restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.HareBot

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Messages : 116289
Inscription : 10 sept. 2005 13:57

restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.HareBot

par Malekal_morte »

Pour supprimer restorer64_a.exe / Backdoor.Win32.HareBot se reporter à la page : https://www.malekal.com/2010/12/11/supp ... 2-harebot/

Code : Tout sélectionner

1256474348.390    965 192.168.1.26 TCP_MISS/200 19784 GET http://freemaniya.cn/zuza/exe.php - DIRECT/91.213.126.91 application/octet-stream
1256474356.919    326 192.168.1.26 TCP_MISS/200 143703 GET http://analitikall.cn/cp/tasksz.php?load=0cd9edc60238517be569f7dabc4e5272&id=19 - DIRECT/91.213.126.91 application/x-msdownload
1256474357.538    203 192.168.1.26 TCP_MISS/200 32598 GET http://analitikall.cn/cp/tasksz.php?load=cb7232706287a228b30a4dfeffe19a54&id=18 - DIRECT/91.213.126.91 application/x-msdownload
1256474358.117    254 192.168.1.26 TCP_MISS/200 27328 GET http://analitikall.cn/cp/tasksz.php?load=e6d032c1c19571d1c08562565fb6bfdc&id=26 - DIRECT/91.213.126.91 application/x-msdownload
1256474358.660    266 192.168.1.26 TCP_MISS/200 77654 GET http://analitikall.cn/cp/tasksz.php?load=b37db960f675afc5994eac13c047342b&id=3 - DIRECT/91.213.126.91 application/x-msdownload
1256474360.115    203 192.168.1.26 TCP_MISS/200 29526 GET http://analitikall.cn/cp/tasksz.php?load=0ce5c0f17ecb27f185065dfd14bf28c4&id=20 - DIRECT/91.213.126.91 application/x-msdownload
1256474427.407    583 192.168.1.90 TCP_MISS/200 49483 GET http://tapiroten.info/lin.cgi?SyXRYSuSKWKKZKeKKYgYluSiFWKeuXXKRYYgKYjRSiKKRgKKKjKKKuKKKKKKKKKYK0 - DIRECT/216.150.79.76 application/octet-stream
Lignes HijackThis relatives à l'infection Backdoor.Win32.HareBot :
O4 - HKLM\..\Run: [MsXSLT] C:\WINDOWS\system32\msxslt3.exe
O4 - HKLM\..\Run: [restorer64_a] C:\WINDOWS\system32\restorer64_a.exe
O4 - HKCU\..\Run: [restorer64_a] C:\Documents and Settings\Malekal_morte\restorer64_a.exe
Dans le pack ci-dessus, on trouve :
  • msxslt3.exe = Backdoor.Win32.Goolbot.xxxx / Trojan.Win32.Scar
  • un rootkit est aussi présent avec le driver win32x.sys (voir Rapport GMER plus bas).
    restorer64_a.exe = Backdoor.Win32.HareBot
  • Le fichier userinit.exe est remplacé/patché ( voir http://forum.malekal.com/infection-user ... ml#p178579 )- même problématique que sur ce topic : http://forum.malekal.com/virus-msn-win3 ... ml#p143303 - Cependant, ce n'est pas tout à fait le même fonctionnement, si avant le fichier userinit.exe était copié sous un autre nom, la version infectieuse du userinit.exe chargée cette version afin que la session puisse démarrer.La version userinit.exe infectieuse est maintenant masquée et impossible à voir depuis l'explorateur de fichiers (et certaines aussi pour certains antivirus).
    Dans la capture ci-dessus, on voit bien que userinit.exe n'a même pas de description et que win32x.exe est une copie de userinit.exe qui charge les processus de l'utilisateur au démarrage de la session.
    Image

    userinit.exe (infectieux) est masqué, catchme ou GMER permet de le révéler :
    catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http:/
    /www.gmer.net
    Rootkit scan 2009-10-25 23:59:23
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\win32x]
    "Type"=dword:00000001
    "Start"=dword:00000003
    "ErrorControl"=dword:00000000
    "ImagePath"=str(2):"\??\C:\WINDOWS\system32\drivers\win32x.sys"
    "DisplayName"="win32x"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\win32x\Security]
    "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\win32x]
    "Type"=dword:00000001
    "Start"=dword:00000003
    "ErrorControl"=dword:00000000
    "ImagePath"=str(2):"\??\C:\WINDOWS\system32\drivers\win32x.sys"
    "DisplayName"="win32x"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\win32x\Security]
    "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..


    scanning hidden registry entries ...

    scanning hidden files ...

