espace disque diminue tout seul !

[Thanos]

salut

 

Le message d'erreur que tu reçois concerne un fichier infectieux...

je vais commencer par lire ton rapport fait en mode sans échec.

 

Pendant ce temps, je vais te demander de scanner ton pc avec un programme très performant >>

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complêt"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Note: Tu peux faire ce scan en mode sans échec avec prise en charge du réseau si jamais tu n'as plus d'espace disque disponible (parce que MBAM va occuper un peu de place sur le disque dur!).

Dis moi si tu rencontres un souci

[pazxth]

j'ai fais une analyse rapide en premier, et il m'a trouvé 5 menaces.

J'ai ensuite fais une analyse complète, mais il m'a rien trouvé.

Le rapport est ici :

http://www.cijoint.fr/cjlink.php?file=cj20.../cijxQ7Wpmz.txt

 

Mais mon espace disque diminue encore et toujours... -snif

Je suis un peu perdu, je fais quoi maintenant ? ^^

Modifié le 25 décembre 2008 par pazxth

[Thanos]

Ton problème est assez particulier! je vais me renseigner pour avoir des pistes supplémentaires.

 

Dis moi: est ce que tu as utilisé un programme nommé AVZ ? (c'est un programme antimalware).

 

Une correction à faire comme ceci >>

 

1°) Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme

 

Fais un copier/coller des informations de la zone Code ci-dessous (ne copie pas le mot CODE!) dans la zone de saisie intitulée "Paste fix here" puis clique sur le bouton Run Fix =>

[Kill Explorer]
[Unregister Dlls]
[Driver Services - Safe List]
YN -> (is-37VL1drv) is-37VL1drv [File_System | System | Stopped] -> %SystemRoot%\system32\drivers\46599616.sys
YN -> (is-37VL1drv) is-37VL1drv [File_System | System | Stopped] -> %SystemRoot%\system32\drivers\46599616.sys
YN -> (is-LI2Q2drv) is-LI2Q2drv [File_System | System | Stopped] -> %SystemRoot%\system32\drivers\75373703.sys
YN -> (is-LI2Q2drv) is-LI2Q2drv [File_System | System | Stopped] -> %SystemRoot%\system32\drivers\75373703.sys
YN -> (is-PUC0Mdrv) is-PUC0Mdrv [File_System | System | Stopped] -> %SystemRoot%\system32\drivers\33636668.sys
YN -> (is-PUC0Mdrv) is-PUC0Mdrv [File_System | System | Stopped] -> %SystemRoot%\system32\drivers\33636668.sys
[Registry - Safe List]
< Winlogon\Notify settings [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
YN -> fccywtQG -> 
[Registry - Additional Scans - Safe List]
< Session Manager Settings [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
*PendingFileRenameOperations* -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\\PendingFileRenameOperations
YY -> ~EmptyValue -> %UserProfile%\Local Settings\Temp\_iu14D2N.tmp [%UserProfile%\Local Settings\Temp\_iu14D2N.tmp]
< Session Manager Settings [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
[Custom Items]
C:\DOCUME~1\LO4751~1\LOCALS~1\Temp\tofxglkj.dll
:end
[Empty Temp Folders]
[Reboot]

L'exécution devrait être très rapide.

Un redémarrage est nécessaire: clique sur le bouton "Yes" pour faire redémarrer la machine. Après ce redémarrage, OTScanIt2 va finir de déplacer les fichiers qui ne pouvaient pas l'être précédemment, puis le Bloc-notes va s'ouvrir et afficher à ce moment-là les résultats finaux. Envoie-moi ces informations en réponse.

 

2°) Tente de faire le même scan avec OtScanIt en mode normal cette fois ci, et poste le rapport stp

[pazxth]

Le rapport avec le fix sur OtScanIt est par ici :

http://www.cijoint.fr/cjlink.php?file=cj20.../cijCzJIlzo.txt

 

Non je n'ai jamais entendu parlé de AVZ, mais seulement de AVG !. Il m'a trouvé deux fichiers suspects, voici le log :

 

AVZ Antiviral Toolkit log; AVZ version is 4.30

Scanning started at 26/12/2008 00:24:54

Database loaded: signatures - 202605, NN profile(s) - 2, microprograms of healing - 56, signature database released 25.12.2008 22:19

Heuristic microprograms loaded: 372

SPV microprograms loaded: 9

Digital signatures of system files loaded: 74370

Heuristic analyzer mode: Maximum heuristics level

Healing mode: disabled

Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights

System Restore: enabled

1. Searching for Rootkits and programs intercepting API functions

1.1 Searching for user-mode API hooks

Analysis: kernel32.dll, export table found in section .text

Analysis: ntdll.dll, export table found in section .text

Analysis: user32.dll, export table found in section .text

Analysis: advapi32.dll, export table found in section .text

Analysis: ws2_32.dll, export table found in section .text

Analysis: wininet.dll, export table found in section .text

Analysis: rasapi32.dll, export table found in section .text

Analysis: urlmon.dll, export table found in section .text

Analysis: netapi32.dll, export table found in section .text

1.2 Searching for kernel-mode API hooks

Driver loaded successfully

SDT found (RVA=08B520)

Kernel TUKERNEL.EXE found in memory at address 804D7000

SDT = 80562520

KiST = 804E48B0 (284)

Functions checked: 284, intercepted: 0, restored: 0

1.3 Checking IDT and SYSENTER

Analysis for CPU 1

Analysis for CPU 2

Checking IDT and SYSENTER - complete

1.4 Searching for masking processes and drivers

Checking not performed: extended monitoring driver (AVZPM) is not installed

Driver loaded successfully

1.5 Checking of IRP handlers

Checking - complete

2. Scanning memory

Number of processes found: 40

Analyzer: process under analysis is 1924 C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

[ES]:Contains network functionality

[ES]:Application has no visible windows

Analyzer: process under analysis is 776 C:\Program Files\Elantech\ETDCtrl.exe

[ES]:Application has no visible windows

[ES]:Registered in autoruns !!

Analyzer: process under analysis is 788 C:\Program Files\EeePC\ACPI\AsTray.exe

[ES]:Application has no visible windows

[ES]:Registered in autoruns !!

Analyzer: process under analysis is 800 C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe

[ES]:Application has no visible windows

[ES]:Registered in autoruns !!

Analyzer: process under analysis is 832 C:\Program Files\EeePC\ACPI\AsEPCMon.exe

[ES]:Application has no visible windows

[ES]:Registered in autoruns !!

Analyzer: process under analysis is 1212 C:\Program Files\Java\jre6\bin\jusched.exe

[ES]:Contains network functionality

[ES]:Application has no visible windows

[ES]:Registered in autoruns !!

Analyzer: process under analysis is 1260 D:\Program Files\Eset Smart Security\ekrn.exe

[ES]:Contains network functionality

[ES]:Capable of sending mail ?!

[ES]:Listens on TCP ports !

[ES]:Application has no visible windows

[ES]:Loads RASAPI DLL - may use dialing ?

Analyzer: process under analysis is 1660 C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

[ES]:Application has no visible windows

Analyzer: process under analysis is 1804 C:\Program Files\Java\jre6\bin\jqs.exe

[ES]:Contains network functionality

[ES]:Listens on TCP ports !

[ES]:Application has no visible windows

[ES]:Loads RASAPI DLL - may use dialing ?

Analyzer: process under analysis is 1824 C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

[ES]:Contains network functionality

[ES]:Application has no visible windows

[ES]:Registered in autoruns !!

[ES]:Loads RASAPI DLL - may use dialing ?

Analyzer: process under analysis is 1960 C:\Program Files\RALINK\Common\RalinkRegistryWriter.exe

[ES]:Application has no visible windows

Analyzer: process under analysis is 140 C:\Program Files\Spyware Terminator\sp_rsser.exe

[ES]:Application has no visible windows

Analyzer: process under analysis is 176 C:\EEEctl\eeectl.exe

[ES]:Application has no visible windows

[ES]:EXE runtime packer ?

[ES]:Registered in autoruns !!

Analyzer: process under analysis is 768 C:\WINDOWS\System32\TUProgSt.exe

[ES]:Application has no visible windows

[ES]:Located in system folder

Analyzer: process under analysis is 1328 D:\Program Files\Mozilla firefox\firefox.exe

[ES]:Contains network functionality

[ES]:Loads RASAPI DLL - may use dialing ?

Analyzer: process under analysis is 2596 D:\Program Files\Plugin Manager\skypePM.exe

[ES]:Contains network functionality

[ES]:Application has no visible windows

[ES]:Loads RASAPI DLL - may use dialing ?

Number of modules loaded: 372

Scanning memory - complete

3. Scanning disks

4. Checking Winsock Layered Service Provider (SPI/LSP)

LSP settings checked. No errors detected

5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)

C:\WINDOWS\system32\btmmhook.dll --> Suspicion for Keylogger or Trojan DLL

C:\WINDOWS\system32\btmmhook.dll>>> Behavioural analysis

Behaviour typical for keyloggers not detected

Quarantine file: failed (error), attempt of direct disk reading (C:\WINDOWS\system32\btmmhook.dll)

C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll --> Suspicion for Keylogger or Trojan DLL

C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll>>> Behavioural analysis

Behaviour typical for keyloggers not detected

Quarantine file: failed (error), attempt of direct disk reading (C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll)

Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs

6. Searching for opened TCP/UDP ports used by malicious programs

In the database 317 port descriptions

Opened at this PC: 14 TCP ports and 11 UDP ports

Checking complete, no suspicious ports detected

7. Heuristic system check

Checking - complete

8. Searching for vulnerabilities

>> Services: potentially dangerous service allowed: TermService (Services Terminal Server)

>> Services: potentially dangerous service allowed: SSDPSRV (Service de découvertes SSDP)

>> Services: potentially dangerous service allowed: Schedule (Planificateur de tâches)

>> Services: potentially dangerous service allowed: mnmsrvc (Partage de Bureau à distance NetMeeting)

>> Services: potentially dangerous service allowed: RDSessMgr (Gestionnaire de session d'aide sur le Bureau à distance)

> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!

>> Security: disk drives' autorun is enabled

>> Security: sending Remote Assistant queries is enabled

Checking - complete

9. Troubleshooting wizard

Checking - complete

Files scanned: 13794, extracted from archives: 4657, malicious software found 0, suspicions - 0

Scanning finished at 26/12/2008 00:33:59

Time of scanning: 00:09:08

If you have a suspicion on presence of viruses or questions on the suspected objects,

you can address http://virusinfo.info conference

 

Il n'a pas réussit à les mettre en quarantaine, donc je les ai supprimer afin de limiter les risques.

Modifié le 25 décembre 2008 par pazxth

[pazxth]

Bonjour,

Y a-t-il un autre scan à faire ?

merci pour votre aide!

Modifié le 26 décembre 2008 par pazxth

[Thanos]

salut

 

Non je n'ai jamais entendu parlé de AVZ, mais seulement de AVG !. Il m'a trouvé deux fichiers suspects, voici le log :

La, il y a un souci! Tu me dis que tu n'as jamais entendu parler de AVZ, mais le rapport que tu as posté est un rapport du programme AVZ Antiviral Toolkit !! (à moins que tu ne l'ait pas utilisé toi même)

Ce n'est pas un rapport d'AVG !

Il n'a pas réussit à les mettre en quarantaine, donc je les ai supprimer afin de limiter les risques.

pazxth: il ne faut jamais supprimer manuellement des éléments dont tu n'est pas sûr!!

 

Fais très attention avec les rapports produits par les antivirus/antispywares et plus particulièrement les antirootkits. Si tu observe bien le rapport, voilà ce que tu peux voir par ex >>

 

C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll --> Suspicion for Keylogger or Trojan DLL

Le rapport ne dit pas que ce fichier est un Trojan ou un Keylogger, mais qu'AVZ le suspecte d'en être un étant donné son "comportement".

Attention: la différence est grande! Dans le cas présent, le fichier btkeyind.dll appartient à ton logiciel Bluetooth!

Si tu as éliminé les fichiers btmmhook.dll et btkeyind.dll, il y a de fortes chances pour que logiciel en question ne fonctionne plus...

Dans le cas présent, rien de grave: on désinstalle l'application puis on la réinstalle et le tour est joué. Mais imagine qu'il s'agisse d'un fichier légitime nécéssaire au bon fonctionnement de Windows ? la machine plante et il faut réparer!

 

Dans le doute fait systématiquement scanner le fichier en ligne d'une part: en utilisant le service VirusTotal par ex > http://www.virustotal.com/fr/

D'autre part, fait des recherches sur Google pour voir si le fichier en question est considéré comme une menace.

Ca limite les risques de casse... Et même comme ca, on ne peux pas se fier au résultat de l'analyse...

 

Je te recommende donc de demander conseil avant d'éliminer quoique ce soit de ton disque dur. Si tu n'en a pas la possibilité, assure toi d'abord que la Restauration système est fonctionnelle sur le pc, puis crée un point de restauration avant de faire des modifications/suppressions. Ca permet de retrouver un pc stable en cas d'erreur de manipulation.

 

Bon j'arrête la lol! qu'as tu supprimé au juste ?

 

Pour la suite, je me renseigne sur le possible responsable du problème

 

Edit: une piste possible en vue...je reviens dès que j'en sais plus

Modifié le 26 décembre 2008 par Thanos

[pazxth]

"La, il y a un souci! Tu me dis que tu n'as jamais entendu parler de AVZ, mais le rapport que tu as posté est un rapport du programme AVZ Antiviral Toolkit !! (à moins que tu ne l'ait pas utilisé toi même)

Ce n'est pas un rapport d'AVG !"

=> je me suis mal exprimé, je m'en excuse ! Oui, je n'en avais jamais entendu parlé, mais du coup, je l'ai installé et fais un scan. Et j'ai posté le rapport ce celui-ci.

 

Effectivement, mon bluetooth ne marchait plus... Mais j'en avais marre et j'ai supprimé tout ce qui était "suspecté"... Je saurais pour la prochaine fois... Merci de tes conseils...