Changelog de MWfix
Les fichiers n'étant pas classés par ordre alphabétique, je vous invite à utiliser la fonction "Rechercher dans la page" de votre navigateur
Version 3.1.1.5 du 24/02/08 à 11h45
%SYSTEMDRIVE%\ncbc.vbs ([trj]Win32:Delf-AFR)
%SYSTEMDRIVE%\nc.exe ([trj]Win32:Delf-AFR)
%SYSTEMDRIVE%\t.exe ([Trj-Dwn]Win32.Small.aoa) (infection traitée dans le registre)
%SYSTEMDRIVE%\install1.log
%SYSTEMDRIVE%\p3r1ud.exe
D:\p3r1ud.exe
E:\p3r1ud.exe
F:\p3r1ud.exe
G:\p3r1ud.exe
H:\p3r1ud.exe
%SYSTEMDRIVE%\Autorun.inf (win32:Autorun-PE)
D:\Autorun.inf (win32:Autorun-PE)
E:\Autorun.inf (win32:Autorun-PE)
F:\Autorun.inf (win32:Autorun-PE)
G:\Autorun.inf (win32:Autorun-PE)
H:\Autorun.inf (win32:Autorun-PE)
%SYSTEMDRIVE%\copy.exe (win32:Perlovga[godzilla])
D:\copy.exe (win32:Perlovga[godzilla])
E:\copy.exe (win32:Perlovga[godzilla])
F:\copy.exe (win32:Perlovga[godzilla])
G:\copy.exe (win32:Perlovga[godzilla])
H:\copy.exe (win32:Perlovga[godzilla])
%SYSTEMDRIVE%\AdobeR.exe ([trj]Win32:Rjump)
D:\AdobeR.exe ([trj]Win32:Rjump)
E:\AdobeR.exe ([trj]Win32:Rjump)
F:\AdobeR.exe ([trj]Win32:Rjump)
G:\AdobeR.exe ([trj]Win32:Rjump)
H:\AdobeR.exe ([trj]Win32:Rjump)
D:\Incomplete\_\q7q7q7q7q7q7q7q7xx.zip
%SYSTEMDRIVE%\RavMonLog.exe
%SYSTEMDRIVE%\MS32DLL.dll.vbs (VBS.solow)
%SYSTEMDRIVE%\Autorun.bat
%SYSTEMDRIVE%\Autorun.vbs
%SYSTEMDRIVE%\tel.xls.exe
D:\tel.xls.exe
E:\tel.xls.exe
F:\tel.xls.exe
G:\tel.xls.exe
H:\tel.xls.exe
%SYSTEMDRIVE%\3g08.bat
D:\3g08.bat
E:\3g08.bat
F:\3g08.bat
G:\3g08.bat
H:\3g08.bat
%SYSTEMDRIVE%\8ot8y86.exe
%SYSTEMDRIVE%\Program Files\accoona
%SYSTEMDRIVE%\Program Files\Helper
%SYSTEMDRIVE%\Program Files\NetProject ([trj-dwn]Win32:Zlob.ibe)
%SYSTEMDRIVE%\Program Files\Sotfone ([trj]Win32:BHO.NCF)
%SYSTEMDRIVE%\Program Files\VirusHeat 3.9
%SYSTEMDRIVE%\Program Files\SpywareLocked 3.5
%SYSTEMDRIVE%\Program Files\s300
%SYSTEMDRIVE%\Program Files\MyWaySA ([spw]MyWay.SearchAgent)
%SYSTEMDRIVE%\Program Files\Zango\zango.exe ([adw]Win32:Zango.AU)
%SYSTEMDRIVE%\Program Files\ZangoToolbar\Bin\4.8.3.0\ZbSrv.exe ([adw]Win32:Zango.AU)
%SYSTEMDRIVE%\Program Files\The All-Seeing Eye\movenrun.exe ([trj]Win32:Zapchast-BQ) (infection traitée dans le registre)
%WINDIR%\RavMonE.exe
%WINDIR%\ALCMTR.EXE
%WINDIR%\trz128.tmp
%WINDIR%\t.exe ([Trj-Dwn]Win32.Small.aoa) (infection traitée dans le registre)
%WINDIR%\pack.epk ([Adw]MSNSkinner.A)
%WINDIR%\kl.exe ([trj]Win32:Anserin) (infection traitée dans le registre)
%WINDIR%\ms1.exe ([trj-dwn]Win32:Small.buh)
%WINDIR%\tool1.exe ([trj-dwn]Win32:Small.bnt)
%WINDIR%\tool2.exe ([trj]Win32:Paymite-B)
%WINDIR%\system\ir32.dll ([trj]Win32:Pakes.aws)
%WINDIR%\system\iyvu9.dll ([trj]Win32:Pakes.awt)
%WINDIR%\system32\jkutvysm.dll
%WINDIR%\system32\urqnnnm.dll
%WINDIR%\system32\ejmuget.dat
%WINDIR%\system32\ejmuget.exe
%WINDIR%\system32\urqnk.dll
%WINDIR%\system32\qlgcfvwn.dll
%WINDIR%\system32\nnnkh.dll
%WINDIR%\system32\nnnkh.dll,c
%WINDIR%\system32\eaovtlsd.dll
%WINDIR%\system32\gebaxyy.dll
%WINDIR%\system32\khffecb.dll
%WINDIR%\system32\pijmpium.dll
%WINDIR%\system32\pmnkjjj.dll
%WINDIR%\system32\qrqss.ini
%WINDIR%\system32\ssqrq.dll
%WINDIR%\system32\vmdwajym.dll
%WINDIR%\system32\yayyyyy.dll
%WINDIR%\system32\awvvu.dll
%WINDIR%\system32\uvvwa.ini
%WINDIR%\system32\drivers\fidbox.dat
%WINDIR%\system32\drivers\fidbox.idx
%WINDIR%\system32\nnnoo.dll
%WINDIR%\system32\oonnn.ini
%WINDIR%\system32\khfggdc.dll
%WINDIR%\system32\ljjjjkl.dll
%WINDIR%\system32\vtuuv.dll
%WINDIR%\system32\vuutv.ini
%WINDIR%\system32\ALCMTR.EXE
%WINDIR%\system32\eksjllcr.dll
%WINDIR%\system32\fhkmp.ini
%WINDIR%\system32\fhkmp.tmp
%WINDIR%\system32\hjkkj.ini
%WINDIR%\system32\hswcslvm.dll
%WINDIR%\system32\jkkjh.dll
%WINDIR%\system32\jrtgioea.dll
%WINDIR%\system32\kkymlmfx.dll
%WINDIR%\system32\nvqnvdlp.dll
%WINDIR%\system32\pmkhf.dll
%WINDIR%\system32\qghhyhsk.dll
%WINDIR%\system32\qupcxfly.dll
%WINDIR%\system32\roipxblw.ini
%WINDIR%\system32\ssneydkh.dll
%WINDIR%\system32\tgrvknsa.dll
%WINDIR%\system32\tvbauxyp.dll
%WINDIR%\system32\ugdsrvno.dll
%WINDIR%\system32\vtustsr.dll
%WINDIR%\system32\wlbxpior.dll
%WINDIR%\system32\xfmlmykk.ini
%WINDIR%\system32\Autorun.bat
%WINDIR%\system32\Autorun.vbs
%WINDIR%\system32\debgyhnju.exe
%WINDIR%\system32\cjuvwa.dll
%WINDIR%\system32\proper.exe
%WINDIR%\system32\winter.exe
%WINDIR%\system32\gzmrt.dll
%WINDIR%\system32\amwlpjda.dll
%WINDIR%\system32\vdlarbty.dll
%WINDIR%\system32\hp100.tmp (Win32:Zlob)
%WINDIR%\system32\ld100.tmp (Win32:Zlob)
%WINDIR%\System32\wintems.exe ([Wrm]Win32:BAGLE)
%WINDIR%\System32\ban_list.txt ([Wrm]Win32:BAGLE)
%WINDIR%\System32\mdelk.exe ([Wrm]Win32:BAGLE)
%WINDIR%\System32\drivers\mdelk.exe ([Wrm]Win32:BAGLE)
%WINDIR%\system32\kdgqf.exe ([trj]Win32:Gen5.NBR)
%WINDIR%\system32\kdhpi.exe ([trj]Win32:DNSChanger.nk)
%WINDIR%\system32\kavo.exe ([wrm]Win32:Stucco-A) (infection traitée dans le registre)
%WINDIR%\system32\kavo0.dll([wrm]Win32:Stucco-A) (infection traitée dans le registre)
%WINDIR%\system32\kavo1.dll([wrm]Win32:Stucco-A) (infection traitée dans le registre)
%WINDIR%\system32\xclngakuep.exe
%WINDIR%\system32\xclngakuep.dat
%WINDIR%\system32\eeioq.dll ([Hoax]Win32:Renos.gen.o) (infection traitée dans le registre)
%WINDIR%\System32\drivers\srosa.sys ([Wrm]Win32:BAGLE) (infection traitée dans le registre)
%WINDIR%\System32\drivers\hidr.exe ([Wrm]Win32:BAGLE)
%WINDIR%\System32\drivers\hldrrr.exe ([Wrm]Win32:BAGLE)
%WINDIR%\System32\drivers\hidrrr.exe ([Wrm]Win32:BAGLE)
%WINDIR%\System32\drivers\down ([Wrm]Win32:BAGLE)
%WINDIR%\system32\drivers\Icon.exe (infection traitée dans le registre)
%SYSTEMDRIVE%\hp\tmp\src\psptr\rus\Readme.txt (Win32:Uruguay)
%USERPROFILE%\RavMonLog
%USERPROFILE%\RavMonLog.exe
%ALLUSERSPROFILE%\Application Data\STORE LESS JUGS SURF\Bird media.exe ([trj-dwn]Win32:Swizzor)
%TEMP%\ZAN230.exe ([adw]Win32:Zango.AU)
%TEMP%\ZAN237.exe ([adw]Win32:Zango.AU)
%TEMP%\Installer.exe ([Adw]Win32:Shopper.L)
%TEMP%\ShprInstaller.exe ([Adw]Win32:Shopper.L)
Version 3.1.2.0 du 24/02/08 à 16h25
%USERPROFILE%\????????.exe ([wrm]Win32:Kelvir.AZ)
%WINDIR%\SYSTEM\WinFAT32.exe ([Wrm]VBS/LoveLetter.A)
%WINDIR%\system\LOVE-LETTER-FOR-YOU.TXT.vbs ([Wrm]VBS/LoveLetter.A)
%WINDIR%\Win32DLL.vbs ([Wrm]VBS/LoveLetter.A)
%WINDIR%\system\MSKernel32.vbs ([Wrm]VBS/LoveLetter.A)
%WINDIR%\system32\1024 ([trj]Win32:Zlob})
%WINDIR%\Downloaded Program Files\YazzleActiveX.ocx ([trj]Win32:generic. {Other})
%WINDIR%\system32\dcomcfg.exe ([trj]Win32:Zlob-OE)
Version 3.1.2.1 du 26/02/08 à 20h30
%TEMP%\winlogon.exe ([Wrm]Win32:Netsky.d)
%WINDIR%\winlogon.exe ([Wrm]Win32:Netsky.d)
%SYSTEMDRIVE%\LHXHWJ.exe
%SYSTEMDRIVE%\D.exe
%WINDIR%\system32\msn.exe
%WINDIR%\system32\dllcache\spoolms.exe requiert spoolmsfix.reg pour être traité dans le registre
%WINDIR%\DSC01497.zip
Version 3.2.0.1 du 28/02/08 à 15h00
%WINDIR%\System32\penis32.exe ([Wrm]Win32:Blaster.B) (infection traitée dans le registre)
%WINDIR%\System32\msblast.exe ([Wrm]Win32:Blaster.B) (infection traitée dans le registre)
%WINDIR%\System32\TeeKids.exe ([Wrm]Win32:Blaster.C) (infection traitée dans le registre)
%WINDIR%\System32\MSPATCH.exe ([Wrm]Win32:Blaster.D)
%WINDIR%\System32\MSLAUGH.exe ([Wrm]Win32:Blaster.E)
%WINDIR%\System32\ENBIEI.exe ([Wrm]Win32:Blaster.F)
%WINDIR%\System32\index.exe ([Wrm]Win32:Blaster.C)
%WINDIR%\System32\root32.exe ([Wrm]Win32:Blaster.C) (infection traitée dans le registre)
%WINDIR%\avserve.exe ([Wrm]Win32:Sasser.A)
%WINDIR%\avserve2.exe ([Wrm]Win32:Sasser.B)
%WINDIR%\skynetave.exe ([Wrm-Trj]Win32:Sasser.D)
%WINDIR%\komodo-6262022.exe ([Wrm]Komodo)
%WINDIR%\komodo-6321422.exe ([Wrm]Komodo)
%WINDIR%\cinderawasih-4262027.exe ([Wrm]Komodo)
%WINDIR%\cinderawasih-4321427.exe ([Wrm]Komodo)
%WINDIR%\_default26202.pif ([Wrm]Komodo)
%SYSTEMDRIVE%\Baca Bro !!!.txt ([Wrm]Win32:Brontok-BB)
Version 3.2.0.2 du 28/02/08 à 18h00
%WINDIR%\system32\nvs2.inf
%WINDIR%\system32\voimpaldr.dat
%WINDIR%\system32\voimpaldr.exe
%WINDIR%\system32\cfkxbpehmy.dat
%WINDIR%\system32\cfkxbpehmy.exe
%WINDIR%\system32\zeizdobqi.dat
%WINDIR%\system32\zeizdobqi.exe
%PROGRAMFILES%\InternetGameBox ([trj]Dropper.NaviP.u)
%PROGRAMFILES%\WebMediaPlayer ([trj]Dropper.NaviP.u)
%WINDIR%\prefetch\MESSENGERSKINNER.EXE-0EE2A110.pf ([adw]MSNSkinner.A)
%WINDIR%\prefetch\INTERNETGAMEBOX.EXE-1EE9EDEF.pf ([trj]Dropper.NaviP.u)
%WINDIR%\prefetch\INTERNETGAMEBOX_SETUP[1].EXE-023E2E0E.pf ([trj]Dropper.NaviP.u)
%WINDIR%\prefetch\INTERNETGAMEBOX_SETUP.EXE-0561C5C3.pf ([trj]Dropper.NaviP.u)
%WINDIR%\prefetch\INTERNETGAMEBOX_SETUP[1].EXE-1F0F0C6D.pf ([trj]Dropper.NaviP.u)
%APPDATA%\nnnnmdd.dat
%APPDATA%\nnnnmdd.exe
%APPDATA%\ohhababc.dat
%APPDATA%\ohhababc.exe
Version 3.2.0.3 du 01/03/08 à 16h15
%WINDIR%\astra32.exe
%WINDIR%\QTFont.qfn
%WINDIR%\QTFont.for
%WINDIR%\system32\drivers\lvuvc.hs (Rootkit.Agent)
%WINDIR%\System32\antiv.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\driver.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\driverini.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\drv.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\expoler.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\filexe.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\hlp16.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\qname.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\spoole.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\swchost.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\syshost.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\systemchk.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\systemini.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\winchk.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\winlog32.exe ([wrm]Win32:Sober.A)
%WINDIR%\System32\winreg.exe ([wrm]Win32:Sober.A)
%WINDIR%\system32\bdod.bin
Version 4.0.0.0 du 02/03/08 à 11h20
%WINDIR%\System32\Macromed\Help\Media.dll ([wrm]Win32:Sober.A)
%WINDIR%\System32\amvo.exe (infection traitée dans le registre)
%SYSTEMDRIVE%\oufddh.exe (infection traitée dans le registre)
%WINDIR%\msclock32.dll
%WINDIR%\msplock32.dll
%PROGRAMFILES%\MessengerSkinner
Version 4.0.0.1 du 02/03/08 à 19h00
%PROGRAMFILES%\Instant Access ([trj]Dropper.NaviP.u)
%PROGRAMFILES%\MailSkinner ([trj]Dropper.NaviP.u)
%PROGRAMFILES%\GoRecord2 ([trj]Dropper.NaviP.u)
%PROGRAMFILES%\GoAstro ([trj]Dropper.NaviP.u)
%PROGRAMFILES%\SudoPlanet ([trj]Dropper.NaviP.u)
%PROGRAMFILES%\HotTVPlayer ([trj]Dropper.NaviP.u)
Version 4.0.0.2 du 06/03/08 à 14h30
Reconnaissance des systemes d'exploitation Windows 2000 ;XP et VISTA par l'ajout dans le code source du programme de ces lignes de commandes :
@ver|find "Windows XP" > NUL
@if not Errorlevel 1 goto Start
@ver|find "Windows Vista" > NUL
@if not Errolevel 1 goto Start
@ver|find "Windows 2000" > NUL
@if not Errorlevel 1 goto Start
:Start
%WINDIR%\system\smvss.exe ([trj]DEDLER-G)
%WINDIR%\system32\rightonadz-uninst.exe ([adw]AdRotator.G)
%WINDIR%\system32\jester1.exe ([Bckd]Win32.IRCBot.amk)
%WINDIR%\system32\tmp.txt
%WINDIR%\system32\b.exe
%PROGRAMFILES%\Search Settings
%PROGRAMFILES%\Mozilla Firefox\extensions\search@searchsettings.com
Version 4.2.0.3 du 06/03/08 à 19h30
modification du nom du rapport rapport.txt devient MWfix_report.txt
%WINDIR%ALCXMNTR.exe
Version 4.2.0.4 du 08/03/08 à 14h00
%WINDIR%\reminder\fsc-reminder.exe
%WINDIR%\ATLCV32.exe ([trj]Agent.bi)
%WINDIR%\ATLZV32.exe ([trj]Agent.bi)
%WINDIR%\CRAS.exe ([trj]Agent.bi)
%WINDIR%\D3HO.exe ([trj]Agent.bi)
%WINDIR%\D3TU32.exe ([trj]Agent.bi)
%WINDIR%\D3VO.exe ([trj]Agent.bi)
%WINDIR%\MSVJ.exe ([trj]Agent.bi)
%WINDIR%\NTKC32.exe ([trj]Agent.bi)
%WINDIR%\SDKXT32.exe ([trj]Agent.bi)
%WINDIR%\SYSSN.exe ([trj]Agent.bi)
%WINDIR%\System32\sysdb32.exe ([trj-dwn]Win32.Tiny.ba)
%WINDIR%\System32\tcpb32.exe ([bckd]Win32.IRCBot.nw)
%WINDIR%\System32\XpFirewall.exe ([wrm]Win32:Mytob.w) (infection traitée dans le registre)
%WINDIR%\System32\bingoo.exe ([wrm]Win32:Mytob.w)
%WINDIR%\System32\APPQN.exe ([trj]Agent.bi)
%WINDIR%\System32\ATLSR32.exe ([trj]Agent.bi)
%WINDIR%\System32\CRWW32.exe ([trj]Agent.bi)
%WINDIR%\System32\D3JG.exe ([trj]Agent.bi)
%WINDIR%\System32\D3PY.exe ([trj]Agent.bi)
%SYSTEMDRIVE%\funny_pic.scr ([wrm]Win32:Mytob.w) (infection traitée dans le registre)
%SYSTEMDRIVE%\my_photo2005.scr ([wrm]Win32:Mytob.w) (infection traitée dans le registre)
%SYSTEMDRIVE%\see_this!!.scr ([wrm]Win32:Mytob.w) (infection traitée dans le registre)
Version 4.3.0.0 du 09/03/08 à 17h10
Détection des infection navipromo et Vundo par extensions propres.
Cependant, la suppression de ces infections n'est pas activée.
%TEMP%\nsu22.tmp\System.dll ([Wrm]Voterai)
%WINDIR%\System32\wndrivs.exe ([Wrm]Win32.Skipi.a)
%WINDIR%\System32\mshtml32.exe ([Wrm]Win32.Skipi.a)
%WINDIR%\System32\sdrives32.exe ([Wrm]Win32.Skipi.a)
%WINDIR%\System32\winlgcver.exe ([Wrm]Win32.Skipi.a)
%WINDIR%\System32\ncompat.tlb ([trj]Win32:Zlob.F)
%WINDIR%\System32\msvol.tlb ([trj]Win32:Zlob.F)
%WINDIR%\System32\WORM.exe ([Wrm]Win32:Doomhunter)
%WINDIR%\system32\xxwtq.dll ([trj-dwn]ConHook.n)
%ALLUSERSPROFILE%\Application Data\bib keep for win\MathSafe.exe ([trj]Swissor.gen)
%APPDATA%\Gram About\bib keep for win\MathSafe.exe ([trj]Swissor.gen)
%APPDATA%\Gram About\Multi bits support.exe ([trj]Swissor.gen)
%APPDATA%\Gram About\zivpfpci.exe ([trj]Swissor.gen)
%APPDATA%\Surf chic eq\Meet pile.exe ([trj]Swissor.gen)
%SYSTEMDRIVE%\tmp\bis17B.exe ([trj]Swissor.gen)
%WINDIR%\virus.exe ([Wrm]Win32:Coronex.b)
%WINDIR%\Soap Bubbles.bmp ([Wrm]Win32.Skipi.a)
Version 4.3.1.0 du 10/03/08 à 20h50
%WINDIR%\System32\SCardClnt.exe ([bckd]Win32:Codbot-K)
%WINDIR%\System32\LYLoader.exe ([trj]pwdstealer.gen)
%WINDIR%\MsIMMs32.exe ([trj]pwdstealer.gen)
%WINDIR%\IGM.exe ([trj]pwdstealer.gen)
%WINDIR%\upxdnd.exe ([trj]pwdstealer.gen)
Version 4.3.1.1 du 14/03/08 à 19h30
%SYSTEMDRIVE%\ntkernel.exe ([trj]Agent.qt)
%APPDATA%\setup_fr[1].exe (erreurchasseur)
%APPDATA%\setup_fr.exe (erreurchasseur)
%WINDIR%\System32\BTCPatcher.exe ([trj]Agent.dvl)
%WINDIR%\Temp\csfwazm7.exe ([trj]Agent.qt)
%WINDIR%\Temp\an0kf6or.exe ([trj]Agent.qt)
Version 4.3.1.2 du 16/03/08 à 11h58
%PROGRAMFILES%\HPQ\Default Settings\CpqsetVer.exe ([bckd]Agent.AHJ)
%PROGRAMFILES%\webHancer ([Trj-adw]Webhancer.A)
%PROGRAMFILES%\mailskinner ([Trj]MailSkinner.A)
%TEMP%\u3enD.exe
%TEMP%\hgrN.exe
%TEMP%\fwQiB.exe
%APPDATA%\wamo.exe
%WINDIR%\runsql.exe ([Hoax]Win32.SysCare.e)
%WINDIR%\svhoster.exe ([Hoax]Win32.SysCare.e)
%WINDIR%\svw.exe ([Hoax]Win32.SysCare.e)
%WINDIR%\svx.exe ([Hoax]Win32.SysCare.e)
%WINDIR%\svc.exe ([Hoax]Win32.SysCare.e)
%WINDIR%\svzip.exe ([Hoax]Win32.SysCare.e)
%WINDIR%\system32\spywarewarning.mht ([Hoax]Win32.SysCare.e)
%WINDIR%\system32\accwizu.exe ([Hoax]Win32.SysCare.e)
%WINDIR%\system32\accessf.exe ([Hoax]Win32.SysCare.e)
%WINDIR%\System32\Bwd0m.exe
%WINDIR%\system32\javacj32.exe
%WINDIR%\system32\appmgmtsy.exe
%WINDIR%\system32\an4.exe
%WINDIR%\system32\bnyf7zmjv.exe
%WINDIR%\system32\javahv.exe
%WINDIR%\system32\d3yc.exe
%WINDIR%\system32\apprn.exe (infection traitée dans le registre)
%WINDIR%\System32\appmgmts.exe
%WINDIR%\System32\VbhrYQop.exe
%WINDIR%\System32\searchsetter[1].exe (infection traitée dans le registre à l'exception de [HKCR\Software\Microsoft\internet explorerinternet0%]et [HKLM\SOFTWARE\Microsoft\internet explorerinternet0%]. Un regfix spécial est disponible ici: SearchSetterfix.reg )
%WINDIR%\System32\searchsetter.exe (infection traitée dans le registre à l'exception de [HKCR\Software\Microsoft\internet explorerinternet0%]et [HKLM\SOFTWARE\Microsoft\internet explorerinternet0%]. Un regfix spécial est disponible ici: SearchSetterfix.reg )
Version 5.0 (Bêta) du 25/03/08 à 9h50
Traitement des infections dans le registre pour celles marquées (infection traitée dans le registre)
%WINDIR%\system32\pendin32.exe ([Trj]Agent)
%WINDIR%\ravfree.exe ([Trj-Drp]Win32:VB.rj)
Version 5.0 (Bêta 2) du 25/03/08 à 19h35
Mise en place d'une fonction de sauvegarde du registre dans "%SYSTEMDRIVE%\backupsMWfix" .
Correction de quelques bugs.
Version 5.0 (Bêta 3) du 27/03/08 à 19h35
Amélioration de la sauvegarde du registre
Version 5.1.0.0 du 29/03/08 à 12h00
Des infections des versions précédentes de MWfix sont désormais traitées dans le registre.
Mise en ligne des Regfix spéciaux.
%WINDIR%\System32\Macromed\Help\amvo0.dll (infection traitée dans le registre)
%WINDIR%\System32\Macromed\Help\amvo1.dll (infection traitée dans le registre)
Version 5.1.0.1 du 30/03/08 à 16h20
Correction de quelques erreurs minimes.
%WINDIR%\System32\ntos.exe ([trj]Win32:Spy.Bancos.AAM) requiert NTOSfix.reg pour être traité dans le registre
Version 5.1.0.2 du 01/04/08 à 10h50
Des infections des versions précédentes de MWfix sont désormais traitées dans le registre.
Version 5.1.0.3 du 05/04/08 à 12h15
Des infections des versions précédentes de MWfix sont désormais traitées dans le registre.
%SYSTEMDRIVE%\n.exe ([Trj-Dwn]Win32.Small.aoa) (infection traitée dans le registre)
%SYSTEMDRIVE%\m.exe ([Trj-Dwn]Win32.Small.aoa) (infection traitée dans le registre)
%WINDIR%\System32\srvc32.exe ([Trj-Dwn]Win32.Small.aoa) (infection traitée dans le registre)
Version 5.1.0.4 du 07/04/08 à 14h00
Des infections des versions précédentes de MWfix sont désormais traitées dans le registre.
Version 5.1.1.4 du 07/04/08 à 15h00
Des infections des versions précédentes de MWfix sont désormais traitées dans le registre.
Ajout d'une fonction qui indique dans le rapport l'état de la valeur
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="%WINDIR%\system32\Userinit.exe,"
ici, la valeur est saine. Mais s'il y a une inscription au delà de la virgule, cela traduit une infection.
Version 5.1.1.5 du 13/04/08 à 17h00
Des infections des versions précédentes de MWfix sont désormais traitées dans le registre.
Correction d'un faux positif
%WINDIR%\dbg32hlp.exe ([wrm]SDBOT.CNG) (infection traitée dans le registre)
%WINDIR%\system32\rdriv.sys ([wrm]SDBOT.CNG) (infection traitée dans le registre)
Version 5.2.0.0 du 14/04/08 à 11h40
Les processus actifs sont désormais terminés avant d'être supprimmés.
Exceptions toutefois, les processus:
%TEMP%\winlogon.exe
%USERPROFILE%\????????.exe
les fichiers .bat qui nécessitent la fermeture de CMD.exe, ce qui provoquerait la fermeture de MWfix.exe qui nécessite ce Processus pour fonctionner.
%WINDIR%\kwfod.exe
Version 5.2.0.1 du 24/04/08 à 18h45
Des infections des versions précédentes de MWfix sont désormais traitées dans le registre.
Version 5.2.0.2 du 29/04/08 à 11h35
Des infections des versions précédentes de MWfix sont désormais traitées dans le registre.
%WINDIR%\tool3.exe
%WINDIR%\tool4.exe
%WINDIR%\tool5.exe
Version 5.2.1.2 du 29/04/08 à 11h35
Suppression des traces de MWfix.exe dans le dossier %WINDIR%\prefetch\
Ajout dans le rapport de la date et de l'heure à laquelle l'analyse a été effetuée
Version 5.2.1.3 du 06/05/08 à 9h05
Des infections des versions précédentes de MWfix sont désormais traitées dans le registre.
%WINDIR%\TEMP\LS.exe
Version 5.2.1.4 du 17/05/08 à 12h28
Amélioration du système de suppression de certains fichiers
Version 5.2.1.5 du 25/05/08 à 18h54
%SYSTEMDRIVE%\ntdetect.exe ([trj]Win32:Small.ayz)
%SYSTEMDRIVE%\config32.exe ([Trj]Win32:Agent-HFH)
%SYSTEMDRIVE%\host.exe ([trj]Win32:Small.BTX)
D:\host.exe ([trj]Win32:Small.BTX)
E:\host.exe ([trj]Win32:Small.BTX)
F:\host.exe ([trj]Win32:Small.BTX)
G:\host.exe ([trj]Win32:Small.BTX)
H:\host.exe ([trj]Win32:Small.BTX)
I:\host.exe ([trj]Win32:Small.BTX)
J:\host.exe ([trj]Win32:Small.BTX)
%WINDIR%\svchost.exe ([trj]Win32:Small.BTX)
Version 5.2.1.6 du 29/05/08 à 16h45
Des infections des versions précédentes de MWfix sont désormais traitées dans le registre.
%WINDIR%\system32\tuvwoold (Vundo)
%WINDIR%\system32\tuvWooLD.dll (Vundo)
Version 5.2.1.7 du 03/06/08 à 21h05
%WINDIR%\Downloaded Program Files\setup.inf ([Adw]Win32:Russian Searchbar)
Version 5.2.1.8 du 17/06/08 à 16h15
Des infections des versions précédentes de MWfix sont désormais traitées dans le registre.
Version 5.2.1.9 du 20/06/08 à 22h10
%SYSTEMDRIVE%\comand.scr ([Wrm]WORM_FALSU.A)
%SYSTEMDRIVE%\commando.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\comand.scr ([Wrm]WORM_FALSU.A)
%WINDIR%\commando.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\commad.pif ([Wrm]WORM_FALSU.A)
%WINDIR%\srvwin.scr ([Wrm]WORM_FALSU.A)
%WINDIR%\WinExec.exe ([Wrm]WORM_FALSU.A) (infection traitée dans le registre)
%WINDIR%\shared\aim_hack.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\blue_beep.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\brazil_blond_XXX.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\Delphi_2005_Keygen.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\Delphi_7_Crack.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\Delphi_9_Keygen.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\ftp_crack.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\gta3_trainer.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\icq_hack.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\invisible_IP.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\lesbians_fucking.mpg.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\msn_crack.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\pedo_brazilian_kids.mpeg.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\porn_password_collection.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\porn_video.mpg.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\PS2_emulator_bleem.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\warcraft3_invisible_trainer.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\WarDialer.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\win2k_pass_decryptor.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\shared\XP_keygen.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\System32\dllcache\download\my_sister_nude.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\System32\Winsys.exe ([Wrm]WORM_FALSU.A)
%WINDIR%\System32\WinUpdate.exe ([Wrm]WORM_FALSU.A)
Version 5.2.2.0 du 30/06/08 à 15h20
%WINDIR%\system32\pcandis5.sys ([Trj]Win32:DNSChanger.ewf)
%SYSTEMDRIVE%\System Volume Information\_restore{33184E98-2CFA-4DE5-9778-FF57BD5AEFCC}\RP342\A0604924.sys ([Trj]Win32:DNSChanger.ewf)
%WINDIR%\FVProtect.exe ([Wrm]Win32:Netsky-P) (infection traitée dans le registre)
%WINDIR%\userconfig9x.dll ([Wrm]Win32:Netsky-P) (infection traitée dans le registre)
%WINDIR%\base64.tmp ([Wrm]Win32:Netsky-P) (infection traitée dans le registre)
%WINDIR%\zip1.tmp ([Wrm]Win32:Netsky-P) (infection traitée dans le registre)
%WINDIR%\zip2.tmp ([Wrm]Win32:Netsky-P) (infection traitée dans le registre)
%WINDIR%\zip3.tmp ([Wrm]Win32:Netsky-P) (infection traitée dans le registre)
%WINDIR%\zipped.tmp ([Wrm]Win32:Netsky-P) (infection traitée dans le registre)
%WINDIR%\system32\drivers\netdtect.sys ([Trj]Pushdo-Gen)
%WINDIR%\system32\drivers\runtime.sys ([Trj]Pushdo-Gen)
Version 5.2.2.1 du 02/07/08 à 14h00
Correction d'un faux positif.
Version 5.2.2.2 du 07/07/08 à 11h40
%WINDIR%\system32\run.cmd (infection traitée dans le registre)
%WINDIR%\0.err
%WINDIR%\1.err
Version 5.2.2.3 du 10/07/08 à 17h30
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\inst.exe ([Wrm]Win32:Deloder) (infection traitée dans le registre)
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\inst.exe.exe ([Wrm]Win32:Deloder) (infection traitée dans le registre)
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\Dvldr32.exe ([Wrm]Win32:Deloder) (infection traitée dans le registre)
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\psexec.exe ({UPX} IRC/Flood.i) (infection traitée dans le registre)
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\raddrv.dll (RemoteAdmin.svr) (infection traitée dans le registre)
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AdmDll.dll (RemoteAdmin.svr) (infection traitée dans le registre)
%WINDIR%\Start Menu\Programs\Startup\inst.exe ([Wrm]Win32:Deloder) (infection traitée dans le registre)
%WINDIR%\Start Menu\Programs\Startup\inst.exe.exe ([Wrm]Win32:Deloder) (infection traitée dans le registre)
%WINDIR%\Start Menu\Programs\Startup\Dvldr32.exe ([Wrm]Win32:Deloder) (infection traitée dans le registre)
%WINDIR%\Start Menu\Programs\Startup\psexec.exe ({UPX} IRC/Flood.i) (infection traitée dans le registre)
%WINDIR%\Start Menu\Programs\Startup\raddrv.dll (RemoteAdmin.svr) (infection traitée dans le registre)
%WINDIR%\Start Menu\Programs\Startup\AdmDll.dll (RemoteAdmin.svr) (infection traitée dans le registre)
%WINDIR%\system32\inst.exe ([Wrm]Win32:Deloder) (infection traitée dans le registre)
%WINDIR%\system32\inst.exe.exe ([Wrm]Win32:Deloder) (infection traitée dans le registre)
%WINDIR%\system32\Dvldr32.exe ([Wrm]Win32:Deloder) (infection traitée dans le registre)
%WINDIR%\system32\psexec.exe ({UPX} IRC/Flood.i) (infection traitée dans le registre)
%WINDIR%\system32\raddrv.dll (RemoteAdmin.svr) (infection traitée dans le registre)
%WINDIR%\system32\AdmDll.dll (RemoteAdmin.svr) (infection traitée dans le registre)
Version 5.2.2.4 du 13/07/08 à 21h06
%USERPROFILE%\All Users\Start Menu\Programs\Startup\AdobeGammaLoader.scr ([Trj]Win32:Lydra) (infection traitée dans le registre)
%WINDIR%\lsassv.exe ([Trj]Win32:Lydra) (infection traitée dans le registre)
%WINDIR%\msrpc.exe ([Trj]Win32:Lydra) (infection traitée dans le registre)
%WINDIR%\mui\rctfd.sys ([Trj]Win32:Lydra) (infection traitée dans le registre)
%WINDIR%\winsys.exe ([Trj]Win32:Lydra) (infection traitée dans le registre)
%WINDIR%\iecomn.dll ([Trj]Win32:Lydra) (infection traitée dans le registre)
%WINDIR%\viaud.dll ([Trj]Win32:Lydra) (infection traitée dans le registre)
%WINDIR%\pool32.dll ([Trj]Win32:Lydra) (infection traitée dans le registre)
%WINDIR%\setupiwz.dll ([Trj]Win32:Lydra) (infection traitée dans le registre)
%WINDIR%\unrar.dll ([Trj]Win32:Lydra) (infection traitée dans le registre)
Version 5.2.2.5 du 15/07/08 à 13h42
Correction de deux faux positifs
Version 5.2.2.6 du 15/07/08 à 16h10
%WINDIR%\system32\msinet.oca ([Trj]Agent.GFS)
%WINDIR%\system32\pac.txt ([Trj]Agent.GFS)
%WINDIR%\system32\rMa02yy\rMa02yy1099.exe ([Trj]Agent.GFS)
Version 5.2.2.7 du 22/07/08 à 11h55
%PROGRAMFILES%\Defenza (Rogue)
Version 5.2.2.8 du 27/07/08 à 20h05
%SYSTEMDRIVE%\gendel32.exe (hacktool.gendel.a)
%WINDIR%\gendel32.exe (hacktool.gendel.a)
%WINDIR%\system32\gendel32.exe (hacktool.gendel.a)
%SYSTEMDRIVE%\gendel.exe (hacktool.gendel.a)
%WINDIR%\gendel.exe (hacktool.gendel.a)
%WINDIR%\system32\gendel.exe (hacktool.gendel.a)
%WINDIR%\system32\c.bat ([Bckd]BotGet.FtpA.Gen)
Version 5.2.2.9 du 31/07/08 à 11h25
%TEMP%\laf0.exe ([trj-dwn]Win32:Zlob.CIH) (infection traitée dans le registre)
%TEMP%\nsx3.tmp\rle.dll ([trj-dwn]Win32:Zlob.CIH) (infection traitée dans le registre)
%TEMP%\nsx3.tmp ([trj-dwn]Win32:Zlob.CIH) (infection traitée dans le registre)
Version 5.2.3.0 du 06/08/08 à 18h45
%PROGRAMFILES%\Adverts ([Trj]Win32:Obfuscated.en)
%WINDIR%\toe1.exe
%WINDIR%\jdhhjs.exe
%WINDIR%\imgss.exe
%WINDIR%\imagesss.exe
Version 5.2.3.1 du 10/08/08 à 15h20
%WINDIR%\Temp\NSIS_Install_WMP.exe ([Adw]win32:Navipromo.p)
%WINDIR%\system32\ntvm.exe
%PROGRAMFILES%\Ascentive ([Adw]Win32:Spyware Striker)
%ALLUSERSPROFILE%\Bureau\Spyware Striker.lnk ([Adw]Win32:Spyware Striker)
%ALLUSERSPROFILE%\Menu Démarrer\Programmes\Ascentive ([Adw]Win32:Spyware Striker)
Version 5.2.3.2 du 17/08/08 à 18h05
%SYSTEMDRIVE%\a.bat ([Trj]BAT.Regger.b)
%SYSTEMDRIVE%\a (Trojan.Agent)
%WINDIR%\Hacker.com.cn.exe ([Trj]Feutel.CJ) (infection traitée dans le registre)
Version 5.2.3.3 du 21/08/08 à 19h30
%WINDIR%\system32\FastP2P.exe (infection traitée dans le registre)
%WINDIR%\system32\sxe1.tmp
%WINDIR%\system32\sxe3.tmp
%WINDIR%\system32\sxe4.tmp
%WINDIR%\system32\sxe9.tmp
%WINDIR%\system32\sxeA.tmp
%WINDIR%\system32\sxeF.tmp
%WINDIR%\system32\lecteur système\sxe4.tmp
%TEMP%\sxe1.7z
%TEMP%\sxe3.7z
%TEMP%\sxe4.7z
%TEMP%\sxe9.7z
%TEMP%\sxeA.7z
%TEMP%\sxeF.7z
Version 5.2.3.4 du 30/09/08 à 19h15
Pour des raisons de sécurité, MWfix.exe devient MWfix.bat
Version 5.2.3.5 du 25/10/08 à 13h55
%WINDIR%\system32\RavMon.exe (infection traitée dans le registre)
%SYSTEMDRIVE%\Ravmon.exe (infection traitée dans le registre)
D:\Ravmon.exe (infection traitée dans le registre)
E:\Ravmon.exe (infection traitée dans le registre)
F:\Ravmon.exe (infection traitée dans le registre)
G:\Ravmon.exe (infection traitée dans le registre)
H:\Ravmon.exe (infection traitée dans le registre)
Helpeurs, contactez moi pour me signaler un problème, me faire part de vos remarques ou encore me proposer de nouveaux fichiers à ajouter dans la base de données via cette adresse pcsystem@monespace.net
Si vous êtes membres du Forum MicroHebdo, veuillez me contacter par Message Perso sur le Forum au pseudo de dj QUIOU
Cordialement
MWfix : Lien direct
PC-system.fr: http://pc-system.fr
s'abonner à ce Flux RSS