Programme suspect...ou pas ?

[skipy85]

Bonsoir,

 

voilà peut-être auriez vous une idée, depuis 2 jours dans le gestionnaire des tâches un programme du nom de edvuefu.exe est apparu, je ne sais pas à quoi cela correspond, pas de ralentissement notable de la machine juste ce processus qui consomme entre 20 et 30Mo de mémoire et je ne sais pas ce que c'est (Google ne connait pas apparement), pas de trace non plus dans le panneau de config Désinstallation de programme. Ce qui me gène c'est son emplacement : C:\Users\Cedric\AppData\Local\edvuefu.exe

Je l'ai supprimé, passé Reg Cleaner mais il est revenu...

Voila si quelqu'un a une idée je suis preneur !

 

Comodo Antivirus installé et à jour et rien de suspect pour lui.

[Thanos]

Salut et bienvenue sur le forum

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

 

Pour répondre ou ajouter un post, un rapport, etc, utilise le bouton .

(bouton qui se trouve entre "Flash" et "Nouveau")

 

*********

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit
  

[skipy85]

ok merci pour l'info, voici le log HijakThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:02:20, on 27/11/2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18226)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\System32\rundll32.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\IDT\WDM\sttray.exe

C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Alcatel_PIMphony\aocphone.exe

C:\Windows\ehome\ehmsas.exe

C:\Windows\system32\conime.exe

C:\Program Files\Synaptics\SynTP\SynTPHelper.exe

C:\Program Files\Alcatel_PIMphony\UAProc.exe

C:\Program Files\Alcatel_PIMphony\abers.exe

C:\Program Files\Hamachi\hamachi.exe

C:\Users\Cedric\Downloads\CircleDock0.9.2Alpha8.2\CircleDock0.9.2Alpha8.2\CircleDock.exe

C:\Users\Cedric\AppData\Local\edvuefu.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\PROGRA~1\Java\jre6\bin\jp2launcher.exe

C:\Program Files\Java\jre6\bin\java.exe

C:\Program Files\Mozilla Thunderbird\thunderbird.exe

C:\Program Files\Alcatel OmniTouch Call Center Office\Agent Assistant\Dam.exe

C:\Windows\system32\ACDAgent.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\biaware\pageant.exe

C:\Windows\system32\taskmgr.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\Cedric\Downloads\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...ion&pf=cnnb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...ion&pf=cnnb

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...ion&pf=cnnb

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...ion&pf=cnnb

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [sysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [ekiomsp] "c:\users\cedric\appdata\local\ekiomsp.exe" ekiomsp

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Startup: PIMphony.lnk = ?

O4 - Global Startup: FtpDrive.lnk = C:\Program Files\KillSoft\FtpDrive\FtpDrive.exe

O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware player\vsocklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware player\vsocklib.dll

O13 - Gopher Prefix:

O17 - HKLM\System\CCS\Services\Tcpip\..\{651AF039-0681-4784-B265-4E54DD6184D5}: NameServer = 212.27.40.240,212.27.40.241

O17 - HKLM\System\CCS\Services\Tcpip\..\{DB7AF2C5-6B41-45E8-94C8-6A8385C30765}: NameServer = 192.168.1.1

O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll

O23 - Service: Abel - Unknown owner - C:\Windows\Abel.exe (file missing)

O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\aestsrv.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Norton Internet Security - Unknown owner - C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: Recovery Service for Windows - Unknown owner - C:\Program Files\SMINST\BLService.exe

O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Program Files\Macrium\Reflect\ReflectService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\STacSV.exe

O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe

O23 - Service: Tenable Nessus - Tenable Network Security, Inc - C:\Program Files\Tenable\Nessus\nessus-service.exe

O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Player\vmware-ufad.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Player\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe

 

--

End of file - 8398 bytes

[Thanos]

salut

 

On procède ainsi pour te débarrasser de l'infection >>

 

Particularités si vous avez Windows Vista:

 

1) Désactivez l'UAC durant toute l'utilisation de Navilog1

2) Toujours lancer Navilog1 via clic-droit "exécuter en tant qu'administrateur"

 

******

 

Télécharge Navilog1(par IL-MAFIOSO) sur ton bureau

 

• Ensuite double clique sur navilog1.exe pour lancer l'installation.
  
• Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.
   
  
• Laisse-toi guider. Appuie sur une touche quand on te le demande.
  
• Au menu principal, choisis 1 et valide.
   
  < Ne fais pas le choix 2 >
   
  
• Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
  
• Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.
   
  
• Patiente jusqu'au message "Scan terminé le......"
  
• Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
  
• Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.
   
  
• PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt
  

 

 

******

 

L'infection navipromo (qu'on va éliminer grace à navilog) est véhiculée par des logiciels qu'il faut fuir absolument!! en voici une liste non exhaustive pour ne pas tomber dans le piège à nouveau >

• Funky Emoticons
  
• Games-AttacK
  
• Original-Solitaire
  
• go-astro
  
• Live-Player
  
• GoRecord
  
• HotTVPlayer
  
• MailSkinner
  
• Messenger Skinner
  
• Instant Access
  
• InternetGameBox
  
• sudoplanet
  
• Webmediaplayer sauf celui provenant du site suivant > http://www.azertysite.new.fr/
  

D'une manière générale, méfie toi des utilitaires que tu télécharges!! Utilise Google pour voir si c'e n'est pas un logiciel qui installe un spyware : une simple recherche de quelques minutes te permettra de te faire une idée.

Par exemple : fais une recherche sur MessengerSkinner et tu verras le nombre de discussion ou les gens se plaignent de publicité intempestives ....

Modifié le 28 novembre 2009 par Thanos

[skipy85]

salut

 

On procède ainsi pour te débarrasser de l'infection >>

 

Particularités si vous avez Windows Vista:

 

1) Désactivez l'UAC durant toute l'utilisation de Navilog1

2) Toujours lancer Navilog1 via clic-droit "exécuter en tant qu'administrateur"

 

******

 

Télécharge Navilog1(par IL-MAFIOSO) sur ton bureau

 

• Ensuite double clique sur navilog1.exe pour lancer l'installation.
  
• Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.
   
  
• Laisse-toi guider. Appuie sur une touche quand on te le demande.
  
• Au menu principal, choisis 1 et valide.
   
  < Ne fais pas le choix 2 >
   
  
• Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
  
• Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.
   
  
• Patiente jusqu'au message "Scan terminé le......"
  
• Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
  
• Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.
   
  
• PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt
  

 

 

******

 

L'infection navipromo (qu'on va éliminer grace à navilog) est véhiculée par des logiciels qu'il faut fuir absolument!! en voici une liste non exhaustive pour ne pas tomber dans le piège à nouveau >

• Funky Emoticons
  
• Games-AttacK
  
• Original-Solitaire
  
• go-astro
  
• Live-Player
  
• GoRecord
  
• HotTVPlayer
  
• MailSkinner
  
• Messenger Skinner
  
• Instant Access
  
• InternetGameBox
  
• sudoplanet
  
• Webmediaplayer sauf celui provenant du site suivant > http://www.azertysite.new.fr/
  

D'une manière générale, méfie toi des utilitaires que tu télécharges!! Utilise Google pour voir si c'e n'est pas un logiciel qui installe un spyware : une simple recherche de quelques minutes te permettra de te faire une idée.

Par exemple : fais une recherche sur MessengerSkinner et tu verras le nombre de discussion ou les gens se plaignent de publicité intempestives ....

Ok super NaviLog a bien trouvé que c'etait un programme suspect ! ok nettoyé, pour info en effet c'est de ma faute en récupérant des émoticones pour MSN sur un site peu fiable ! (retrouvé dans l'historique de telechargement); Merci encore

[Thanos]

salut

 

Ne pars pas tout de suite Poste le rapport stp pour voir si tout est bon.

 

Un reste de Norton Internet Security que tu peux supprimer comme ceci >>

 

Télécharge Norton_Removal_Tool sur ton bureau.

 

Double clique sur l'icône de Norton Removal tool pour lancer l'utilitaire. Suis les indications à l'écran : il est possible que tu doives redémarrer plusieurs fois.

 

Attention: ce programme désinstalle aussi d'autres produits Symantec! Si tu as installé Ghost sur ce pc par exemple, ne lance pas cet utilitaire!

 

Une petite recherche supplémentaire >>

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit