Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

TR/Crypt.XPACK.Gen3 dans Photoshop

Nerva

Par Nerva
dans Analyses et éradication malwares

 Partager

Messages recommandés

Nerva Power Member

Nerva

Posté(e)
Posté(e)

Bonjour.

 

Une infection de photoshop.exe vient de se déclarer, comme ça, le programme n'étant même pas lancé. Avira l'a détecté, mis en quarantaine, mais impossible de réinstaller le programme : dès que l'exécutable est créé, l'alerte d'infection revient. Je suis sous Windows XP et notez que MBAM n'a rien détecté.

Je joins le rapport HijackThis.

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://google.atcomet.com/b/]Search[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://www.google.fr/]Google[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administration IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) (SMTPSVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web (W3SVC) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Merci d'avance...

zepolo Junior Member

zepolo

Posté(e)
Posté(e)

re bonjour

 

Correction : j'ai remplacé le photoshop.exe par une version de sauvegarde => plus de détection par Avira.

 

Il semble donc bien que la bebête arrive a pervertir le fichier existant.

 

NB : MBAM n'avait rien détecté non plus.

Flan Junior Member

Flan

Posté(e)
Posté(e)

bonjour

 

Exactement le même problème depuis aujourd'hui... Avira, photoshop depuis 5 ans ...Ca ne serait pas un faux positif ??

 

Pareil chez moi depuis aujourd'hui, de la même façon intempestive sur un "photoshop.exe" de 2005, mêmes symptômes: Avira détecte le même problème, MBAM non.

 

En attendant mieux, quelle est la meilleure option pour garantir la sécurité du PC, virer l'executable, le ronommer, quarantaine? à bientôt! :)

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut @tous,

 

Il est possible que ce soit un faux-positif effectivement.

Pour vous en assurer, je vous suggère de faire scanner ce fichier sur ce site par ex => VirusTotal - Free Online Virus, Malware and URL Scanner

utilisez le bouton Parcourir pour rechercher le fichier incriminé sur votre disque dur, puis cliquez sur "Envoyer le fichier" (ou "send file")

 

@ Nerva :

L'analyse va débuter, vous pouvez poster son contenu dans un nouveau message si une détection est faite: ca nous permettra de déterminer s'il s'agit ou non d'une fausse détection ;)

Sacles Godlike Member

Sacles

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Très probablement un faux-positif à signaler ici: Submit your sample

 

Vous aurez rapidement une réponse du laboratoire d'Avira.

 

Petit conseil en passant: ne placez jamais les "découvertes" en quarantaine, ne les effacez pas AVANT de vous renseigner sur le(s) fichier(s) en question. Si un jour la "découverte" est un fichier système essentiel, en le plaçant en quarantaine ou en l'effaçant imprudemment, vous mettrez votre PC, et vous-même, en difficulté. Ce n'est pas de la fiction, c'est déjà arrivé (pas avec Antivir).

 

Salut.

Modifié par Sacles
Nerva Power Member

Nerva

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci de la réponse. Pour la soumission, pas possible, le fichier pesant 15 MO, le maximum pour l'envoi étant de 8 MO.

 

Je profite de ce sujet pour essayer de comprendre quelque chose. Depuis le temps, j'ai utilisé plusieurs anti-virus : McAfee, AVG, Avast et Avira, chacun ayant l'air d'avoir des fonctionnalités spécifiques. Dans Avira, donc, n'y a-t-il pas un moyen de nettoyer un fichier corrompu (ou tout au moins d'essayer) plutôt que de le placer en quarantaine ?

 

Précision. J'utilise une version de Photoshop qui date (la 7), alors comment et pourquoi ce fichier a-t-il été spécifiquement ciblé ? Si il s'agit d'un faux positif, quelle est la manipulation "réglementaire" à effectuer dans Avira pour qu'il ne soit plus reconnu comme tel ?

 

Merci.

 

Edit : j'ai finalement réussi à transmettre le fichier en passant par la zone de quarantaine de l'application...

Modifié par Nerva
Sacles Godlike Member

Sacles

Posté(e)
Posté(e)

Re,

 

Si il s'agit d'un faux positif, quelle est la manipulation "réglementaire" à effectuer dans Avira pour qu'il ne soit plus reconnu comme tel ?

Pour exclure un faux positif dans le Guard et le Scanner:

 

Configuration > Mode expert à cocher > Guard (Recherche) > Exceptions

 

Salut.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...