Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

infection? [ résolu ]

Xeti

Par Xeti
dans Analyses et éradication malwares

 Partager

Messages recommandés

Xeti Power Member

Xeti

Posté(e)
Posté(e) (modifié)

Salut à tous,

 

Voilà, j'ai fait un scan et je l'ai fait analyser par ZHP:

C:\Windows\ASScrPro.exe => Infection Diverse

C:\Program Files\SetPoint\SetPoint.exe => IRCBot-AEX.Worm

O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe => Infection Diverse

O4 - Global Startup: SetPoint.lnk = C:\Program Files\SetPoint\SetPoint.exe => IRCBot-AEX.Worm

 

C'est des programmes installés par le CD Asus.

Sont ils vraiment des infections, que doit je faire dans le cas se serait des infections (je n'est pas vraiment trouvé grand chose.

 

 

MERCI d'avance

 

Xeti

Modifié par Xeti

cauxboy Power Member

cauxboy

Posté(e)
Posté(e)

Salut Xeti,

 

Voilà, j'ai fait un scan et je l'ai fait analyser par ZHP:

C:\Windows\ASScrPro.exe => Infection Diverse

Aucune information la dessus mais apparament cela s'apprente a ASUS

 

C:\Program Files\SetPoint\SetPoint.exe => IRCBot-AEX.Worm

Pas de probleme c'est pour le parametrage du clavier et de la souris si tu as du logitech en matériel

 

O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe => Infection Diverse

Aucune information la dessus mais apparament cela s'apprente aussi à ASUS

 

O4 - Global Startup: SetPoint.lnk = C:\Program Files\SetPoint\SetPoint.exe => IRCBot-AEX.Worm

Pas de probleme c'est pour le démarrage de l'utilitaire de parametrage du clavier et de la souris si tu as du logitech au démarrage de windows. Logiquement il est dans le systray à coté de l'horloge.

 

J'espere que cela répond a tes questions.

Tu peux faire les opérations suivantes pour controle

 

télécharges VundoFix.exe (par Atribune) sur ton Bureau.

Double-clique VundoFix.exe afin de le lancer

Clique sur le bouton Scan for Vundo

Lorsque le scan est complété, clique sur le bouton Remove Vundo

Une invite te demandera si tu veux supprimer les fichiers, clique YES

Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

Si tu as Spybot Search and destroy. Met le a jour et lance un scan complet mais il n'apparait pas dans le rapport donc tu ne l'as pas. Cet utilitaire est pas mal pour virer les malware, spyware,.... donc tu veux tu peux te l'installer.

 

Relance un nouveau rapport HijackThis! et poste le completement dans ta prochaine réponse

cauxboy Power Member

cauxboy

Posté(e)
Posté(e)

Sinon va sur ce forum qui parle de ce type de ver

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

C'est des programmes installés par le CD Asus.

Sont ils vraiment des infections, que doit je faire dans le cas se serait des infections

 

On voit ,sur Google ,plusieurs sites qui qualifient ASScrPro.exe de dangereux tantot ver win32n tantot dropper.agent.

 

Vous ne risquez toutefois rien à poster votre log hijackthis sur le forum sécurité.

 

Cela me parait plus sûr.

Nicolas Coolman Mega Power Extrem Member

Nicolas Coolman

Posté(e)
Posté(e)

Bonjour à tous,

 

C:\Program Files\SetPoint\SetPoint.exe => IRCBot-AEX.Worm

O4 - Global Startup: SetPoint.lnk = C:\Program Files\SetPoint\SetPoint.exe => IRCBot-AEX.Worm

Le déclenchement de ZHP vient du fait que l'installation se fait normalement dans le dossier

"C:\Program Files\Logitech\SetPoint\SetPoint.exe". Or comme il existe un malware identifié avec la même startup, l'outil l'a considéré comme nefaste. Après vérification ce dossier d'installation est aussi légitime...donc pas d'inquiétude pour ces deux lignes

 

C:\Windows\ASScrPro.exe => Infection Diverse

O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe => Infection Diverse

De même il existe un processus ASScrPro.exe considéré comme dangereux, l'idéal serait de pouvoir faire une analyse en ligne du fichier.

 

Je vous laisse continuer...

Xeti Power Member

Xeti

Posté(e)
  • Auteur
Posté(e)
Bonjour à tous,

Le déclenchement de ZHP vient du fait que l'installation se fait normalement dans le dossier

"C:\Program Files\Logitech\SetPoint\SetPoint.exe". Or comme il existe un malware identifié avec la même startup, l'outil l'a considéré comme nefaste. Après vérification ce dossier d'installation est aussi légitime...donc pas d'inquiétude pour ces deux lignes

 

De même il existe un processus ASScrPro.exe considéré comme dangereux, l'idéal serait de pouvoir faire une analyse en ligne du fichier.

 

Je vous laisse continuer...

 

 

Ça me rassure de savoir que les fabriquant d'ordinateur ne foue pas de cochonnerie sur les ordi que j'achète.

Je vais faire tout de même un scan sur total scan mais aucun scan que j'ai fait à détecter soit que se soit (se qui ne veut rien dire).

Sinon il me sort un truc dans la table de processus avec

Dossier d'installation :

C:\WINDOWS\system32\%WinHook32.exe

 

Notation dans le rapport :

O4 - HKCU\..\Run: [systemWideHook for Windows NT] C:\WINDOWS\system32\%WinHook32.exe

 

Référence dans la Base de Registres :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemWideHook for Windows NT

 

 

 

 

Merci

 

@+

 

Xeti

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Bonsoir,

Ca c'est mauvais:%WinHook32.exe

http://www.bleepingcomputer.com/startups/W...2.exe-5590.html

 

Solution ici:

http://www.zdnet.fr/telecharger/windows/fi...9065500s,00.htm

 

Mais plutôt que nous sortir des trucs de derrière l'armoire, si vous postiez vos logs et rapports complets, on y verrait sans doute plus clair, non?

Modifié par pear
Xeti Power Member

Xeti

Posté(e)
  • Auteur
Posté(e)
Bonsoir,

Ca c'est mauvais:%WinHook32.exe

http://www.bleepingcomputer.com/startups/W...2.exe-5590.html

 

Solution ici:

http://www.zdnet.fr/telecharger/windows/fi...9065500s,00.htm

 

Mais plutôt que nous sortir des trucs de derrière l'armoire, si vous postiez vos logs et rapports complets, on y verrait sans doute plus clair, non?

 

 

Si tu veux, voilà:

 

MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\PowerForPhone\PowerForPhone.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\ASScrPro.exe
C:\Program Files\ASUS\ASUS Direct Console\LCMP.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
D:\programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
D:\programme\Vidalia\Vidalia Bundle\Privoxy\privoxy.exe
C:\Program Files\SetPoint\SetPoint.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apvfb.exe
C:\Windows\system32\conime.exe
C:\Windows\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\verd68\Downloads\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
O4 - HKLM\..\Run: [DirectMessenger] "C:\Program Files\ASUS\ASUS Direct Console\LCMP.EXE"
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Privoxy.lnk = D:\programme\Vidalia\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: SetPoint.lnk = C:\Program Files\SetPoint\SetPoint.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsi.cab
O16 - DPF: {44990B00-3C9D-426D-81DF-AAB636FA4345} (Symantec Configuration Class) - http://www.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlcm.cab
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 10151 bytes

 

@+

 

Xeti

Nicolas Coolman Mega Power Extrem Member

Nicolas Coolman

Posté(e)
Posté(e) (modifié)

Re,

 

Sinon il me sort un truc dans la table de processus avec

Dossier d'installation :

C:\WINDOWS\system32\%WinHook32.exe

 

Notation dans le rapport :

O4 - HKCU\..\Run: [systemWideHook for Windows NT] C:\WINDOWS\system32\%WinHook32.exe

 

Référence dans la Base de Registres :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemWideHook for Windows NT

 

Je pense que je n'ai pas assez documenté cette partie liée à la table des processus.

 

La table des processus permet le recensement de plus de 17000 processus légitimes et malwares. Il ne s'agit donc pas d'une liste de processus qui sont présent dans ton système.

 

Il ne s'agit pas d'une alerte, mais tout simplement du positionnement sur le 1° enregistrement de la table, si tu tapes une lettre tu accéderas automatiquement à un processus qui commence par cette lettre.

Modifié par coolman

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...