[Résolu] Apparitions furtives dans la barre des tâches

[searcher41]

Bonjour à tous,

 

Suite à des apparitions furtives (moins d'une seconde) et récurrentes d'infobulles provenant du centre de sécurité Windows (je n'ai pas le temps d'en lire plus à chaque fois) dans ma barre des tâches, j'ai créé un topic dans la partie "sécurisation, prévention" du forum.

 

J'ai été pris en charge par Tonton qui m'a fait faire une série de tests pour tenter de trouver de quoi il s'agissait. Suite à une analyse ZHPDiag positive, me voici maintenant à poster ici pour vous demander votre aide.

 

Voici le lien vers le topic précédent.

Et celui-ci pour mon rapport ZHPdiag.

 

Je n'en sais pas plus sur la nature de l'infection et n'ai entrepris aucune manipulation. À noter que, hormis ces apparitions de sécurité dans la barre des tâches, le PC a un comportement d'apparence normale.

 

Merci,

Searcher41.

[lance_yien]

Bonjour Searcher41,

 

Merci de prendre connaissance de ces recommandations et appliquer ce qu'il y a faire avant de commencer un premier nettoyage avec ZHP.

 

---

Très Important!:

 

>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

- TeaTimer de Spybot-S&D peut interférer avec nos utilitaires et causer certains problèmes. Le désactiver dès maintenant s'il est installé sur la machine à traiter: Lancer Spybot-S&D => "Mode Avancé". Outils (à gauche) => "Résident" et Décocher "Résident TeaTimer (...)" => OK.

>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

>>> Que faire à la réception de nouvelles instructions:

• Lire la totalité du message.
  
• Certains outils utilisés peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller" (PAS de raccourcis).
  
• Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  
• NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.
  

>>> Comment répondre:

- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).

- Héberger les rapports sur cjoint.com. Cliquer sur Parcourir, chercher le fichier et cliquer dessus puis cliquer sur Créer le lien CJoint.

Dans la page suivante --> , une adresse (http//...) sera créée. La copier /coller dans la prochaine réponse.

- Merci de coller les rapports (quand c'est demandé) directement sans rien y ajouter ni balises de citation, ni de code ni de formatage de texte (gras, italique) c'est déjà assez difficile avec ce que les pirates essaient de camoufler.

>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.

>>> Tout sujet sans suite pendant 8 jours sera abandonné et sa notification désactivée!

---

 

>>> C'est parti!: Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment.

 

>>> Utiliser ZHPFix: Sélectionner et copier le texte suivant:

 

O43 - CFD: 27/12/2011 - 18:01:30 - [0,001] ----D- C:\Users\steeve\AppData\Roaming\pdfforge

[HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]

C:\Users\steeve\AppData\Roaming\pdfforge

O41 - Driver: (SYMTDI) . (. - .) - C:\Windows\system32\Drivers\SYMTDI.sys (.not file.)

O43 - CFD: 30/12/2011 - 02:09:16 - [0] ----D- C:\Users\steeve\AppData\Local\{015EA6DF-EDC7-48C3-B456-7BF862872E44}

O43 - CFD: 25/12/2011 - 23:08:48 - [0] ----D- C:\Users\steeve\AppData\Local\{04644A5B-08DF-436D-8797-82367FD3DDB7}

O43 - CFD: 02/01/2012 - 12:45:26 - [0] ----D- C:\Users\steeve\AppData\Local\{0FE89F0E-E5ED-4BFF-8E3B-0F698B004592}

O43 - CFD: 30/12/2011 - 14:09:42 - [0] ----D- C:\Users\steeve\AppData\Local\{2917394C-3AD5-4CED-821B-52B6D42918EC}

O43 - CFD: 01/01/2012 - 22:23:14 - [0] ----D- C:\Users\steeve\AppData\Local\{340C6873-3854-48C9-AB82-C0301ADF7A8F}

O43 - CFD: 24/12/2011 - 22:01:32 - [0] ----D- C:\Users\steeve\AppData\Local\{4C201FF1-B98D-4426-B70F-181530CF7001}

O43 - CFD: 26/12/2011 - 13:21:56 - [0] ----D- C:\Users\steeve\AppData\Local\{56CD11A8-6266-4E90-9CED-8781BF8A1BCD}

O43 - CFD: 28/12/2011 - 02:07:36 - [0] ----D- C:\Users\steeve\AppData\Local\{574682DF-5F44-44E0-A329-7926F01658BC}

O43 - CFD: 23/12/2011 - 21:42:24 - [0] ----D- C:\Users\steeve\AppData\Local\{653508C8-A037-4212-91F9-77B786F00878}

O43 - CFD: 24/12/2011 - 10:00:40 - [0] ----D- C:\Users\steeve\AppData\Local\{656FA886-E3CD-4F31-9B1D-A3FDDB304C9E}

O43 - CFD: 03/01/2012 - 00:46:02 - [0] ----D- C:\Users\steeve\AppData\Local\{673D7A15-F3BE-4987-9F82-29B75E5BF5B6}

O43 - CFD: 28/12/2011 - 14:08:00 - [0] ----D- C:\Users\steeve\AppData\Local\{67C19C9D-33AF-4EE2-9723-4CEB546FEC78}

O43 - CFD: 01/01/2012 - 22:23:24 - [0] ----D- C:\Users\steeve\AppData\Local\{73139519-696C-4AB1-8EC6-E95DD348A49E}

O43 - CFD: 30/12/2011 - 02:09:28 - [0] ----D- C:\Users\steeve\AppData\Local\{7AB94490-4006-497F-AB0D-9B2E78D6CCF0}

O43 - CFD: 28/12/2011 - 14:08:12 - [0] ----D- C:\Users\steeve\AppData\Local\{7BC57BBE-6CB5-4BD4-AD19-3E2286991575}

O43 - CFD: 26/12/2011 - 13:22:06 - [0] ----D- C:\Users\steeve\AppData\Local\{887ED07B-1EC0-430A-9E0D-CB669004ED86}

O43 - CFD: 29/12/2011 - 02:08:26 - [0] ----D- C:\Users\steeve\AppData\Local\{8B591805-BBED-4186-BBD9-82748F3D8346}

O43 - CFD: 24/12/2011 - 10:00:52 - [0] ----D- C:\Users\steeve\AppData\Local\{93427A08-EF0A-427F-8EDE-F1653BDD0A9A}

O43 - CFD: 25/12/2011 - 10:58:02 - [0] ----D- C:\Users\steeve\AppData\Local\{93ADD2BB-2300-40ED-9ECB-CE3D7D62CCC7}

O43 - CFD: 03/01/2012 - 12:46:26 - [0] ----D- C:\Users\steeve\AppData\Local\{9A7A97E4-0199-412C-A375-DEA3BC8BC525}

O43 - CFD: 29/12/2011 - 02:08:36 - [0] ----D- C:\Users\steeve\AppData\Local\{AEE17935-B154-47E9-8D0D-67495563B661}

O43 - CFD: 26/12/2011 - 13:22:06 - [0] ----D- C:\Users\steeve\AppData\Local\{B19D82C0-05D9-4124-B890-DF9234D4F1A3}

O43 - CFD: 25/12/2011 - 23:08:36 - [0] ----D- C:\Users\steeve\AppData\Local\{B7FCA42F-13B4-4E67-A601-F419215EBD85}

O43 - CFD: 23/12/2011 - 21:43:10 - [0] ----D- C:\Users\steeve\AppData\Local\{BC3D4B70-4E97-4245-A472-69A27DA737B8}

O43 - CFD: 30/12/2011 - 14:09:52 - [0] ----D- C:\Users\steeve\AppData\Local\{BDA0D4D3-89AD-4713-98E4-64BCDB25D014}

O43 - CFD: 02/01/2012 - 12:45:36 - [0] ----D- C:\Users\steeve\AppData\Local\{C1F1916F-1890-471C-9231-CA70FB7F7B62}

O43 - CFD: 27/12/2011 - 14:07:06 - [0] ----D- C:\Users\steeve\AppData\Local\{C4ACDC22-2FA1-4462-873E-8D96A2F92743}

O43 - CFD: 03/01/2012 - 00:46:12 - [0] ----D- C:\Users\steeve\AppData\Local\{C4F57295-B8A2-4BAA-BF5B-7312D20C9CAF}

O43 - CFD: 24/12/2011 - 22:01:20 - [0] ----D- C:\Users\steeve\AppData\Local\{C6EB67FE-EE34-477C-852C-ADD143B33417}

O43 - CFD: 28/12/2011 - 02:07:46 - [0] ----D- C:\Users\steeve\AppData\Local\{CB3BCCAE-2977-4544-9386-6CCF307190C6}

O43 - CFD: 29/12/2011 - 14:08:50 - [0] ----D- C:\Users\steeve\AppData\Local\{D17156A5-0794-4B6E-BAB8-D204102255CF}

O43 - CFD: 27/12/2011 - 14:06:56 - [0] ----D- C:\Users\steeve\AppData\Local\{D2E6B874-DCFE-4010-8D72-0BA21A78CD75}

O43 - CFD: 29/12/2011 - 14:09:02 - [0] ----D- C:\Users\steeve\AppData\Local\{D5099309-D2D7-48D5-986C-850C080F4663}

O43 - CFD: 25/12/2011 - 10:58:12 - [0] ----D- C:\Users\steeve\AppData\Local\{E667145D-D3B1-410A-85D4-A1BEEC58A80B}

O43 - CFD: 03/01/2012 - 12:46:36 - [0] ----D- C:\Users\steeve\AppData\Local\{F9098945-AF8C-4315-A176-2C5FD8802201}

O52 - TDSD: \Drivers32\"msacm.l3codecp"="" . (...) -- (.not file.)

O52 - TDSD: \drivers.desc\"l3codecp.acm"="" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Audio Layer-3 Codec for MSACM.) -- C:\WINDOWS\System32\l3codecp.acm

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyHttp1.1 = 0

O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0

O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0

 

EmptyTemp

EmptyFlash

Lancer ZHPFix (raccourci sur le Bureau ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPFix") et cliquer sur le bouton [H].

Vérifier que toutes les lignes copiées (et rien d'autre) apparaissent dans la fenêtre (et disposées exactement de la même façon) et clique sur le bouton [OK] puis sur sur le bouton [Tous].

Fermer toutes les applications et autres fenêtres en cours (y compris Internet) et désactiver les programmes de protection (antivirus, pare-feu et antispyware).

Enfin, cliquer sur le bouton [Nettoyer] et laisser faire.

Redémarrer le PC pour finir le nettoyage si demandé et héberger le rapport "ZHPFixReport.txt" et poster son adresse. Ce rapport est en outre sauvegardé ici: C:\Program files\ZHPDiag\ZHPFixReport.txt.

 

 

>>> ComboFix/Analyse: Télécharger, sur le Bureau ComboFix© (par sUBs) depuis ici ou ici.

Fermer toutes les applications et fenêtres ouvertes, désactiver antivirus/ pare-feu/ antispyware et cliquer-droit sur "ComboFix.exe" => "Exécuter en tant qu'administrateur". Suivre les instructions en acceptant l'installation de la Console de Récupération (proposée pour Windows XP si pas installée).

NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer).

Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\). Copier/coller son contenu DIRECTEMENT dans la prochaine réponse.

 

 

>>> Est-ce mieux?

Modifié le 6 janvier 2012 par lance_yien

[searcher41]

Bonsoir,

 

voici le rapport de ZHPFix : Lien CJoint.com 0AgbCl0innm

il m'avait aussi placé une copie du rapport sur le bureau.

Verdict ^^ ?

 

Pour combofix je suis un peu réticent, la dernière fois que je m'en suis servi (sous conseil d'un membre de la team bien sûr), le pc a littéralement coupé pendant l'analyse, genre hardreboot :s (certes il était très malade à ce moment là) ... est-ce que je prends de nouveau un risque en l'executant ?

 

Merci,

Searcher41

[lance_yien]

Bonjour,

 

Si je t'ai demandé d'utiliser cet utilitaire, c'est qu'il y a besoin de savoir ce qu'il en dit.

D'autre part quand on se tape le nez contre un mur, est-ce qu'on fuit la présence des murs pour toute la vie?

 

Tu es seul maître de ta machine! Décide donc ce que tu veux faire et fais-le moi savoir. En attendant, j'étudie le rapport que tu as posté et te donnerai les instructions selon ta réponse.

[searcher41]

Bonjour,

 

je m'attendais un peu à votre réponse, il me fallait un ptit coup de pied pour me galvaniser un peu ^^

 

j'écris depuis une autre machine :

- AV et pare-feu windows désactivés

- ComboFix lancé, cependant :

-> l'analyse est cours depuis maintenant 40 minutes, celà fait 35min qu'il est bloqué à "étape 50 : terminé", processeur de pc utilisé à 01% (widget windows, l'analyse tourne bien sans aucune fenêtre ouverte). c'est un peu dommage que le logiciel n'annonce que 10min d'analyse, voir le double en cas de machine "très infectée", du coup c'est inquiétant :s

-> le seul message qui apparaisse dans la fenêtre, hormis les étapes, est au sujet d'un fail pour "enableLVA"

 

So, je laisse le pc comme ca encore longtemps :$ ?

 

 

Edit : 1h30, toujours rien :s

Modifié le 6 janvier 2012 par searcher41

[searcher41]

up !

je sais que ca fait que quelques minutes mais il en est toujours à cette étape 50, rien ne se passe, le proc n'a jamais si peu tourné et là ca va bientôt faire deux heures ... le problème étant que je dois partir pour le week-end et donc éteindre le pc dans pas longtemps -_-.

j'ai pas de chance avec ce logiciel, vous avez une procédure pour l'éteindre en cours d'analyse en limitant les dégats ?

 

Edit :

J'ai coupé combofix, redémarré le pc, le comportement est normal.

cependant il ya des traces à la racine C: :

-> un dossier 32788R22FWJFW (vide)

-> un dossier (?) combofix avec la minuature du poste de travail au lieu de celle du dossier

-> un dossier "Qoobox", avec un log catchme et des dossiers (quarantaine)

 

désolé de m'être impatienté, je repasserai ici dans la soirée et attends de nouveau vos instructions, soit pour relancer combofix, soit pour en effacer les traces :s ... je commence à penser que ce logiciel ne veut pas de mon pc -_-

Modifié le 6 janvier 2012 par searcher41

[lance_yien]

Arrête ta machine par le bouton et quand tu reviens fais-le savoir. On essayera autre chose.

 

Bon WE!

[searcher41]

Bonsoir,

 

me revoici, prêt à continuer les tests. la situation n'a pas changé depuis l'édit de mon dernier post, et le problème n'a manifestement pas été résolu.

[lance_yien]

Bonjour,

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment.

 

>>> Analyse en ligne: Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment, brancher/ allumer tous les médias amovibles disponibles (DD externe, clés USB etc) susceptibles d'avoir été infecté et désactiver antivirus/ pare-feu et antispyware.

Utiliser Internet Explorer pour aller ici, cliquer sur le bouton "Lancer ESET Online Scanner", cocher la case "Oui, j'accepte les conditions d'utilisation." et cliquer sur Start.

Accepter l'installation de l'ActiveX et cocher "Analyser les archives", DEcocher "Supprimer les menaces détectées" et cliquer Démarrer.

Eset téléchargera la base de données et commencera le scan. NE PAS utiliser la machine tant que l'analyse n'est pas finie (peut durer très longtemps).

Quand c'est fini, cliquer sur "Finish" et fermer la fenêtre de ESET. Un rapport "log.txt" sera sauvegardé automatiquement.

Pour ouvrir ce rapport, cliquer sur "Démarrer" => "Exécuter" et saisir (ou copier/coller):

%programfiles%\ESET\ESET Online Scanner\log.txt

Cliquer sur OK et copier/coller le contenu de la fenêtre qui s'ouvre dans la prochaine réponse.

 

 

>>> Analyse OTL: Télécharger, sur le Bureau OTL (par OldTimer) depuis ici ou ici.

Brancher et allumer tous les médias amovibles disponibles et susceptibles d'être infectés (DD externe, clés USB etc) et fermer toutes les applications et fenêtres ouvertes.

Cliquer-droit sur OTL.exe => "Exécuter en tant qu'administrateur", cocher la case "Tous les utilisateurs" (en haut) et copier/ coller ces lignes (commençant par netsvcs) dans l'espace sous "Personnalisation":

 

netsvcs

drivers32

%SYSTEMDRIVE%\*.* /90

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /90

%systemroot%\Tasks\*.job

%systemroot%\system32\drivers\*.sys /90

CREATERESTOREPOINT

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

SAVEMBR:0

Sans rien changer, cliquer sur le bouton bleu Analyse et laisser faire.

A la fin du scan, 2 rapports seront créés: "OTL.txt" (qui s'ouvre dans le bloc-note) et "Extras.txt" (qui sera minimisé dans la Barre des tâches).

Les héberger et poster leurs adresses dans une nouvelle réponse.

[searcher41]

Bonsoir,

 

L'analyse ESET a trouvé 1 menace : la toolbar Dealio. Sauf que j'ai du merder quelque part, parce que le log ne contient que ca :

"ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK"

-> je vais la refaire tout à l'heure

 

le rapport ZHPfix était-il bon ?

 

pour OTL :

EXTRAS : http://cjoint.com/?3Ajs1nrtkG5

OTL : http://cjoint.com/?3Ajs2f1YbwU

 

Voilou

 

EDIT : analyse réeffectuée avec ESET. j'ai choisi de copier dans le presse-papier le résultat qui est donc :

"C:\Program Files\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Win32/Adware.Toolbar.Dealio application"

Modifié le 9 janvier 2012 par searcher41