    C:\WINDOWS\system32\drivers\win32x.sys 12544 bytes executable
    C:\WINDOWS\system32\userinit.exe 78848 bytes executable
    C:\WINDOWS\system32\win32x.exe 24576 bytes executable

    scan completed successfully
    hidden processes: 0
    hidden services: 1
    hidden files: 3
  • Backdoor.Win32.HareBot est malware qui permet de prendre le controle du PC (notion de Botnet/PC Zombi), il permet aussi de télécharger de nouveaux malwares,
    Backdoor.Win32.HareBot charge pour cela le processus svchost.exe
    Image
    Il n'est pas nouveau mais depuis 2 mois il est extrement courant notamment il téléchargait et installé le rogue/Scareware Security Tools
Les packs peuvent différents mais on retrouve en général, les mêmes malwares :
File VT08090212080-000001 received on 2009.09.30 02:31:12 (UTC)
Current status: finished

Result: 36/41 (87.80%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.30 Trojan-Mailfinder!IK
AhnLab-V3 5.0.0.2 2009.09.29 Win-Trojan/Agent.12544.D
AntiVir 7.9.1.27 2009.09.29 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2009.09.30 Trojan/Win32.Agent.gen
Authentium 5.1.2.4 2009.09.30 W32/SYStroj.N.gen!Eldorado
Avast 4.8.1351.0 2009.09.29 Win32:Rootkit-gen
AVG 8.5.0.412 2009.09.29 Generic11.ADSJ
BitDefender 7.2 2009.09.30 Trojan.Generic.754175
CAT-QuickHeal 10.00 2009.09.29 TrojanMailfinder.Agent.th
ClamAV 0.94.1 2009.09.29 -
Comodo 2469 2009.09.29 TrojWare.Win32.Mailfinder.Agent.th
DrWeb 5.0.0.12182 2009.09.30 Trojan.NtRootKit.1601
eSafe 7.0.17.0 2009.09.29 -
eTrust-Vet 31.6.6768 2009.09.29 Win32/Clstealth.O
F-Prot 4.5.1.85 2009.09.30 W32/SYStroj.N.gen!Eldorado
F-Secure 8.0.14470.0 2009.09.30 Trojan-Mailfinder.Win32.Agent.th
Fortinet 3.120.0.0 2009.09.29 W32/Agent.ZEX!tr
GData 19 2009.09.30 Trojan.Generic.754175
Ikarus T3.1.1.72.0 2009.09.30 Trojan-Mailfinder
Jiangmin 11.0.800 2009.09.27 TrojanSpy.Agent.hri
K7AntiVirus 7.10.856 2009.09.29 Trojan-Mailfinder.Win32.Agent
Kaspersky 7.0.0.125 2009.09.30 Trojan-Mailfinder.Win32.Agent.th
McAfee 5756 2009.09.29 Generic Spy.e
McAfee+Artemis 5756 2009.09.29 Generic Spy.e
McAfee-GW-Edition 6.8.5 2009.09.30 Heuristic.BehavesLike.Win32.Trojan.L
Microsoft 1.5005 2009.09.23 Trojan:Win32/Trafog!rts
NOD32 4468 2009.09.29 Win32/SpamTool.Agent.NBP
Norman 6.01.09 2009.09.29 W32/Rootkit.ASOG
nProtect 2009.1.8.0 2009.09.29 -
Panda 10.0.2.2 2009.09.29 Rootkit/Mailfinder.N
PCTools 4.4.2.0 2009.09.29 Trojan.Mailfinder.DC
Prevx 3.0 2009.09.30 Medium Risk Malware
Rising 21.49.20.00 2009.09.30 RootKit.Win32.Nodef.di
Sophos 4.45.0 2009.09.30 Troj/Agent-IXW
Sunbelt 3.2.1858.2 2009.09.30 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.09.30 Hacktool.Rootkit
TheHacker 6.5.0.2.022 2009.09.30 -
TrendMicro 8.950.0.1094 2009.09.30 TROJ_MAILFIND.BK
VBA32 3.12.10.11 2009.09.29 Trojan-Mailfinder.Win32.Agent.th
ViRobot 2009.9.29.1963 2009.09.29 Trojan.Win32.Agent.12544.B
VirusBuster 4.6.5.0 2009.09.29 -
Additional information
File size: 12544 bytes
~~~
File restorer64_a.exe received on 2009.10.25 10:28:23 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 12/41 (29.27%)
Loading server information...


Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.25 Backdoor.Win32.HareBot!IK
AhnLab-V3 5.0.0.2 2009.10.23 -
AntiVir 7.9.1.44 2009.10.23 -
Antiy-AVL 2.0.3.7 2009.10.23 -
Authentium 5.1.2.4 2009.10.24 -
Avast 4.8.1351.0 2009.10.25 -
AVG 8.5.0.423 2009.10.25 -
BitDefender 7.2 2009.10.25 -
CAT-QuickHeal 10.00 2009.10.24 -
ClamAV 0.94.1 2009.10.25 -
Comodo 2724 2009.10.25 -
DrWeb 5.0.0.12182 2009.10.25 Trojan.DownLoad.41506
eSafe 7.0.17.0 2009.10.22 -
eTrust-Vet 35.1.7082 2009.10.23 -
F-Prot 4.5.1.85 2009.10.24 -
F-Secure 9.0.15370.0 2009.10.22 -
Fortinet 3.120.0.0 2009.10.25 W32/Agent.LNY!tr
GData 19 2009.10.25 -
Ikarus T3.1.1.72.0 2009.10.25 Backdoor.Win32.HareBot
Jiangmin 11.0.800 2009.10.24 Backdoor/HareBot.ek
K7AntiVirus 7.10.879 2009.10.24 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.10.25 Backdoor.Win32.HareBot.rl
McAfee 5781 2009.10.24 -
McAfee+Artemis 5781 2009.10.24 -
McAfee-GW-Edition 6.8.5 2009.10.25 -
Microsoft 1.5202 2009.10.25 -
NOD32 4539 2009.10.24 Win32/Wigon.HT
Norman 6.03.02 2009.10.23 -
nProtect 2009.1.8.0 2009.10.25 -
Panda 10.0.2.2 2009.10.25 Suspicious file
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.25 High Risk System Back Door
Rising 21.52.62.00 2009.10.25 -
Sophos 4.46.0 2009.10.25 Troj/Agent-LNY
Sunbelt 3.2.1858.2 2009.10.24 -
Symantec 1.4.4.12 2009.10.25 -
TheHacker 6.5.0.2.053 2009.10.24 -
TrendMicro 8.950.0.1094 2009.10.25 -
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.23.2003 2009.10.23 Backdoor.Win32.HareBot.26986
VirusBuster 4.6.5.0 2009.10.24 -
Additional information
File size: 26986 bytes
MD5...: c79b6b338e451df5c60d7da6fd534a74
SHA1..: 0108576e4eb9dd9223b5941504e32db3a6e65360

MD5 : f60f2d932b43b5ff7684c2d28ae0193d
SHA1 : b0e4defcd577f611173fc570e92e431a23ddd440

~~~


Rapport GMER
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-10-25 02:49:43
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT \??\C:\WINDOWS\system32\drivers\win32x.sys ZwClose [0xF80168A0] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\win32x.sys ZwCreateKey [0xF8016740] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\win32x.sys ZwEnumerateKey [0xF8016550] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\win32x.sys ZwOpenKey [0xF8016650] <-- ROOTKIT !!!

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\Drivers\PROCEXP100.SYS The system cannot find the file specified. !

---- User code sections - GMER 1.0.15 ----

? C:\WINDOWS\System32\svchost.exe[988] image checksum mismatch; time/date stamp mismatch;

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 64C03356
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 000030A1
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 0C408B00
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] AD1C708B
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] 5E08408B
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] CCCCCCC3
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] CCCCCCCC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] CCCCCCCC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] 53EC8B55
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 558B5756
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 8BDA8B08
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] FA033C7A
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 503F8166
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 03547545
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] FCFA03F2
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] 0C6D8B55
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] 96C203AD
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 3351FD87
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 0FC180C9
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 0C72A6F3
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] FD875996
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 8166EEC5
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 2BEEB6EE
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] EBFE2BF1
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 66C033E3
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] E0C1078B
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 1C738B02
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] F003F203
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] 5DC203AD
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 5D5B5E5F
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] CCCCCCC3
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] CCCCCCCC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] CCCCCCCC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] CCCCCCCC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 83EC8B55
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 60A134EC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] 53700062
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 45895756
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] FF4AE8FC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 2C68FFFF
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] 50700051
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] E8E44589
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] FFFFFF5C
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 51200D8B
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 158B7000
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] A1DC4589
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] [7000511C] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] A0EC4589
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] [70005128] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 8908C483
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] 5589F04D
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] F84588F4
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 50EC458D
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 50E4458B
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 89DC55FF
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 558BCC45
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] 3C4A8B08
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] 80118C8B
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] 03000000
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 04418BCA
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 4D89C085
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 8B0B75E0
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] C0850C41
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 00A2840F
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 018B0000
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] C203103C
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] FF85F203
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] 89D44589
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 840FE475
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 00000080
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 83FFCE83
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] FF85FFCB
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] F78B0A79
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] FFFFE681

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 81102A60
Device \FileSystem\Ntfs \Ntfs 80FD2958

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\win32x.sys (*** hidden *** ) [MANUAL] win32x <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x@Start 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x@ImagePath \??\C:\WINDOWS\system32\drivers\win32x.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x@DisplayName win32x
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x\Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet002\Services\win32x
Reg HKLM\SYSTEM\ControlSet002\Services\win32x@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\win32x@Start 3
Reg HKLM\SYSTEM\ControlSet002\Services\win32x@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\win32x@ImagePath \??\C:\WINDOWS\system32\drivers\win32x.sys
Reg HKLM\SYSTEM\ControlSet002\Services\win32x@DisplayName win32x
Reg HKLM\SYSTEM\ControlSet002\Services\win32x\Security
Reg HKLM\SYSTEM\ControlSet002\Services\win32x\Security@Security 0x01 0x00 0x14 0x80 ...

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\win32x.sys 12544 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\userinit.exe 77312 bytes executable
File C:\WINDOWS\system32\win32x.exe 24576 bytes executable

---- EOF - GMER 1.0.15 ----
Topic lié : Trojan.Win32.Scar / Email-Worm.Win32.Gibon : msxslt3.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116289
Inscription : 10 sept. 2005 13:57

Re: restorer64_a.exe / Backdoor.Win32.HareBot

par Malekal_morte »

Le Scan Combofix du pack... :
ComboFix 09-10-24.01 - Malekal_morte 25/10/2009 3:18.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.33.1033.18.223.125 [GMT -8:00]
Lancé depuis: c:\documents and settings\Malekal_morte\Desktop\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Malekal_morte\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\documents and settings\Malekal_morte\restorer64_a.exe
c:\windows\ccmemp.dll
c:\windows\hsamfn.dll
c:\windows\system32\drivers\win32x.sys
c:\windows\system32\msxslt.dat
c:\windows\system32\msxslt3.exe

c:\windows\system32\drivers\AGP440.sys . . . est infecté!!

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DHCPS
-------\Legacy_NDISRD
-------\Legacy_SSLS
-------\Legacy_WIN32X
-------\Service_DHCPS
-------\Service_NPF
-------\Service_SSLS
-------\Service_win32x


((((((((((((((((((((((((((((( Fichiers créés du 2009-09-25 au 2009-10-25 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-25 11:03 . 2007-08-12 17:05 94112 ----a-w- c:\windows\system32\drivers\AGP440.SYS
2009-10-25 10:22 . 2004-08-04 01:07 77312 ----a-w- c:\windows\system32\userinit.exe
2009-09-04 10:21 . 2009-09-04 10:21 -------- d-----w- c:\program files\FiddlerCap
2009-09-04 09:49 . 2007-08-13 01:06 -------- d-----w- c:\program files\InCtrl5
.

------- Sigcheck -------

[-] 2009-10-25 10:22 . B3FD69A18C21A7DF08DBA760104A3163 . 77312 . . [------] . . c:\windows\system32\userinit.exe

[-] 2009-10-25 11:03 . 76B4117E58081454B0B05C69216865D6 . 94112 . . [------] . . c:\windows\system32\drivers\AGP440.SYS
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VMware Tools"="c:\program files\VMware\VMware Tools\VMwareTray.exe" [2007-02-05 49152]
"VMware User Process"="c:\program files\VMware\VMware Tools\VMwareUser.exe" [2007-02-05 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\System Safety Monitor]
2007-01-29 15:59 51152 ----a-w- c:\windows\system32\SSMWinlogonEx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 safemon;System Safety Monitor 2.0 Core Engine;c:\windows\system32\drivers\safemon.sys [29/01/2007 07:58 216144]
R0 vmscsi;vmscsi;c:\windows\system32\drivers\vmscsi.sys [12/08/2007 17:19 10880]
R2 VMTools;VMware Tools Service;c:\program files\VMware\VMware Tools\VMwareService.exe [04/02/2007 19:43 159744]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [10/06/2008 09:05 6016]
R3 vmmouse;VMware Pointing Device;c:\windows\system32\drivers\vmmouse.sys [12/08/2007 17:19 4608]
R3 vmx_svga;vmx_svga;c:\windows\system32\drivers\vmx_svga.sys [12/08/2007 17:19 15744]
R3 vmxnet;VMware Ethernet Adapter Driver;c:\windows\system32\drivers\vmxnet.sys [12/08/2007 17:19 22528]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
TCP: {440F4843-E2E5-4F10-BF49-C40179F015B6} = 80.10.246.1
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-WinVNC - c:\program files\UltraVNC\winvnc.exe
HKLM-Run-restorer64_a - c:\windows\system32\restorer64_a.exe
ShellExecuteHooks-{4F07DA45-8170-4859-9B5F-037EF2970034} - c:\progra~1\TALLEM~1\ONLINE~1\oaevent.dll
AddRemove-HijackThis - c:\docume~1\MALEKA~1\LOCALS~1\Temp\Rar$EX00.047\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-25 03:21
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(668)
c:\windows\system32\SSMWinlogonEx.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\combofix\CF3150.exe
c:\windows\system32\wscntfy.exe
c:\combofix\PEV.cfxxe
.
**************************************************************************
.
Heure de fin: 2009-10-25 3:22 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-25 11:22

Avant-CF: 140 722 176 bytes free
Après-CF: 133 810 176 bytes free

- - End Of File - - 358350DBAB9E8658807EA040BE3CF8C9

~~~

Fail du Sigcheck - ce qui conforme que le fichier n'est pas authentique Microsoft :
[-] 2009-10-25 10:22 . B3FD69A18C21A7DF08DBA760104A3163 . 77312 . . [------] . . c:\windows\system32\userinit.exe
Le scan de userinit.exe sur VirusTotal :
Win32x.exe est alors visible, on peux le copier pour remplacer userinit.exe
File userinit.exe received on 2009.10.24 22:40:34 (UTC)
Current status: finished

Result: 13/41 (31.71%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.24 Trojan-Mailfinder!IK
AhnLab-V3 5.0.0.2 2009.10.23 -
AntiVir 7.9.1.44 2009.10.23 -
Antiy-AVL 2.0.3.7 2009.10.23 -
Authentium 5.1.2.4 2009.10.24 -
Avast 4.8.1351.0 2009.10.24 -
AVG 8.5.0.423 2009.10.24 Packed.Revolt
BitDefender 7.2 2009.10.24 -
CAT-QuickHeal 10.00 2009.10.24 Win32.Packed.Krap.w.4
ClamAV 0.94.1 2009.10.24 -
Comodo 2719 2009.10.25 -
DrWeb 5.0.0.12182 2009.10.25 Trojan.MailSpy.25
eSafe 7.0.17.0 2009.10.22 -
eTrust-Vet 35.1.7082 2009.10.23 -
F-Prot 4.5.1.85 2009.10.24 -
F-Secure 9.0.15370.0 2009.10.22 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.10.24 -
GData 19 2009.10.24 -
Ikarus T3.1.1.72.0 2009.10.24 Trojan-Mailfinder
Jiangmin 11.0.800 2009.10.24 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.24 Trojan-Mailfinder.Win32.Agent.acz
McAfee 5781 2009.10.24 -
McAfee+Artemis 5781 2009.10.24 Artemis!B3FD69A18C21
McAfee-GW-Edition 6.8.5 2009.10.24 -
Microsoft 1.5202 2009.10.24 Spammer:Win32/Tedroo.A
NOD32 4539 2009.10.24 Win32/SpamTool.Agent.NCB
Norman 6.03.02 2009.10.23 -
nProtect 2009.1.8.0 2009.10.24 -
Panda 10.0.2.2 2009.10.25 Suspicious file
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.25 -
Rising 21.52.52.00 2009.10.24 -
Sophos 4.46.0 2009.10.24 -
Sunbelt 3.2.1858.2 2009.10.24 Trojan.Win32.Bredolab.Gen.1 (v)
Symantec 1.4.4.12 2009.10.25 -
TheHacker 6.5.0.2.053 2009.10.24 -
TrendMicro 8.950.0.1094 2009.10.24 -
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.23.2003 2009.10.23 -
VirusBuster 4.6.5.0 2009.10.24 Trojan.Bredolab.Gen!Pac
Additional information
File size: 77312 bytes
MD5 : b3fd69a18c21a7df08dba760104a3163
SHA1 : c30f5aa6713bf39add7b15da285e84bbc83638ec

~~~
c:\windows\system32\drivers\AGP440.sys . . . est infecté!!
CutWail / Rootkit.Kobcka mais ce n'est pas vraiment nouveaux.
Bref le PC sert aussi à envoyer des mails de SPAM.
File 76b4117e58081454b0b05c69216865d6 received on 2009.10.23 08:06:53 (UTC)
Current status: finished

Result: 23/41 (56.10%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.23 Virus.Win32.Protector!IK
AhnLab-V3 5.0.0.2 2009.10.22 -
AntiVir 7.9.1.44 2009.10.23 RKit/Kobcka.C
Antiy-AVL 2.0.3.7 2009.10.23 -
Authentium 5.1.2.4 2009.10.23 -
Avast 4.8.1351.0 2009.10.22 Win32:Cutwail
AVG 8.5.0.423 2009.10.22 Generic15.GFF
BitDefender 7.2 2009.10.23 Rootkit.Kobcka.Patched.Gen
CAT-QuickHeal 10.00 2009.10.23 -
ClamAV 0.94.1 2009.10.23 -
Comodo 2700 2009.10.23 TrojWare.Win32.Trojan.RootKit.~GR
DrWeb 5.0.0.12182 2009.10.23 Trojan.DownLoad.47257
eSafe 7.0.17.0 2009.10.22 -
eTrust-Vet 35.1.7081 2009.10.23 Win32/Cutwail.AUX
F-Prot 4.5.1.85 2009.10.22 -
F-Secure 9.0.15370.0 2009.10.22 Rootkit.Kobcka.Patched.Gen
Fortinet 3.120.0.0 2009.10.22 PossibleThreat
GData 19 2009.10.23 Rootkit.Kobcka.Patched.Gen
Ikarus T3.1.1.72.0 2009.10.23 Virus.Win32.Protector
Jiangmin 11.0.800 2009.10.23 -
K7AntiVirus 7.10.877 2009.10.22 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.10.23 -
McAfee 5779 2009.10.22 Generic.dx!fzs
McAfee+Artemis 5779 2009.10.22 Generic.dx!fzs
McAfee-GW-Edition 6.8.5 2009.10.23 Rootkit.Kobcka.C
Microsoft 1.5202 2009.10.23 Virus:Win32/Cutwail.H
NOD32 4535 2009.10.23 a variant of Win32/Kryptik.ABX
Norman 6.03.02 2009.10.22 W32/Rootkit.AYIG
nProtect 2009.1.8.0 2009.10.23 -
Panda 10.0.2.2 2009.10.22 Trj/CI.A
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.23 -
Rising 21.52.41.00 2009.10.23 -
Sophos 4.46.0 2009.10.23 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.10.23 Trojan.Win32.Cutwail.drv (v)
Symantec 1.4.4.12 2009.10.23 -
TheHacker 6.5.0.2.051 2009.10.22 -
TrendMicro 8.950.0.1094 2009.10.23 -
VBA32 3.12.10.11 2009.10.22 -
ViRobot 2009.10.23.2002 2009.10.23 Win32.Protector.C
VirusBuster 4.6.5.0 2009.10.22 -
Additional information
File size: 94112 bytes
MD5 : 76b4117e58081454b0b05c69216865d6
SHA1 : 9e068ae745dc4ae4d16cac7906d8703e1cf7fa70
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116289
Inscription : 10 sept. 2005 13:57

Re: restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.HareBot

par Malekal_morte »

restorer32_a.exe maintenant :
O4 - HKLM\..\Run: [restorer32_a] C:\WINDOWS\system32\restorer32_a.exe
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [restorer32_a] C:\Documents and Settings\Malekal_morte\restorer32_a.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
On a le droit a plein de famille différents sur la détection, ça va de CutWail à FakeAlert ...
File KB861823.exe received on 2009.10.28 23:03:07 (UTC)
Current status: finished
Result: 19/41 (46.34%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.28 Trojan-Downloader.Win32.Cutwail!IK
AhnLab-V3 5.0.0.2 2009.10.28 -
AntiVir 7.9.1.50 2009.10.28 -
Antiy-AVL 2.0.3.7 2009.10.27 Backdoor/Win32.HareBot.gen
Authentium 5.1.2.4 2009.10.28 -
Avast 4.8.1351.0 2009.10.28 -
AVG 8.5.0.423 2009.10.28 -
BitDefender 7.2 2009.10.28 Trojan.Downloader.JMKV
CAT-QuickHeal 10.00 2009.10.28 TrojanDownloader.Mutant.foa
ClamAV 0.94.1 2009.10.28 -
Comodo 2760 2009.10.28 -
DrWeb 5.0.0.12182 2009.10.28 Trojan.DownLoad.41506
eSafe 7.0.17.0 2009.10.28 -
eTrust-Vet 35.1.7088 2009.10.28 Win32/FakeAlert!generic
F-Prot 4.5.1.85 2009.10.28 -
F-Secure 9.0.15370.0 2009.10.27 Trojan.Downloader.JMKV
Fortinet 3.120.0.0 2009.10.28 -
GData 19 2009.10.28 Trojan.Downloader.JMKV
Ikarus T3.1.1.72.0 2009.10.28 Trojan-Downloader.Win32.Cutwail
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.881 2009.10.27 -
Kaspersky 7.0.0.125 2009.10.28 Trojan-Downloader.Win32.Mutant.foa
McAfee 5785 2009.10.28 FakeAlert-ID
McAfee+Artemis 5785 2009.10.28 FakeAlert-ID
McAfee-GW-Edition 6.8.5 2009.10.28 Heuristic.LooksLike.Trojan.Dldr.Agent.B
Microsoft 1.5202 2009.10.28 TrojanDownloader:Win32/Cutwail.AQ
NOD32 4553 2009.10.28 Win32/Wigon.HT
Norman 6.03.02 2009.10.28 Pandex.XV
nProtect 2009.1.8.0 2009.10.28 -
Panda 10.0.2.2 2009.10.28 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.29 Medium Risk Malware Dropper
Rising 21.53.24.00 2009.10.28 -
Sophos 4.46.0 2009.10.28 Troj/Pushdo-AQ
Sunbelt 3.2.1858.2 2009.10.27 -
Symantec 1.4.4.12 2009.10.28 -
TheHacker 6.5.0.2.056 2009.10.28 -
TrendMicro 8.950.0.1094 2009.10.28 -
VBA32 3.12.10.11 2009.10.27 -
ViRobot 2009.10.28.2009 2009.10.28 Trojan.Win32.Downloader.26836.B
VirusBuster 4.6.5.0 2009.10.28 -
Additional information
File size: 26622 bytes
MD5 : 98c615257e6841fdbd627bb94eb2a871
SHA1 : 3b6e841fb872ceec36679045bf2ee4d0161c8a63
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116289
Inscription : 10 sept. 2005 13:57

Re: restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.HareBot

par Malekal_morte »

Autre variante photo_id.exe
O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exe
O4 - HKCU\..\Run: [photo_id] C:\Documents and Settings\Malekal_morte\photo_id.exe
File KB946838.exe received on 2009.11.14 06:58:52 (UTC)
Current status: finished

Result: 15/41 (36.59%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.14 Backdoor.Win32.HareBot!IK
AhnLab-V3 5.0.0.2 2009.11.13 -
AntiVir 7.9.1.65 2009.11.13 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.11.13 Backdoor/Win32.HareBot
Authentium 5.2.0.5 2009.11.14 -
Avast 4.8.1351.0 2009.11.13 Win32:Malware-gen
AVG 8.5.0.425 2009.11.13 -
BitDefender 7.2 2009.11.14 Trojan.Generic.2667737
CAT-QuickHeal 10.00 2009.11.13 -
ClamAV 0.94.1 2009.11.14 -
Comodo 2949 2009.11.14 -
DrWeb 5.0.0.12182 2009.11.14 Trojan.Inject.7035
eSafe 7.0.17.0 2009.11.12 -
eTrust-Vet 35.1.7121 2009.11.14 -
F-Prot 4.5.1.85 2009.11.13 -
F-Secure 9.0.15370.0 2009.11.11 -
Fortinet 3.120.0.0 2009.11.14 -
GData 19 2009.11.14 Trojan.Generic.2667737
Ikarus T3.1.1.74.0 2009.11.14 Backdoor.Win32.HareBot
Jiangmin 11.0.800 2009.11.12 -
K7AntiVirus 7.10.896 2009.11.13 -
Kaspersky 7.0.0.125 2009.11.14 Backdoor.Win32.HareBot.ajg
McAfee 5801 2009.11.13 -
McAfee+Artemis 5801 2009.11.13 Artemis!A5D97F3E80BE
McAfee-GW-Edition 6.8.5 2009.11.14 Heuristic.BehavesLike.Win32.Suspicious.B
Microsoft 1.5202 2009.11.14 -
NOD32 4606 2009.11.14 a variant of Win32/Wigon.MK
Norman 6.03.02 2009.11.13 -
nProtect 2009.1.8.0 2009.11.14 -
Panda 10.0.2.2 2009.11.13 Suspicious file
PCTools 7.0.3.5 2009.11.13 -
Prevx 3.0 2009.11.14 Medium Risk Malware
Rising 22.21.05.03 2009.11.14 -
Sophos 4.47.0 2009.11.14 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.11.12 -
Symantec 1.4.4.12 2009.11.14 -
TheHacker 6.5.0.2.069 2009.11.13 -
TrendMicro 9.0.0.1003 2009.11.14 -
VBA32 3.12.10.11 2009.11.13 -
ViRobot 2009.11.14.2036 2009.11.14 -
VirusBuster 4.6.5.0 2009.11.13 -
Additional information
File size: 27759 bytes
MD5 : a5d97f3e80be5f9cdbb0a51d2bba124e
SHA1 : e289bac74f02ed2a3aa8d22eff29105fa89c6c98
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116289
Inscription : 10 sept. 2005 13:57

Re: restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.HareBot

par Malekal_morte »

Autre variante :
O4 - HKLM\..\Run: [CsimPlayer] C:\WINDOWS\system32\CsimPlayer.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116289
Inscription : 10 sept. 2005 13:57

Re: restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.HareBot

par Malekal_morte »

O4 - HKLM\..\Run: [imPlayok] C:\WINDOWS\system32\imPlayok.exe
File imPlayok.exe received on 2010.02.13 12:11:20 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 11/41 (26.83%)

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.13 -
AhnLab-V3 5.0.0.2 2010.02.13 -
AntiVir 7.9.1.160 2010.02.12 -
Antiy-AVL 2.0.3.7 2010.02.13 -
Authentium 5.2.0.5 2010.02.13 -
Avast 4.8.1351.0 2010.02.13 -
AVG 9.0.0.730 2010.02.13 -
BitDefender 7.2 2010.02.13 -
CAT-QuickHeal 10.00 2010.02.13 -
ClamAV 0.96.0.0-git 2010.02.13 -
Comodo 3922 2010.02.13 -
DrWeb 5.0.1.12222 2010.02.13 Trojan.DownLoad1.34432
eSafe 7.0.17.0 2010.02.11 -
eTrust-Vet 35.2.7300 2010.02.12 -
F-Prot 4.5.1.85 2010.02.12 -
F-Secure 9.0.15370.0 2010.02.13 -
Fortinet 4.0.14.0 2010.02.13 -
GData 19 2010.02.13 -
Ikarus T3.1.1.80.0 2010.02.13 -
Jiangmin 13.0.900 2010.02.08 -
K7AntiVirus 7.10.972 2010.02.12 -
Kaspersky 7.0.0.125 2010.02.13 -
McAfee 5890 2010.02.12 -
McAfee+Artemis 5890 2010.02.12 Artemis!A33DA8DE7A69
McAfee-GW-Edition 6.8.5 2010.02.13 Heuristic.LooksLike.Win32.Suspicious.A
Microsoft 1.5406 2010.02.13 -
NOD32 4862 2010.02.12 a variant of Win32/Wigon.ND
Norman 6.04.08 2010.02.13 -
nProtect 2009.1.8.0 2010.02.13 Backdoor/W32.Bredolab.41001
Panda 10.0.2.2 2010.02.12 Suspicious file
PCTools 7.0.3.5 2010.02.13 -
Prevx 3.0 2010.02.13 High Risk Cloaked Malware
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.13 Mal/Generic-A
Sunbelt 5675 2010.02.13 -
Symantec 20091.2.0.41 2010.02.13 Suspicious.Insight
TheHacker 6.5.1.4.191 2010.02.13 -
TrendMicro 9.120.0.1004 2010.02.13 TROJ_SHGRAY.SM
VBA32 3.12.12.2 2010.02.12 Malware-Cryptor.Win32.General.4
ViRobot 2010.2.13.2186 2010.02.13 -
VirusBuster 5.0.21.0 2010.02.12 -
Additional information
File size: 41001 bytes
MD5...: a33da8de7a6910b42d4deda1226a48b2
SHA1..: 5842258974a93c28da279ed610bd6f85050d74ef
SHA256: 2b72716b40fcffbde3451950ec2862192a848e3051ad1a6fc4ae07a318b13853
ssdeep: 768:IA3SDhwthgeByYUTM/hvdOh+zXDGm16bJAXuCA9p6vex0azUX:ikhhkw/hlj
j4J/j6vex0Gm
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116289
Inscription : 10 sept. 2005 13:57

Re: restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.Har

par Malekal_morte »

Fichier wuaucldt.exe maintenant :
%UserProfile%\wuaucldt.exe
%System%\wuaucldt.exe 29,475 bytes MD5: 0x843DF4A60F07C24ACF2E61BE45427A86
SHA-1: 0xE40930D6586741324AF866170AB2BC84B596F32B HeurEngine.ZeroDayThreat [PCTools]
Suspicious.DLoader [Symantec]
Backdoor.Win32.HareBot.aso [Kaspersky Lab]
Ce qui donne en bonne détection :
Done !
MD5 : 843df4a60f07c24acf2e61be45427a86
Date : 2010.03.29 16:38:26 (UTC)
Results : 25/42
Virus Names : Suspicious.DLoader Trojan.Backdoor.HareBot.aso Trojan.Kobcka.IX
Permalink : http://www.virustotal.com/analisis/dabf ... 1269880706

The results for 843df4a60f07c24acf2e61be45427a86 are :
Prevx 3.0 2010.03.29 High Risk Cloaked Malware
GData 19 2010.03.29 Trojan.Kobcka.IX
nProtect 2009.1.8.0 2010.03.29 Trojan.Kobcka.IX
DrWeb 5.0.2.03220 2010.03.29 Trojan.DownLoad1.39248
McAfee-GW-Edition 6.8.5 2010.03.29 Trojan.Backdoor.HareBot.aso
Symantec 20091.2.0.41 2010.03.29 Suspicious.DLoader
eSafe 7.0.17.0 2010.03.28 Win32.Kobcka.Ix
Sophos 4.52.0 2010.03.29 Sus/UnkPack-C
McAfee+Artemis 5935 2010.03.29 Artemis!843DF4A60F07
PCTools 7.0.3.5 2010.03.29 HeurEngine.ZeroDayThreat
Jiangmin 13.0.900 2010.03.29 Backdoor/HareBot.ii
F-Secure 9.0.15370.0 2010.03.29 Trojan.Kobcka.IX
Kaspersky 7.0.0.125 2010.03.29 Backdoor.Win32.HareBot.aso
BitDefender 7.2 2010.03.29 Trojan.Kobcka.IX
Panda 10.0.2.2 2010.03.29 Trj/CI.A
Comodo 4428 2010.03.29 TrojWare.Win32.Trojan.Agent.Gen
Ikarus T3.1.1.80.0 2010.03.29 Trojan.Kobcka
a-squared 4.5.0.50 2010.03.29 Trojan.Kobcka!IK
Avast 4.8.1351.0 2010.03.29 Win32:Malware-gen
Avast5 5.0.332.0 2010.03.29 Win32:Malware-gen
Fortinet 4.0.14.0 2010.03.29 W32/HareBot.ASO!tr.bdr
AntiVir 7.10.5.247 2010.03.29 BDS/HareBot.aso
Antiy-AVL 2.0.3.7 2010.03.29 Backdoor/Win32.HareBot
ViRobot 2010.3.29.2250 2010.03.29 Backdoor.Win32.HareBot.29475
CAT-QuickHeal 10.00 2010.03.29 Backdoor.HareBot.aso
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116289
Inscription : 10 sept. 2005 13:57

Re: restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.Har

par Malekal_morte »

Gros retour de HareBot depuis qq semaines.
Il est d'ailleurs installé par une campagne de Spam malicieux : http://forum.malekal.com/spam-fedex-sys ... 31924.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116289
Inscription : 10 sept. 2005 13:57

Re: restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.Har

par Malekal_morte »

La Backdoor a des fonctionnalités de SpamBot.

On peux voir les connexions SMTP établies.

Image

et des exemples de SPAM, pour du "dating"
Image


Image

ou pour du viagra :
Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »