutées :
O4 - HKLM\..\Run: [sys32_nov] C:\WINDOWS\system32\sys32_nov.exe
O4 - HKLM\..\Run: [PC Antispyware 2010] "C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe" /hide
O4 - HKCU\..\Run: [sys32_nov] C:\Documents and Settings\Malekal_morte\sys32_nov.exe

Quelques détections :
File sys32_nov.exe received on 2009.09.04 10:40:55 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 11/41 (26.83%)
Loading server information...

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.04 Trojan-Downloader.Cutwail!IK
AhnLab-V3 5.0.0.2 2009.09.04 -
AntiVir 7.9.1.8 2009.09.04 TR/Dldr.Cutwail.L.10
Antiy-AVL 2.0.3.7 2009.09.04 -
Authentium 5.1.2.4 2009.09.04 -
Avast 4.8.1351.0 2009.09.04 -
AVG 8.5.0.409 2009.09.04 -
BitDefender 7.2 2009.09.04 Trojan.Downloader.Cutwail.L
CAT-QuickHeal 10.00 2009.09.04 -
ClamAV 0.94.1 2009.09.04 -
Comodo 2196 2009.09.04 -
DrWeb 5.0.0.12182 2009.09.04 -
eSafe 7.0.17.0 2009.09.03 -
eTrust-Vet 31.6.6720 2009.09.04 -
F-Prot 4.5.1.85 2009.09.03 -
F-Secure 8.0.14470.0 2009.09.04 -
Fortinet 3.120.0.0 2009.09.04 -
GData 19 2009.09.04 Trojan.Downloader.Cutwail.L
Ikarus T3.1.1.72.0 2009.09.04 Trojan-Downloader.Cutwail
Jiangmin 11.0.800 2009.09.04 TrojanDropper.Agent.acgk
K7AntiVirus 7.10.835 2009.09.03 -
Kaspersky 7.0.0.125 2009.09.04 Trojan-Dropper.Win32.Agent.bcac
McAfee 5730 2009.09.03 -
McAfee+Artemis 5730 2009.09.03 -
McAfee-GW-Edition 6.8.5 2009.09.04 Trojan.Dldr.Cutwail.L.10
Microsoft 1.5005 2009.09.04 -
NOD32 4394 2009.09.04 -
Norman 6.01.09 2009.09.04 W32/DLoader.VSWR
nProtect 2009.1.8.0 2009.09.04 -
Panda 10.0.2.2 2009.09.03 Suspicious file
PCTools 4.4.2.0 2009.09.03 -
Prevx 3.0 2009.09.04 Medium Risk Malware
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.04 -
Sunbelt 3.2.1858.2 2009.09.03 -
Symantec 1.4.4.12 2009.09.04 -
TheHacker 6.3.4.3.396 2009.09.04 -
TrendMicro 8.950.0.1094 2009.09.04 -
VBA32 3.12.10.10 2009.09.03 -
ViRobot 2009.9.4.1919 2009.09.04 -
VirusBuster 4.6.5.0 2009.09.03 -
Additional information
File size: 29214 bytes
MD5...: d881467522eb326bf2e3a0a626144419
SHA1..: 8126be498b79294c1ddaca5ee7b54c9cb1e0d1ab
File braviax.exe received on 2009.09.04 02:25:47 (UTC)
Current status: finished

Result: 26/41 (63.41%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.04 Trojan-Downloader.Win32.Renos!IK
AhnLab-V3 5.0.0.2 2009.09.03 -
AntiVir 7.9.1.8 2009.09.03 TR/Dldr.FraudLoad.fko
Antiy-AVL 2.0.3.7 2009.09.03 -
Authentium 5.1.2.4 2009.09.04 W32/FakeAlert.JX
Avast 4.8.1351.0 2009.09.04 -
AVG 8.5.0.409 2009.09.03 Generic14.AKRM
BitDefender 7.2 2009.09.04 Trojan.Generic.2220697
CAT-QuickHeal 10.00 2009.09.02 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.09.03 -
Comodo 2196 2009.09.04 -
DrWeb 5.0.0.12182 2009.09.04 Trojan.Fakealert.4885
eSafe 7.0.17.0 2009.09.03 -
eTrust-Vet 31.6.6719 2009.09.03 -
F-Prot 4.5.1.85 2009.09.03 W32/FakeAlert.JX
F-Secure 8.0.14470.0 2009.09.04 Trojan-Downloader.Win32.FraudLoad.fko
Fortinet 3.120.0.0 2009.09.04 W32/FraudLoad.FKO!tr.dldr
GData 19 2009.09.04 Trojan.Generic.2220697
Ikarus T3.1.1.72.0 2009.09.04 Trojan-Downloader.Win32.Renos
Jiangmin 11.0.800 2009.09.03 -
K7AntiVirus 7.10.835 2009.09.03 Trojan-Downloader.Win32.FraudLoad.fko
Kaspersky 7.0.0.125 2009.09.04 Trojan-Downloader.Win32.FraudLoad.fko
McAfee 5730 2009.09.03 Generic Downloader.x!bff
McAfee+Artemis 5730 2009.09.03 Generic Downloader.x!bff
McAfee-GW-Edition 6.8.5 2009.09.04 Trojan.Dldr.FraudLoad.fko
Microsoft 1.5005 2009.09.03 TrojanDownloader:Win32/Renos
NOD32 4392 2009.09.03 Win32/TrojanDownloader.FakeAlert.AGA
Norman 6.01.09 2009.09.03 W32/Renos.YNT
nProtect 2009.1.8.0 2009.09.03 -
Panda 10.0.2.2 2009.09.03 -
PCTools 4.4.2.0 2009.09.03 -
Prevx 3.0 2009.09.04 High Risk Fraudulent Security Program
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.04 Mal/EncPk-IF
Sunbelt 3.2.1858.2 2009.09.03 -
Symantec 1.4.4.12 2009.09.04 Packed.Generic.233
TheHacker 6.3.4.3.396 2009.09.04 -
TrendMicro 8.950.0.1094 2009.09.03 TROJ_FAKEAV.JJM
VBA32 3.12.10.10 2009.09.03 suspected of Win32.Trojan.Downloader (http://...)
ViRobot 2009.9.3.1916 2009.09.03 Spyware.FraudLoad.Do.11264.E
VirusBuster 4.6.5.0 2009.09.03 -
Additional information
File size: 11264 bytes
MD5 : f2c09e22415b9a87a3edac40688e4cb2
SHA1 : 51753121c6b92cb13a8b1572ea93e7ffb9915af8
beep.sys remplacé :
File beep.sys_ received on 2009.09.03 15:00:04 (UTC)
Current status: finished

Result: 32/41 (78.05%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.03 Backdoor.Win32.UltimateDefender!IK
AhnLab-V3 5.0.0.2 2009.09.03 Win-Trojan/Xantvi.29184
AntiVir 7.9.1.7 2009.09.03 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2009.09.03 Backdoor/Win32.UltimateDefender
Authentium 5.1.2.4 2009.09.03 W32/SYStroj.H.gen!Eldorado
Avast 4.8.1335.0 2009.09.03 Win32:FakeAV-NO
AVG 8.5.0.409 2009.09.03 BackDoor.Generic11.ANDR
BitDefender 7.2 2009.09.03 Generic.Malware.P!.5BCCCE32
CAT-QuickHeal 10.00 2009.09.02 Backdoor.UltimateDefender.igv
ClamAV 0.94.1 2009.09.03 -
Comodo 2194 2009.09.03 -
DrWeb 5.0.0.12182 2009.09.03 Trojan.NtRootKit.3206
eSafe 7.0.17.0 2009.09.03 -
eTrust-Vet 31.6.6718 2009.09.03 Win32/Eldycow!generic
F-Prot 4.5.1.85 2009.09.03 W32/SYStroj.H.gen!Eldorado
F-Secure 8.0.14470.0 2009.09.03 Rootkit:W32/Xanti.gen!A
Fortinet 3.120.0.0 2009.09.03 W32/FakeAlert.IGV!tr.bdr
GData 19 2009.09.03 Generic.Malware.P!.5BCCCE32
Ikarus T3.1.1.68.0 2009.09.03 Backdoor.Win32.UltimateDefender
Jiangmin 11.0.800 2009.09.03 Rootkit.Agent.cll
K7AntiVirus 7.10.835 2009.09.03 Backdoor.Win32.UltimateDefender.igv
Kaspersky 7.0.0.125 2009.09.03 Backdoor.Win32.UltimateDefender.igv
McAfee 5729 2009.09.03 FakeAlert-C.dr
McAfee+Artemis 5729 2009.09.03 FakeAlert-C.dr
McAfee-GW-Edition 6.8.5 2009.09.03 Heuristic.LooksLike.Win32.Rootkit.B
Microsoft 1.5005 2009.09.03 VirTool:WinNT/Xantvi.gen!A
NOD32 4392 2009.09.03 a variant of Win32/UltimateDefender.A
Norman 6.01.09 2009.09.02 W32/UltimateDefender.E
nProtect 2009.1.8.0 2009.09.03 Backdoor/W32.UltimateDefender.29184
Panda 10.0.2.2 2009.09.03 -
PCTools 4.4.2.0 2009.09.03 -
Prevx 3.0 2009.09.03 -
Rising 21.45.14.00 2009.09.01 Trojan.DL.Win32.Braviax.ae
Sophos 4.45.0 2009.09.03 Mal/FakeAle-C
Sunbelt 3.2.1858.2 2009.09.02 -
Symantec 1.4.4.12 2009.09.03 Hacktool.Rootkit
TheHacker 6.3.4.3.396 2009.09.03 -
TrendMicro 8.950.0.1094 2009.09.03 TROJ_VIRANTIX.BF
VBA32 3.12.10.10 2009.09.03 Backdoor.Win32.UltimateDefender.igv
ViRobot 2009.9.3.1916 2009.09.03 Backdoor.Win32.UltimateDefender.29184.G
VirusBuster 4.6.5.0 2009.09.03 -
Additional information
File size: 29184 bytes
MD5 : a6812a9bc1141b81f3cf2ad1093ffd36
SHA1 : 53329626565c9f5113efb4e50023a47562c7efbd
c:\WINDOWS\system32\drivers\AGP440.sys :
File 5B4CA240401722D170480146710BB700EBF1D7E0.sys received on 2009.09.04 03:56:47 (UTC)
Current status: finished

Result: 7/41 (17.07%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.04 Virus.Win32.Protector!IK
AhnLab-V3 5.0.0.2 2009.09.03 -
AntiVir 7.9.1.8 2009.09.03 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2009.09.04 -
Authentium 5.1.2.4 2009.09.04 -
Avast 4.8.1351.0 2009.09.04 Win32:Cutwail
AVG 8.5.0.409 2009.09.03 -
BitDefender 7.2 2009.09.04 -
CAT-QuickHeal 10.00 2009.09.02 -
ClamAV 0.94.1 2009.09.03 -
Comodo 2196 2009.09.04 -
DrWeb 5.0.0.12182 2009.09.04 -
eSafe 7.0.17.0 2009.09.03 -
eTrust-Vet 31.6.6719 2009.09.03 -
F-Prot 4.5.1.85 2009.09.03 -
F-Secure 8.0.14470.0 2009.09.04 -
Fortinet 3.120.0.0 2009.09.04 -
GData 19 2009.09.04 Win32:Cutwail
Ikarus T3.1.1.72.0 2009.09.04 Virus.Win32.Protector
Jiangmin 11.0.800 2009.09.03 -
K7AntiVirus 7.10.835 2009.09.03 -
Kaspersky 7.0.0.125 2009.09.04 -
McAfee 5730 2009.09.03 -
McAfee+Artemis 5730 2009.09.03 -
McAfee-GW-Edition 6.8.5 2009.09.04 Trojan.Crypt.XPACK.Gen
Microsoft 1.5005 2009.09.03 VirTool:WinNT/Cutwail.L
NOD32 4392 2009.09.03 -
Norman 6.01.09 2009.09.03 -
nProtect 2009.1.8.0 2009.09.03 -
Panda 10.0.2.2 2009.09.03 -
PCTools 4.4.2.0 2009.09.03 -
Prevx 3.0 2009.09.04 -
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.04 -
Sunbelt 3.2.1858.2 2009.09.03 -
Symantec 1.4.4.12 2009.09.04 -
TheHacker 6.3.4.3.396 2009.09.04 -
TrendMicro 8.950.0.1094 2009.09.03 -
VBA32 3.12.10.10 2009.09.03 -
ViRobot 2009.9.3.1916 2009.09.03 -
VirusBuster 4.6.5.0 2009.09.03 -
Additional information
File size: 94272 bytes
MD5 : 86848f2463277584fc0da4a21360a850
SHA1 : e362fefca4acebf354dd93cf6b58ecfec579be78
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

seres.exe / svcst.exe

par Malekal_morte »

Une variante avec les mêmes symptômes qui voit braviax disparaître.

Ligne HijackThis relative à cette infection :
O4 - HKLM\..\Run: [calc] rundll32.exe C:\WINDOWS\system32\calc.dll,_IWMPEvents@0
O4 - HKCU\..\Run: [calc] rundll32.exe C:\DOCUME~1\MALEKA~1\ntuser.dll,_IWMPEvents@0
O4 - HKCU\..\Run: [mserv] C:\Documents and Settings\Malekal_morte\Application Data\seres.exe
O4 - HKCU\..\Run: [svchost] C:\Documents and Settings\Malekal_morte\Application Data\svcst.exe
Fichiers ajoutés (les noms peuvent changer selon les variantes) :
c:\Documents and Settings\Malekal_morte\Application Data\lizkavd.exe
c:\Documents and Settings\Malekal_morte\Application Data\seres.exe
c:\Documents and Settings\Malekal_morte\Application Data\svcst.exe
c:\Documents and Settings\Malekal_morte\Cookies\malekal_morte@google[3].txt
c:\Documents and Settings\Malekal_morte\Cookies\malekal_morte@thefeedyard[1].txt
c:\Documents and Settings\Malekal_morte\Local Settings\Temp\nsrbgxod.bak
c:\Documents and Settings\Malekal_morte\Local Settings\Temp\Perflib_Perfdata_458.dat
c:\Documents and Settings\Malekal_morte\Local Settings\Temp\Perflib_Perfdata_6bc.dat
c:\Documents and Settings\Malekal_morte\Local Settings\Temp\popka.exe
c:\Documents and Settings\Malekal_morte\Local Settings\Temp\rundll32.dll
lizkavd.exe = Antivirus Pro 2010

A noter que l'infection supprime les clefs Safeboot ce qui rend le redémarrage en mode sans échec impossible.

Une fois l'infection supprimée, vous pouvez utiliser SafeBootKeyRepair de sUBs pour réparer les clefs SafeBoot : http://download.bleepingcomputer.com/sU ... Repair.exe

Quelques détections VirusTotal :
File svcst.exe received on 2009.10.03 15:03:49 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 13/41 (31.71%)
Loading server information...

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.10.03 Trojan.Generic!IK
AhnLab-V3 5.0.0.2 2009.10.03 -
AntiVir 7.9.1.27 2009.10.02 -
Antiy-AVL 2.0.3.7 2009.10.03 -
Authentium 5.1.2.4 2009.10.03 W32/Bravix.A!Generic
Avast 4.8.1351.0 2009.10.02 -
AVG 8.5.0.420 2009.10.03 -
BitDefender 7.2 2009.10.03 Trojan.Generic.2498321
CAT-QuickHeal 10.00 2009.10.03 -
ClamAV 0.94.1 2009.10.03 -
Comodo 2502 2009.10.03 -
DrWeb 5.0.0.12182 2009.10.03 Trojan.Fakealert.5256
eSafe 7.0.17.0 2009.10.01 -
eTrust-Vet 31.6.6774 2009.10.02 -
F-Prot 4.5.1.85 2009.10.03 W32/Bravix.A!Generic
F-Secure 8.0.14470.0 2009.10.03 -
Fortinet 3.120.0.0 2009.10.03 PossibleThreat
GData 19 2009.10.03 Trojan.Generic.2498321
Ikarus T3.1.1.72.0 2009.10.03 Trojan.Generic
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.861 2009.10.03 -
Kaspersky 7.0.0.125 2009.10.03 Trojan.Win32.Vilsel.hhq
McAfee 5759 2009.10.02 -
McAfee+Artemis 5759 2009.10.02 Artemis!92EF40BBC5CA
McAfee-GW-Edition 6.8.5 2009.10.03 -
Microsoft 1.5101 2009.10.03 VirTool:Win32/Obfuscator.FL
NOD32 4478 2009.10.03 a variant of Win32/Kryptik.AMD
Norman 6.01.09 2009.10.03 -
nProtect 2009.1.8.0 2009.10.03 -
Panda 10.0.2.2 2009.10.03 -
PCTools 4.4.2.0 2009.10.03 -
Prevx 3.0 2009.10.03 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.03 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.10.03 -
Symantec 1.4.4.12 2009.10.03 -
TheHacker 6.5.0.2.027 2009.10.02 -
TrendMicro 8.950.0.1094 2009.10.03 -
VBA32 3.12.10.11 2009.10.03 -
ViRobot 2009.10.2.1968 2009.10.02 -
VirusBuster 4.6.5.0 2009.10.02 -
Additional information
File size: 23040 bytes
MD5...: 92ef40bbc5ca24a88e09a814ab8ce432
SHA1..: 3d9e6d02eaa5413813358b826b704660f2dc7401
File svcst.exe received on 2009.10.03 15:03:49 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 13/41 (31.71%)
Loading server information...

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.10.03 Trojan.Generic!IK
AhnLab-V3 5.0.0.2 2009.10.03 -
AntiVir 7.9.1.27 2009.10.02 -
Antiy-AVL 2.0.3.7 2009.10.03 -
Authentium 5.1.2.4 2009.10.03 W32/Bravix.A!Generic
Avast 4.8.1351.0 2009.10.02 -
AVG 8.5.0.420 2009.10.03 -
BitDefender 7.2 2009.10.03 Trojan.Generic.2498321
CAT-QuickHeal 10.00 2009.10.03 -
ClamAV 0.94.1 2009.10.03 -
Comodo 2502 2009.10.03 -
DrWeb 5.0.0.12182 2009.10.03 Trojan.Fakealert.5256
eSafe 7.0.17.0 2009.10.01 -
eTrust-Vet 31.6.6774 2009.10.02 -
F-Prot 4.5.1.85 2009.10.03 W32/Bravix.A!Generic
F-Secure 8.0.14470.0 2009.10.03 -
Fortinet 3.120.0.0 2009.10.03 PossibleThreat
GData 19 2009.10.03 Trojan.Generic.2498321
Ikarus T3.1.1.72.0 2009.10.03 Trojan.Generic
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.861 2009.10.03 -
Kaspersky 7.0.0.125 2009.10.03 Trojan.Win32.Vilsel.hhq
McAfee 5759 2009.10.02 -
McAfee+Artemis 5759 2009.10.02 Artemis!92EF40BBC5CA
McAfee-GW-Edition 6.8.5 2009.10.03 -
Microsoft 1.5101 2009.10.03 VirTool:Win32/Obfuscator.FL
NOD32 4478 2009.10.03 a variant of Win32/Kryptik.AMD
Norman 6.01.09 2009.10.03 -
nProtect 2009.1.8.0 2009.10.03 -
Panda 10.0.2.2 2009.10.03 -
PCTools 4.4.2.0 2009.10.03 -
Prevx 3.0 2009.10.03 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.03 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.10.03 -
Symantec 1.4.4.12 2009.10.03 -
TheHacker 6.5.0.2.027 2009.10.02 -
TrendMicro 8.950.0.1094 2009.10.03 -
VBA32 3.12.10.11 2009.10.03 -
ViRobot 2009.10.2.1968 2009.10.02 -
VirusBuster 4.6.5.0 2009.10.02 -
Additional information
File size: 23040 bytes
MD5...: 92ef40bbc5ca24a88e09a814ab8ce432
SHA1..: 3d9e6d02eaa5413813358b826b704660f2dc7401
File calc.dll received on 2009.10.02 06:03:02 (UTC)
Current status: finished

Result: 11/41 (26.83%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.10.02 Trojan.Win32.Opachki!IK
AhnLab-V3 5.0.0.2 2009.10.01 -
AntiVir 7.9.1.27 2009.10.01 TR/Opachki.D.6
Antiy-AVL 2.0.3.7 2009.10.01 -
Authentium 5.1.2.4 2009.10.02 -
Avast 4.8.1351.0 2009.10.02 -
AVG 8.5.0.412 2009.10.01 -
BitDefender 7.2 2009.10.02 Trojan.Opachki.D
CAT-QuickHeal 10.00 2009.10.01 -
ClamAV 0.94.1 2009.10.02 -
Comodo 2488 2009.10.02 -
DrWeb 5.0.0.12182 2009.10.02 BackDoor.Podmena
eSafe 7.0.17.0 2009.10.01 -
eTrust-Vet 31.6.6772 2009.10.01 -
F-Prot 4.5.1.85 2009.10.01 -
F-Secure 8.0.14470.0 2009.10.02 -
Fortinet 3.120.0.0 2009.10.02 -
GData 19 2009.10.02 Trojan.Opachki.D
Ikarus T3.1.1.72.0 2009.10.02 Trojan.Win32.Opachki
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.858 2009.10.01 -
Kaspersky 7.0.0.125 2009.10.02 -
McAfee 5758 2009.10.01 -
McAfee+Artemis 5758 2009.10.01 Artemis!CBC49232F47B
McAfee-GW-Edition 6.8.5 2009.10.02 Trojan.Opachki.D.6
Microsoft 1.5101 2009.10.02 Trojan:Win32/Opachki.A
NOD32 4474 2009.10.01 -
Norman 6.01.09 2009.10.01 -
nProtect 2009.1.8.0 2009.10.02 -
Panda 10.0.2.2 2009.10.01 -
PCTools 4.4.2.0 2009.10.01 -
Prevx 3.0 2009.10.02 Medium Risk Malware
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.02 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.10.01 -
Symantec 1.4.4.12 2009.10.02 -
TheHacker 6.5.0.2.026 2009.10.02 -
TrendMicro 8.950.0.1094 2009.10.02 -
VBA32 3.12.10.11 2009.09.30 -
ViRobot 2009.10.1.1967 2009.10.01 -
VirusBuster 4.6.5.0 2009.10.01 -
Additional information
File size: 25088 bytes
MD5 : cbc49232f47b1e0c0ca283e714f01619
SHA1 : 6378972d42bf4bf7612678f7142ad55286286471
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: seres.exe / svcst.exe / braviax et alertes de sécurité

par Malekal_morte »

Campagne par mail :
Objet : DHL service. You should get the parcel! Delivery NR.06639
Dear customer!

The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.

You may pickup the parcel at our post office personaly!

Please note!
The shipping label is attached to this e-mail.
Please print this label to get this package at our post office.


Thank you for attention.
DHL Services.
Une pièce jointe infectieuse : DHL_Label_5db55.zip

NOTE :
(Ces campagnes ne sont pas nouveaux et ont été déjà utilisées par le passé avec d'autres familles d'infection).
Ex : http://forum.malekal.com/spam-infectieu ... ?hilit=DHL

D'autres campagnes existent avec :
Western Union! You should receive money! Order NR.4977
You've received a postcard
voir : http://forum.malekal.com/card-exe-t1402 ... rd#p107360
~~

L'infection ajoute la ligne suivante (qui peut changer selon la variante) :
O2 - BHO: Microsoft Online Helper! - {349C5B76-006A-4E78-87EE-BF007CBB59EE} - %SystemRoot%\system32\bhdvgtueyitf.dll (file missing)
puis le couple maudit seres.exe / svcst.exe

On retrouve les fausses alertes avec le bouclier rouge dans le systray et le téléchargement du rogue Antivirus Pro 2010
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: seres.exe / svcst.exe / braviax et alertes de sécurité

par Malekal_morte »

Autre type de campagne par mail seres.exe / svcst.exe :
Contract of Settlements
Greetings,
We have prepared a contract and added the paragraphs that you wanted to see in it.
Our lawyers made alterations on the last page. If you agree all the provisions we are ready to make the payment on Friday for the first consignment,
We are enclosing the file with prepared contract. Password: 345543

If necessary, we can send it by fax.
Looking forward to your dicision.
La pièce jointe est un zip contract_1.zip avec un mot de passe donné dans le mail.

La détection est bonne :
File contract_1.exe received on 2009.10.23 16:21:35 (UTC)
Current status: finished
Result: 27/41 (65.85%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.23 Packed.Win32.Krap!IK
AhnLab-V3 5.0.0.2 2009.10.23 -
AntiVir 7.9.1.44 2009.10.23 TR/Agent.AH.158
Antiy-AVL 2.0.3.7 2009.10.23 -
Authentium 5.1.2.4 2009.10.23 W32/FakeAlert.LN
Avast 4.8.1351.0 2009.10.22 Win32:MalOb-X
AVG 8.5.0.423 2009.10.23 -
BitDefender 7.2 2009.10.23 Trojan.FakeAV.VQ
CAT-QuickHeal 10.00 2009.10.23 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.10.23 Trojan.Peed-483
Comodo 2704 2009.10.23 -
DrWeb 5.0.0.12182 2009.10.23 Trojan.Packed.683
eSafe 7.0.17.0 2009.10.22 Suspicious File
eTrust-Vet 35.1.7081 2009.10.23 -
F-Prot 4.5.1.85 2009.10.22 W32/FakeAlert.DO.gen!Eldorado
F-Secure 9.0.15370.0 2009.10.22 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.10.23 W32/FakeAlert.SYY!tr.dldr
GData 19 2009.10.23 Trojan.FakeAV.VQ
Ikarus T3.1.1.72.0 2009.10.23 Packed.Win32.Krap
Jiangmin None 2009.10.23 -
K7AntiVirus 7.10.878 2009.10.23 -
Kaspersky 7.0.0.125 2009.10.23 Packed.Win32.Krap.ah
McAfee 5779 2009.10.22 FakeAlert-JP
McAfee+Artemis 5779 2009.10.22 FakeAlert-JP
McAfee-GW-Edition 6.8.5 2009.10.23 Heuristic.LooksLike.Trojan.Vilsel.H
Microsoft 1.5202 2009.10.23 VirTool:Win32/Obfuscator.HG
NOD32 4536 2009.10.23 a variant of Win32/Kryptik.AWP
Norman 6.03.02 2009.10.22 -
nProtect 2009.1.8.0 2009.10.23 -
Panda 10.0.2.2 2009.10.22 Trj/CI.A
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.23 Medium Risk Malware
Rising 21.52.44.00 2009.10.23 -
Sophos 4.46.0 2009.10.23 Troj/Agent-LNW
Sunbelt 3.2.1858.2 2009.10.23 Trojan-Downloader.Win32.FakeRean (v)
Symantec 1.4.4.12 2009.10.23 Packed.Generic.258
TheHacker 6.5.0.2.051 2009.10.22 -
TrendMicro 8.950.0.1094 2009.10.23 -
VBA32 3.12.10.11 2009.10.22 BScope.Win32.AntiAV2010
ViRobot 2009.10.23.2003 2009.10.23 -
VirusBuster 4.6.5.0 2009.10.22 Trojan.Vilsel.Gen!Pac
Additional information
File size: 44544 bytes
MD5 : 0f30f49e449ac3ba4cd13bad0dd2967a
SHA1 : 8bd410ba983af1264b798ea8f63ca115eaa01958
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: seres.exe / svcst.exe / TR/Vilsel

par Malekal_morte »

Juste pour signaler que le couple maudit est détecté par Antivir en TR/Vilsel
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b475e6d.qua' !
C:\Documents and Settings\xxx\Application Data\seres.exe
[RESULTAT] Contient le cheval de Troie TR/Vilsel.ios
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b565e62.qua' !
C:\Documents and Settings\xxx\Application Data\svcst.exe
[RESULTAT] Contient le cheval de Troie TR/Vilsel.ios
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »