searcher41

Bonsoir, le chkdsk a été fait il y a quelques jours, suite à un arrêt malencontreux du pc. pour le scannow, je n'ai que mes dvd de sauvegarde de windows "post achat du pc", donc je ne le ferai pas. concernant les conseils de ton dernier post, j'avais quasiment déjà tout fait "en routine" pour les MAJ vista, j'ai bien compris la leçon sur l'importance de les faire puisque j'ai fait une malheureuse rencontre il y a 1 mois et demi : un rootkit TDSS dernière génération qui m'a apporté ramnit avec lui -_- ... les alertes continuent toujours mais la thèse de l'infection semble s'amenuiser même si je ne serai jamais sûr :s ; j'ai toujours eu trop peur des cracks et autres keygens pour en user, et mes études ne me laissent guère de temps pour le p2p, autant dire que je n'ai pas de comportement à risque, le pc ne me servant que pour le travail, les mails et les réseaux sociaux depuis que j'ai fait ma réinstall (l'association rootkit + ramnit a été fatale pour mon OS ...) je vais néanmoins continuer à chercher, écumer les rubriques sécurité et optimisation, et j'invite tous les gens qui liront ce post à en faire de même, garder un pc à jour (softs, plugins et OS) ca prend finalement peu de temps et ca peut éviter de perdre tout son système à cause d'un seul exploit sur un site web envahi de popups malicieux par exemple ... je te remercie pour tout ce temps que tu m'as accordé, heureusement que votre forum existe ! Searcher41 (Edit : PureRa -> ok : 207Mo libérés)

Bonsoir, Je n'ai pas pu répondre avant maintenant, impossible d'accéder au forum depuis hier soir. Voici le rapport RogueKiller : "RogueKiller V6.2.4 [12/01/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/43) Blog: tigzy-RK Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: steeve [Droits d'admin] Mode: Recherche -- Date : 12/01/2012 19:53:50 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 2 ¤¤¤ [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] dd3f20876be1cd3fd158f725ed881b07 [bSP] 48a214a2e1b30448b06acf8ddbb7d4fa : HP tatooed MBR Code Partition table: 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 52567 Mo 1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 296736615 | Size: 8110 Mo 3 - [XXXXXX] EXTEN [VISIBLE] Offset (sectors): 102671415 | Size: 99361 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt" Et voici pour le aswMBR : "aswMBR version 0.9.9.1297 Copyright© 2011 AVAST Software Run date: 2012-01-12 20:00:27 ----------------------------- 20:00:27.161 OS Version: Windows 6.0.6002 Service Pack 2 20:00:27.161 Number of processors: 2 586 0x6801 20:00:27.161 ComputerName: PROPRIETAIRE UserName: steeve 20:00:28.004 Initialize success 20:03:32.498 AVAST engine defs: 12011200 20:03:40.173 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3 20:03:40.173 Disk 0 Vendor: Hitachi_HTS541616J9SA00 SB4OC7BP Size: 152627MB BusType: 3 20:03:40.205 Disk 0 MBR read successfully 20:03:40.220 Disk 0 MBR scan 20:03:40.220 Disk 0 unknown MBR code 20:03:40.236 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 50132 MB offset 63 20:03:40.283 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 7734 MB offset 296736615 20:03:40.298 Disk 0 Partition - 00 05 Extended 94758 MB offset 102671415 20:03:40.345 Disk 0 Partition 3 00 82 Linux swap 1976 MB offset 121692438 20:03:40.361 Disk 0 Partition - 00 05 Extended 83494 MB offset 125740755 20:03:40.392 Disk 0 scanning sectors +312576705 20:03:40.470 Disk 0 scanning C:\Windows\system32\drivers 20:03:52.919 Service scanning 20:03:54.541 Modules scanning 20:04:05.243 Disk 0 trace - called modules: 20:04:05.274 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys 20:04:05.289 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x849ba780] 20:04:05.305 3 CLASSPNP.SYS[879a78b3] -> nt!IofCallDriver -> [0x84793898] 20:04:05.321 5 acpi.sys[806136bc] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0x847a8b98] 20:04:05.913 AVAST engine scan C:\Windows 20:04:08.160 AVAST engine scan C:\Windows\system32 20:06:43.520 AVAST engine scan C:\Windows\system32\drivers 20:06:55.485 AVAST engine scan C:\Users\steeve 20:07:45.639 AVAST engine scan C:\ProgramData 20:08:13.017 Scan finished successfully 20:12:26.268 Disk 0 MBR has been saved successfully to "C:\Users\steeve\Desktop\MBR.dat" 20:12:26.283 The log file has been saved successfully to "C:\Users\steeve\Desktop\aswMBR.txt" " j'ai laissé le scan en mode "quick scan". Le MBR.dat est ici : Lien CJoint.com 3Anv7CroGP4 C'est vraiment impossible de faire un screenshot pour moi, surtout que je dois faire Fn+impécr pour l'imprime écran, j'ai pas le temps de réagir. J'ai épluché les journaux d'événements windows. les deux seules erreurs qui reviennent le plus souvent sont : "Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger : SYMTDI" "La description de l'ID d'événement 1003 dans la source Microsoft-Windows-Dhcp-Client est introuvable. Le composant qui a déclenché cet événement n'est pas installé sur l'ordinateur local ou l'installation est endommagée. Vous pouvez installer ou réparer le composant sur l'ordinateur local. Une erreur matérielle corrigée s’est produite." Voilou Searcher41

Re, Pour ZHP me reste la quarantaine aussi, les autres softs c'est ok. Les deux fichiers type "physicalMBR.bin" à la racine, je les efface aussi ? je viens de voir que le pc était repassé tout seul en mode "masquer les extensions connues" et "ne pas afficher les fichiers cachés", celà a-t-il une importance ? j'utilise déjà mbam depuis longtemps, voici le log : "Malwarebytes Anti-Malware 1.60.0.1800 www.malwarebytes.org Version de la base de données: v2012.01.10.04 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 steeve :: PROPRIETAIRE [administrateur] 10/01/2012 16:48:50 mbam-log-2012-01-10 (16-48-50).txt Type d'examen: Examen rapide Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 171344 Temps écoulé: 6 minute(s), 13 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 0 (Aucun élément nuisible détecté) (fin)" c'est vraiment impossible à lire je vois à peine le ptit bouclier rouge, et je suis sur que c'est ca seulement parce que je peux consulter les icônes affichées récemment dans "personnaliser les icônes de notification" de la barre des tâches. windows garderai un log de toutes les alertes qu'il lance, ca serait plus facile ^^

Bonjour, Pas de toolbar dans desinstaller/supprimer du panneau de config, j'ai laissé tel que. OTL a eu besoin de redémarrer la machine ; voici le rapport : Lien CJoint.com 3AkpSs5jMEr jusqu'à présent ces apparition perdurent, je me laisse jusqu'à ce soir pour voir si elles reviennent après ce nettoyage. vu la batterie de tests qu'on vient de faire, on aurait du trouver quelquechose de méchant (plus qu'une toolbar et des pup) si celà était inquiétant non ? Merci pour le temps que vous m'avez accordé jusqu'ici en tous cas , Searcher41

Bonsoir, L'analyse ESET a trouvé 1 menace : la toolbar Dealio. Sauf que j'ai du merder quelque part, parce que le log ne contient que ca : "ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK" -> je vais la refaire tout à l'heure le rapport ZHPfix était-il bon ? pour OTL : EXTRAS : http://cjoint.com/?3Ajs1nrtkG5 OTL : http://cjoint.com/?3Ajs2f1YbwU Voilou EDIT : analyse réeffectuée avec ESET. j'ai choisi de copier dans le presse-papier le résultat qui est donc : "C:\Program Files\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Win32/Adware.Toolbar.Dealio application"

Bonsoir, me revoici, prêt à continuer les tests. la situation n'a pas changé depuis l'édit de mon dernier post, et le problème n'a manifestement pas été résolu.

up ! je sais que ca fait que quelques minutes mais il en est toujours à cette étape 50, rien ne se passe, le proc n'a jamais si peu tourné et là ca va bientôt faire deux heures ... le problème étant que je dois partir pour le week-end et donc éteindre le pc dans pas longtemps -_-. j'ai pas de chance avec ce logiciel, vous avez une procédure pour l'éteindre en cours d'analyse en limitant les dégats ? Edit : J'ai coupé combofix, redémarré le pc, le comportement est normal. cependant il ya des traces à la racine C: : -> un dossier 32788R22FWJFW (vide) -> un dossier (?) combofix avec la minuature du poste de travail au lieu de celle du dossier -> un dossier "Qoobox", avec un log catchme et des dossiers (quarantaine) désolé de m'être impatienté, je repasserai ici dans la soirée et attends de nouveau vos instructions, soit pour relancer combofix, soit pour en effacer les traces :s ... je commence à penser que ce logiciel ne veut pas de mon pc -_-

Bonjour, je m'attendais un peu à votre réponse, il me fallait un ptit coup de pied pour me galvaniser un peu ^^ j'écris depuis une autre machine : - AV et pare-feu windows désactivés - ComboFix lancé, cependant : -> l'analyse est cours depuis maintenant 40 minutes, celà fait 35min qu'il est bloqué à "étape 50 : terminé", processeur de pc utilisé à 01% (widget windows, l'analyse tourne bien sans aucune fenêtre ouverte). c'est un peu dommage que le logiciel n'annonce que 10min d'analyse, voir le double en cas de machine "très infectée", du coup c'est inquiétant :s -> le seul message qui apparaisse dans la fenêtre, hormis les étapes, est au sujet d'un fail pour "enableLVA" So, je laisse le pc comme ca encore longtemps :$ ? Edit : 1h30, toujours rien :s

Séance commencée : ZHPFix fait pour le contrat de "sysinternal (sigcheck)" que j'ai du accpeter à l'étape 065 lors du scan, je viens de trouver dans le dossier ZHP de "programme" sur C: une appli SigCheck.exe. on dirait que cette appli est simplement utilisée par ZHPDIag

Bonsoir, voici le rapport de ZHPFix : Lien CJoint.com 0AgbCl0innm il m'avait aussi placé une copie du rapport sur le bureau. Verdict ^^ ? Pour combofix je suis un peu réticent, la dernière fois que je m'en suis servi (sous conseil d'un membre de la team bien sûr), le pc a littéralement coupé pendant l'analyse, genre hardreboot :s (certes il était très malade à ce moment là) ... est-ce que je prends de nouveau un risque en l'executant ? Merci, Searcher41

Bonsoir, Ca y est j'ai crée un nouveau topic dans la partie "Analyses et éradication malwares" http://forum.zebulon.fr/apparitions-furtives-dans-la-barre-des-taches-infection-t190574.html J'entends bien que pour des infections la désinfection apparaît inévitable, mais pouvez-vous m'en dire un peu plus sur la nature des infections que vous avez identifié ? Le pc a un comportement normal et c'est pourquoi je ne suspectais pas d'infections "a priori", je vous remercie de m'avoir permis de dénicher ces méchantes bêbêtes bien cachées, quelles qu'elles soient. Je vous tiens au courant de la résolution ou de la non résolution de mon problème de barre de tâches, encore merci de m'avoir consacré un peu de votre temps, Searcher41

Bonjour à tous, Suite à des apparitions furtives (moins d'une seconde) et récurrentes d'infobulles provenant du centre de sécurité Windows (je n'ai pas le temps d'en lire plus à chaque fois) dans ma barre des tâches, j'ai créé un topic dans la partie "sécurisation, prévention" du forum. J'ai été pris en charge par Tonton qui m'a fait faire une série de tests pour tenter de trouver de quoi il s'agissait. Suite à une analyse ZHPDiag positive, me voici maintenant à poster ici pour vous demander votre aide. Voici le lien vers le topic précédent. Et celui-ci pour mon rapport ZHPdiag. Je n'en sais pas plus sur la nature de l'infection et n'ai entrepris aucune manipulation. À noter que, hormis ces apparitions de sécurité dans la barre des tâches, le PC a un comportement d'apparence normale. Merci, Searcher41.

Bonsoir, et voici le rapport ZHP diag : Lien CJoint.com 3AdxB0u2OFL j'ai du accepter des conditions d'utilisation d'un logiciel de sysinternals.com SigCheck durant l'étape 065. l'analyse ne s'est terminée qu'après mon acception de ce contrat. merci, Searcher41

Rebonjour, Les apparitions furtives perdurent, c'est tellement rapide que je suis incapable de dire de quoi traite l'infobulle à chaque fois. Autre problème : security check dit que mon adobe est à jour (vérifié sur le site d'adobe avec firefox et ie), mais le scan en ligne secunia continue de me trouver une version 9 de flash player : "This installation of Adobe Flash Player 9.x is insecure and potentially exposes your system to security threats! The detected version installed on your system is 9.0.28.0 (ActiveX), however, the latest patched version released by the vendor, fixing one or more vulnerabilities, is 10.x (ActiveX). Update Instructions: Download Installed on Your System in: C:\Windows\SYSTEM32\Macromed\Flash\Flash9b.ocx" que dois-je faire dans ce cas ? dans le panneau de config, aucune trace de la version 9, seulement de la 11.

Results of screen317's Security Check version 0.99.30 Windows Vista Service Pack 2 x86 Internet Explorer 9 `````````````````````````````` Antivirus/Firewall Check: Avira AntiVir Personal - Free Antivirus WMI entry may not exist for antivirus; attempting automatic update. Avira successfully updated! ``````````````````````````````` Anti-malware/Other Utilities Check: Malwarebytes' Anti-Malware HijackThis 2.0.2 CCleaner Java 6 Update 30 Adobe Flash Player 11.1.102.55 Adobe Reader X (10.1.1) Mozilla Firefox (9.0.1) ```````````````````````````````` Process Check: objlist.exe by Laurent Avira Antivir avgnt.exe Avira Antivir avguard.exe ``````````End of Log```````````` -> ca y est adobe est à jour partout, c'était encore internet explorer, qui n'est pas toujours coopératif :s Vous pensez que mon problème vient de là ?