Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Voyant disque scotché, applis bloquées

frog62

Par frog62
dans Analyses et éradication malwares

 Partager

Messages recommandés

frog62 Member

frog62

Posté(e)
Posté(e) (modifié)

Bonjour à tous, sur le conseil de Dylav je poste ici, supposant la présence d'un virus bien caché :

 

Je suis sous Win7/64bit, pc optimisé, 30 processus au repos, services inutiles arrétés, pas d'AV

Mémoire/swap, disque largement dispos

Je dépasse rarement des 5% de cpu d'utilisation sur ce quad core

Bref il booste suffisamment

Mais ... parfois (on va dire une fois tous les 1/4 d'heure environ même si ça n'est pas super régulier) le voyant disque reste allumé et ça suspend les processes en cours ("xxxx ne répond pas" au niveau de l'affichage), je patiente environ 20/30 secondes et ça se débloque, pas de conso cpu particulière à ce moment-là

Je pense avoir fait tout ce qu'il fallait faire côté vérifs : windows update récent, planificateur tâches, recherche complète manuelle virus et spies via Defender et Security Essential à jour, moniteur de ressources, process explorer, etc etc..

Je ne vois rien de particulier quand ça arrive (même l'io est correct à ce moment là), pas de process consommateur cpu/io

Seul indice, un tashost.exe actif à ce moment-là, que je suppose charger une dll douteuse .. bizarre aussi que ce taskhot.exe soit un 64bit sous le répertoire win/system32 ???

Si qqun a un indice je prends volontiers !

PS: un virus peut-il être assez poussé pour bypasser tous les outils de monitoring ? bref rester invisible pendant les diagnostiques ....

Modifié par frog62
Lien vers le commentaire
Partager sur d’autres sites

bernard53 Godlike Member

bernard53

Posté(e)
Posté(e)

Bonsoir

 

voyons un peu plus s.t.p

Télécharger sur le bureau<< RogueKiller >> (by tigzy)

Quitter tous les programmes

Lancer RogueKiller.exe.

Attendre que le Prescan ait fini ...

Cliquer sur Scan. Cliquer sur Rapport et copier-coller le contenu du notepad

 

Puis:

 

 

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

hklm\software\clients\startmenuinternet|command /rs

hklm\software\clients\startmenuinternet|command /64 /rs

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\drivers.desc /s

%temp%\smtmp\1\*.* /s

%temp%\smtmp\2\*.* /s

%temp%\smtmp\4\*.* /s

nslookup Google /c

SAVEMBR:0

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Accueil de Cjoint.com

Lien vers le commentaire
Partager sur d’autres sites
frog62 Member

frog62

Posté(e)
  • Auteur
Posté(e)

Ptit bémol Bernard sur OTL, MD5 = 5d92fdedd3142f9cc0daf2839c8537b8

 

Mouliné sur Le scanner antivirus de Jotti , j'ai 3 réserves sur 19 AV sollicités :

 

ClamAV : 2012-06-27 PUA.Packed.PECompact-1

 

Dr WEB : 2012-06-27 Trojan.Siggen4.7162

 

VirusBuster : 2012-06-27 Packed/PECompact

 

Grave docteur ? :mhh:

Lien vers le commentaire
Partager sur d’autres sites
bernard53 Godlike Member

bernard53

Posté(e)
Posté(e)

1-relance RoqueKiller et valide suppression

 

 

2-Pas grand chose dans le rapport.

 

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL

IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Rechercher {searchTerms}

IE - HKCU\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found

IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Rechercher {searchTerms}

[2012/02/13 23:00:31 | 000,000,000 | ---D | M] (uTorrentBar_FR Community Toolbar) -- C:\Users\fred\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}

O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll (Ask.com)

O2 - BHO: (FDMIECookiesBHO Class) - {7A780B7B-DCF1-4ec4-BB13-2DF92CAD27DB} - C:\Program Files (x86)\Light Downloader\ldmie2.dll ()

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll (Ask.com)

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (Foxit Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll (Ask.com)

F3 - HKCU WinNT: Load - (C:\Users\fred\AppData\Local\Temp\dwm.exe) - File not found

F3 - HKCU WinNT: Load - (C:\Users\fred\AppData\Local\Temp\dwm.exe) - File not found

O8 - Extra context menu item: Download video with Light Downloader - file://C:\Program Files (x86)\Light Downloader\dlfvideo.htm File not found

O8 - Extra context menu item: Download video with Light Downloader - file://C:\Program Files (x86)\Light Downloader\dlfvideo.htm File not found

@Alternate Data Stream - 133 bytes -> C:\ProgramData\TEMP:0B9176C0

@Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:5D7E5A8F

@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:93DE1838

@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:1D32EC29

:Commands

[emptytemp]

* Cliques sur l'icône Correction (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un rapport s'ouvrir "OTL.log"

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Accueil de Cjoint.com

 

 

Par contre c'est toi qui a mis en place ce proxy :chpas:

 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50370

Lien vers le commentaire
Partager sur d’autres sites
frog62 Member

frog62

Posté(e)
  • Auteur
Posté(e)

Aie dommage que rien n'apparaisse :-?

Ok je refais une passe avec les nouvelles options

Penses-tu que le pb puisse venir d'un pb disque ?

Curieux ce proxy, j'utilise ce machin qu'est IE uniquement pour le plugin scorch (partitions) et je suis bien en détection auto côté réseau, sinon j'ai bien un proxy pour FF version portable uniquement pour GlobalPandora (musique) mais c'est un proxy distant, et détection auto aussi pour un vieux Chromium comme browser principal; je supprime qd mm l'entrée dans la registry

Merci encore pour tes conseils Bernard

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...