malware bds/vb.fnl sous mswinsck.ocx

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

malware bds/vb.fnl sous mswinsck.ocx

Messagede Jerome » 26 Jan 2009, 22:46

bonsoir,

voila mon anti virus 'antivir ' qui me signale un malware
il arrive de tps en tps ??
qu'est ce que c'est exactement ?
Je vous envoies un log hijack
Merci d'avance

Virus or unwanted program 'BDS/VB.fnl [backdoor]'
detected in file 'C:\WINDOWS\system32\mswinsck.ocx.
Action performed: Deny access

je suis aller sur virus total pour scan

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.26 Backdoor.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.01.26 -
AntiVir 7.9.0.60 2009.01.26 BDS/VB.fnl
Authentium 5.1.0.4 2009.01.26 -
Avast 4.8.1281.0 2009.01.26 -
AVG 8.0.0.229 2009.01.26 -
BitDefender 7.2 2009.01.26 -
CAT-QuickHeal 10.00 2009.01.24 -
ClamAV 0.94.1 2009.01.26 -
Comodo 947 2009.01.26 Backdoor.Win32.VB.fnl
DrWeb 4.44.0.09170 2009.01.26 -
eSafe 7.0.17.0 2009.01.26 Win32.SusComPack.c
eTrust-Vet 31.6.6328 2009.01.26 -
F-Prot 4.4.4.56 2009.01.26 -
F-Secure 8.0.14470.0 2009.01.26 Backdoor.Win32.VB.fnl
Fortinet 3.117.0.0 2009.01.25 -
GData 19 2009.01.26 -
Ikarus T3.1.1.45.0 2009.01.26 Backdoor.Win32.VB
K7AntiVirus 7.10.606 2009.01.26 -
Kaspersky 7.0.0.125 2009.01.26 Backdoor.Win32.VB.fnl
McAfee 5507 2009.01.26 Generic BackDoor
McAfee+Artemis 5507 2009.01.26 Generic BackDoor
Microsoft 1.4205 2009.01.26 -
NOD32 3801 2009.01.26 probably a variant of Win32/VB
Norman 5.93.01 2009.01.26 -
nProtect 2009.1.8.0 2009.01.26 -
Panda 9.5.1.2 2009.01.26 -
PCTools 4.4.2.0 2009.01.26 Backdoor.VB!sd6
Prevx1 V2 2009.01.26 -
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.26 Trojan.Backdoor.VB.fnl
Sophos 4.37.0 2009.01.26 Mal/Generic-A
Sunbelt 3.2.1835.2 2009.01.16 Backdoor.Win32.VB.fnl
Symantec 10 2009.01.26 -
TheHacker 6.3.1.5.229 2009.01.26 -
TrendMicro 8.700.0.1004 2009.01.26 -
VBA32 3.12.8.11 2009.01.25 Backdoor.Win32.VB.fnl
ViRobot 2009.1.23.1577 2009.01.26 -
VirusBuster 4.5.11.0 2009.01.26 -
Information additionnelle
File size: 124690 bytes
MD5...: 12ebf33468b745a315b28023bfc4b31d
SHA1..: bfaf1fa99fa4c05e0583d3ec888f65b669a95625
SHA256: f9bc95647a04845e53adf776544ea4b906ca9a7eb6cd15381ad60823092cbe54
SHA512: 011ffa8e9f629405a7d164a4e56bcec2d963db59c28f0cda3ddae543d16f5eb5
9e7861888339f75895b6a2af6bfd6143be9ed6a0bda853829832895ec2737661
ssdeep: 3072:9PdIuG8UvahsdcYX3UI2EuJ3im/ZCdady+RlTp/VYq63+sw:9PBUyhsdEI2
++M+RlTHYe
PEiD..: -
TrID..: File type identification
Windows OCX File (84.7%)
Win32 Executable Generic (5.8%)
Win32 Dynamic Link Library (generic) (5.2%)
Win16/32 Executable Delphi generic (1.4%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x22171308
timedatestamp.....: 0x403ad15d (Tue Feb 24 04:21:49 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x10aee 0x11000 6.52 6e3005cab8d33795ef294794842ca8d7
.data 0x12000 0x750 0x1000 2.22 d1dde3a0c25726b20a2a88413af3bf9c
.rsrc 0x13000 0x671c 0x7000 4.16 ca2c168d9f993f0e3cdb5e424df07f64
.reloc 0x1a000 0x1384 0x2000 4.93 6400b9db7626b7bdde79f6280cdb795f

( 7 imports )
> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> KERNEL32.dll: WideCharToMultiByte, GetVersion, GetProcAddress, GetModuleFileNameA, InitializeCriticalSection, HeapFree, HeapAlloc, GetProcessHeap, lstrcpynA, lstrcpyA, lstrlenA, lstrcatA, IsBadWritePtr, DisableThreadLibraryCalls, lstrlenW, LeaveCriticalSection, GetCurrentThreadId, EnterCriticalSection, LocalFree, FormatMessageA, GetTickCount, MultiByteToWideChar, SetLastError, GetLocaleInfoA, DeleteCriticalSection, FreeLibrary, lstrcmpA, InterlockedDecrement, GetFileAttributesA, GetWindowsDirectoryA, LoadLibraryA, GetLastError, InterlockedIncrement, lstrcmpiA, FindResourceA, LockResource, LoadResource, HeapReAlloc
> USER32.dll: EndDialog, DrawEdge, DialogBoxParamA, LoadCursorA, MessageBoxA, GetActiveWindow, GetDC, CharNextA, ReleaseDC, SetParent, GetWindowRect, ShowWindow, WinHelpA, IsDialogMessageA, GetWindow, GetNextDlgTabItem, IsWindowEnabled, GetDlgItem, IsChild, GetKeyState, SetWindowPos, LoadBitmapA, IsWindowVisible, EndPaint, GetClientRect, BeginPaint, GetSystemMetrics, GetDlgItemTextA, ClientToScreen, OffsetRect, EqualRect, IntersectRect, SetWindowRgn, PtInRect, MessageBeep, LoadStringA, IsWindow, CreateDialogIndirectParamA, GetParent, SetDlgItemTextA, SendMessageA, DefWindowProcA, GetWindowLongA, DestroyWindow, SetWindowLongA, KillTimer, SetTimer, UnregisterClassA, RegisterClassA, PeekMessageA, PostMessageA, SendDlgItemMessageA, GetDlgItemInt, SetDlgItemInt, SetFocus, MoveWindow, CreateWindowExA, wsprintfA
> ole32.dll: CoTaskMemAlloc, CoTaskMemFree, CoCreateInstance, CreateOleAdviseHolder
> ADVAPI32.dll: RegDeleteValueA, RegQueryValueA, RegOpenKeyA, RegQueryValueExA, RegEnumKeyExA, RegDeleteKeyA, RegOpenKeyExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> GDI32.dll: GetDeviceCaps, CreateCompatibleDC, CreateRectRgnIndirect, GetWindowExtEx, GetViewportExtEx, DeleteDC, DeleteObject, GetObjectA, LPtoDP, SetMapMode, SetViewportExtEx, SetWindowExtEx, SetViewportOrgEx, SetWindowOrgEx, CreateDCA, BitBlt, SelectObject

( 5 exports )
DLLGetDocumentation, DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=12ebf33468b745a315b28023bfc4b31d' target='_blank'>http://www.threatexpert.com/report.aspx?md5=12ebf33468b745a315b28023bfc4b31d</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=12ebf33468b745a315b28023bfc4b31d' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=12ebf33468b745a315b28023bfc4b31d</a>

rapport hijack

Logfile of HijackThis v1.99.1
Scan saved at 22:42:29, on 26/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft LifeCam\MSCamSvc.exe
C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\vVX3000.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox 2 Beta 1\firefox.exe
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.cegetel.net/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... ase370.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner - C:\WINDOWS\system32\drivers\KodakCCS.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Encore Merci
Jerome
 
Messages: 10
Inscription: 17 Mai 2007, 13:49

Messagede nickW » 27 Jan 2009, 01:25

Bonsoir,

Dans l'Explorateur Windows, ouvrir le dossier C:\WINDOWS\system32
Faire un clic droit sur le fichier MSWINSCK.OCX puis choisir Propriétés.

Quelle est la taille du fichier?
Quelles sont les dates de création et de modification?

Ouvrir l'onglet Version.
Quelle est la version?

Ouvrir l'onglet Signatures numériques.
Quelle est la date affichée dans la colonne Horodateur (cliquer sur Détails pour avoir tous les renseignements)?


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

RE

Messagede Jerome » 27 Jan 2009, 14:28

bonjour nickw

voila les infos que vs me demandez

créer le 2 fev 2006
modifié le 26 janvier 2009

taille 121 ko

taille sur le ?? 124ko

en ce qui concerne la version =>rien
horodateur rien ???

En esperant que le peu d'infos puisse vous aidez ?

pouvez vous me dire ce qu'est 'en bref' mon pbleme
je vois que c un ctrl active X ?
qu'est ce que craint ?
cordialement
Jerome
 
Messages: 10
Inscription: 17 Mai 2007, 13:49

Messagede nickW » 01 Fév 2009, 00:56

Bonsoir,

Il y a déjà eu des détections erronées (faux-positifs) sur MSWINSCK.OCX
Exemple:
http://www.f-secure.com/v-descs/backdoo ... _fbh.shtml


J'ai déposé sur un serveur externe la dernière version officielle de MSWINSCK.ocx pour que tu puisses la récupérer.

Méthode:
*- télécharger l'archive MSWINSCK.zip depuis http://senduit.com/2e694a
*- dans l'Explorateur, ouvrir le dossier C:\WINDOWS\system32 et renommer le fichier MSWINSCK.ocx en MSWINSCK.ocx.non
*- extraire de l'archive MSWINSCK.zip le fichier MSWINSCK.ocx et placer celui-ci dans le dossier C:\WINDOWS\system32

Note: J'ai fait effectuer une analyse en ligne de ce fichier sur virscan.org, qui n'a rien détecté.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Jerome » 02 Fév 2009, 21:25

bonsoir nickW

je viens d'essayer de rechercher le fichier defectueux , seulement lorsque je click sur le lien
je n'ai pas la possibilté de telecharger de fichier ?

seulement faire une mise a jour

est ce le cas ?

cordialement

jerome
Jerome
 
Messages: 10
Inscription: 17 Mai 2007, 13:49

Messagede nickW » 03 Fév 2009, 01:12

Bonsoir,

Nouveau lien de téléchargement (valable 2 jours seulement): http://senduit.com/a4c91b

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

ok,pbleme semble resolu

Messagede Jerome » 04 Fév 2009, 15:07

Encore merci nickw

bonne continuation

cordialement

jerome
Jerome
 
Messages: 10
Inscription: 17 Mai 2007, 13:49

Messagede nickW » 04 Fév 2009, 17:33

Bonjour,

Merci pour quoi :?:

As-tu réussi à télécharger le fichier, à le mettre en place :?:

Ton problème initial est-il résolu :?:


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 30 invités

cron