Alerte du pare-feu pour un processus non identifié

[lilive]

Bonjour à tous,

 

C'est ma première apparition sur ce forum. Je l'ai choisi car je suis souvent tombé sur zebulon.fr lors de mes recherches sur la sécurité ou la configuration système.

 

Voici ce qui m'amène:

 

Je viens d'avoir un message de mon pare-feu m'avertissant que le processus

E:\7edc50372b29add108d4d26999c2c2\setup.exe

tentait d'accéder à internet.

J'ai aussitôt essayé d'accéder à ce dossier, j'ai eu un message m'avertissant que je n'avais pas les droits quand j'ai essayé de l'ouvrir, et avant que je puisse tenter autre chose le dossier avait disparu.

J'ai ouvert le moniteur de ressource resmon et n'ai pas vu de setup.exe en cours d'exécution.

E: est la partition de mon disque dur que j'ai indiquée comme racine du dossier "mes documents"

 

Cela n'a peut-être rien à voir, mais je le signale: Ce message de mon antivirus est apparu juste après que j'ai affiché le contenu d'un nouveau mail dans thunderbird.

J'avais également firefox ouvert à ce moment-là.

En tache de fond, j'étais en train d'installer des maj de windows. Je me dis que c'est surement cela, mais ça m'étonne que windows crée un répertoire à la racine de "mes documents", plutôt que dans un dossier réservé aux documents temporaires. Et sauf si ma mémoire me trahit, c'est la première fois que j'ai un tel message lors d'une maj windows.

 

Je n'ai pas encore redémarré mon système pour finaliser l'installation des maj. Voici les lignes de l'historique d'installation des maj de windows pour la date d'aujourd'hui:

Mise a jour pour Windows 7 pour ordinateurs a processeur x64 (KB2763523) - En attente - Recommandée

Mise a jour de sécurité pour Windows 7 pour ordinateurs a processeur X64 (KB2761226) - En attente - Important

Mise a jour de sécurité pour Microsoft .NET Framework version 4.5 sous Windows 7, Vista, Server 2008 et Server 2008 R2 pour Ies systémes x64 (KB2729460) - Réussite - Important

Mise a jour pour l'infrastructure de pilotes en mode noyau version 1.11 pour Windows 7 pour des ordinateurs a processeur x64 (KB2685811) - En attente - Recommandée

Mise a jour pour Windows 7 pour ordinateurs a processeur x64 (KB2750841) - En attente - Recommandée

Mise a jour de sécurité pour Microsoft .NET Framework version 4.5 sous Windows 7, Vista, Server 2008 et Server 2008 R2 pour Ies systémes X64 (KB2737083) - Réussite - Important

Outil de suppression de Iogiciels malveillants Windows x64 - novembre 2012 (KB890830) - Réussite - Important

Mise a jour de sécurité pour Microsoft .NET Framework 3.5.1 sous Windows 7 et Windows Server 2008 R2 SP1 pour Ies ordinateurs a processeur x64 (KB2729452) - En attente - Important

Mise a jour pour l'infrastructure de pilotes en mode utilisateur version 1.11 pour Windows 7 pour des ordinateurs a processeur X64 (KB2685813) - En attente - Recommandée

Definition Update for Windows Defender - KB915597 (Definition 1.141.795.0) - Réussite - Important

Mise a jour de sécurité pour Windows 7 pour ordinateurs a processeur x64 (KB2727528) - En attente - Important

Mise a jour pour Windows 7 pour ordinateurs a processeur x64 (KB2762895) - En attente - Recommandée

Mise a jour pour Windows 7 pour ordinateurs a processeur X64 (KB2761217) - En attente - Recommandée

 

 

Du coup, je suis un petit peu inquiet.

Quelqu'un aurait-il des conseils à me prodiguer? Des pistes pour essayer de comprendre ce qui c'est passé, savoir si c'est normal?

 

Merci.

Modifié le 2 décembre 2012 par lilive

[Tonton]

Bonjour lilive et bienvenue sur Zébulon !

 

Nous allons utiliser l'outil ZHPDiag de Nicolas Coolman

 

__________________________________________________________________________

 

• Télécharge ZHPDiag de Nicolas Coolman : élécharger ZHPDiag
   
  
   
  
• Enregistre-le sur ton Bureau
   
  
• Pour lancer l’installation, clique droit sur "ZHPDiag.exe" puis « exécuter en tant qu’administrateur »
   
  
• 3 icônes sont à présent créées sur le Bureau : ZHPDiag, ZHPFix et MBRCheck :
   
  
   
  
• Pour lancer l’exécution, clique droit sur "ZHPDiag" puis « exécuter en tant qu’administrateur »
   
  
• La fenêtre suivante apparaît :
   
  
  
• Vérifie la mise à jour de ZHPDiag en cliquant sur
  
• Clique sur , puis sur
  
• Pour lancer l'analyse, clique sur
• Le logiciel peut donner l'impression d'être bloqué : patiente jusqu’à ce que le scan indique 100%. En cas de blocage réel décoche la (les) ligne(s) bloquée(s) à l’aide de
  
• A présent, ferme "ZHPDiag"
   
  
• Tu trouveras le rapport généré par cette analyse sur le Bureau : il se nomme ZHPDiag.txt
   
  
• Pour poster ton rapport :
   
  
  • 
     
    
  • n’effectue pas un simple copier-coller du rapport, car il est trop long pour le forum
    
  • il convient de l’héberger, par exemple chez
    
  • sur la page du site, clique sur parcourir et recherche le rapport ZHPDiag sur ton bureau
    
  • puis clique sur ouvrir
    
  • ensuite, en bas clique sur Créer le lien Cjoint : une nouvelle fenêtre apparaît avec un lien bleu
    surligne le lien pour le copier/coller dans ton prochain Post.

__________________________________________________________________________

 

@+,

Tonton

[lilive]

Merci de ta réponse Tonton,

Le scan est en cours...

Effectivement ça a l'air bloqué, je suis à 0% depuis plusieurs minutes.

Pendant ce temps, au cas où, je te signale que je n'ai toujours pas redémarré ma machine depuis l'alerte en question.

[lilive]

Le scan est en cours...

Effectivement ça a l'air bloqué, je suis à 0% depuis plusieurs minutes.

Autant pour moi, le scan n'avait pas démarré, mais je croyais que si car j'avais la barre de progression affichée à 0%

J'ai relancé, j'arrive

[lilive]

Voici le rapport:

© CJoint.com, 2012

[Tonton]

Re, lilive,

 

__________________________________________________________________________

 

1. Résultats de l'analyse du log ZHPDiag

 

• Présence d' infections
   
  
• Redondance de certains logiciels de sécurité => règle de base : 1 SEUL anti-virus + 1 SEUL anti-malware + 1 SEUL pare-feu
   
  
• Trop de programmes se lançant automatiquement au démarrage : ouvre « Exécuter » > tape msconfig > onglet Démarrage > décoche tout sauf l’anti-virus, le pare-feu (si non intégré à l'OS) et la connexion internet (cette opération est réversible à tout moment, si nécessaire) > valide.
  Au redémarrage, Windows te demandera d’accepter le boot en « mode sélectif » : valide et coche la petite case te proposant de ne plus réafficher ce message.
   
  
• Les programmes suivants ne sont plus à jour; il faut impérativement actualiser leur version :
   
  
  • Java : désinstalle la version présente sur ton PC (6 Update 35) et installe la version actuelle (7 Update 9).
    Lien :
     
    
  • Adobe Reader : version installée 9.5.2 --> nous en sommes à la version XI
    Lien:
     
    
  • Lorsque ces programmes ne sont pas à tenus jour, ils sont susceptibles de contenir des "failles de sécurité".
    Les mises à jour sont donc à effectuer de manière régulière.

  [*]Présence de Toolbars : les toolbars sont nuisibles car, non seulement, elles ralentissent le fonctionnement du PC, mais, de plus, elles récoltent des informations souvent confidentielles; pour les éviter, il faut systématiquement décocher (ou ne pas cocher) les petites cases proposant leur installation à l'occasion de l'installation d'un logiciel

-----------------------------------------

 

2. A faire, stp

 

• Je te conseille d'ouvrir un nouveau sujet dans la section Analyse et éradication des malwares, afin de procéder à une bonne désinfection : start-new-topic-f51.html
   
  
• Tu vas être pris en charge par un helper qualifié, tout particulièrement formé et rodé aux processus de désinfection; de manière à ce qu’il soit informé des manips déjà effectuées, merci de copier/coller en début de ton nouveau sujet :
  
  • le lien avec le présent sujet (tu le trouveras en cliquant sur le n° de ce Post)
    
  • le lien direct avec le log ZHPDiag que tu m’as transmis

  [*]Sois patient(e) stp, car il y a quantité de sujets en cours de désinfection et les Helpers de ce forum sont tous des bénévoles qui font au mieux pour aider les autres en fonction de leurs impératifs et disponibilité.

  Si tu n'as pas obtenu de réponse au bout de 72h, je t’invite à poster un petit message de rappel dans le sujet "On m'a oublié !" ; tu trouveras ce sujet en haut de la section de désinfection (pense à rajouter un lien vers ton sujet en cours)

   

  [*]Si le processus de désinfection (incontournable dans le cas présent) devait ne pas régler le problème initial pour lequel tu as ouvert le sujet, et seulement après finalisation intégrale de celui-ci, je reste à ta disposition pour explorer d’autres pistes.

__________________________________________________________________________

 

 

Bonne continuation,

Tonton

[lilive]

Bonsoir Tonton,

Merci beaucoup pour ta réponse.

Je vais faire ce que tu me recommandes.

 

Peut-être me répondra-t'on alors sur certains points, que je te signale en passant au cas où, par exemple:

 

[*]Redondance de certains logiciels de sécurité => règle de base : 1 SEUL anti-virus + 1 SEUL anti-malware + 1 SEUL pare-feu

Je ne suis pas familier du tout de la lecture d'un tel rapport, je me demande où tu vois cela, et surtout ce que tu vois. Ce n'est pas le cas à ma connaissance.

 

[*]Trop de programmes se lançant automatiquement au démarrage : ouvre « Exécuter » > tape msconfig > onglet Démarrage > décoche tout sauf l’anti-virus, le pare-feu (si non intégré à l'OS) et la connexion internet (cette opération est réversible à tout moment, si nécessaire) > valide.

Au redémarrage, Windows te demandera d’accepter le boot en « mode sélectif » : valide et coche la petite case te proposant de ne plus réafficher ce message.

Je me demande lesquels, vu que justement j'essaie de faire en sorte qu'il y en n'ait pas trop.

Je désactive systématiquement le chargement au boot de tous les programmes que je n'utilise pas quotidiennement, sauf si je ne comprends pas ce qu'ils sont. C'est peut-être le cas, mais du coup je ne peux appliquer aveuglément ton conseil sans comprendre ce que je fais.

 

[*]Présence de Toolbars : les toolbars sont nuisibles car, non seulement, elles ralentissent le fonctionnement du PC, mais, de plus, elles récoltent des informations souvent confidentielles; pour les éviter, il faut systématiquement décocher (ou ne pas cocher) les petites cases proposant leur installation à l'occasion de l'installation d'un logiciel

Je ne vois pas la moindre toolbar dans mon environnement, ni sur le bureau, ni dans firefox.

Peut-être y en a-t'il dans IE, je ne sais pas, je ne l'utilise jamais.

 

 

Mais comme je disais, je vais aller créer un nouveau sujet comme tu me le conseilles, et on y parlera de tout ça j'espère. Je voulais juste te faire un petit retour.

 

Merci de ta réactivité

[Tonton]

Bonsoir lilive,

 

Je ne suis pas familier du tout de la lecture d'un tel rapport, je me demande où tu vois cela, et surtout ce que tu vois. Ce n'est pas le cas à ma connaissance.

Erreur d'interprétation de ma part : ne tiens pas compte de ce point.

 

Tu disposes de :

• 
   
  
• Windows7 Firewall Control
  
• Windows Defender
  

Donc c'est OK !

 

~~~~~~~~~~~~~~~~~~

 

Je me demande lesquels, vu que justement j'essaie de faire en sorte qu'il y en n'ait pas trop.

Je désactive systématiquement le chargement au boot de tous les programmes que je n'utilise pas quotidiennement, sauf si je ne comprends pas ce qu'ils sont. C'est peut-être le cas, mais du coup je ne peux appliquer aveuglément ton conseil sans comprendre ce que je fais.

Voici l'ensemble des programmes se lançant automatiquement au démarrage de Windows :

• 
   
  
• HKLM\..\Run: [Acer ePower Management] . (.Acer Incorporated - ePowerTrayLauncher.) -- C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe
  
• HKLM\..\Run: [RtHDVCpl] . (.Realtek Semiconductor - Gestionnaire audio HD Realtek.) -- C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
  
• HKLM\..\Run: [synTPEnh] C:\Program Files (x86)\Synaptics\SynTP\SynTPEnh.exe (.not file.)
  
• HKLM\..\Run: [Windows7FirewallControl] . (.Sphinx Software - Windows 7 Firewall Control.) -- C:\Program Files\Windows7FirewallControl\Windows7FirewallControl.exe
  
• HKLM\..\Wow6432Node\Run: [startCCC] . (.Advanced Micro Devices, Inc. - Catalyst® Control Center Launcher.) -- C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
  
• HKLM\..\Wow6432Node\Run: [VirtualCloneDrive] . (.Elaborate Bytes AG - Virtual CloneDrive Daemon.) -- C:\Program Files (x86)\VirtualCloneDrive\VCDDaemon.exe
  
• HKUS\S-1-5-19\..\Run: [sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files (x86)\Windows Sidebar\Sidebar.exe
  
• HKUS\S-1-5-20\..\Run: [sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files (x86)\Windows Sidebar\Sidebar.exe
  
• HKUS\S-1-5-21-2061414031-1517393882-3138105401-1001\..\Run: [Ditto] . (.Pas de propriétaire - Ditto.) -- C:\Program Files (x86)\Ditto\Ditto.exe
  
• HKUS\S-1-5-19\..\RunOnce: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe
  
• HKUS\S-1-5-20\..\RunOnce: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe
  

Je t'ai mis en bleu les programmes que tu peux désactiver du démarrage automatique.

 

~~~~~~~~~~~~~~~~~~

 

Je ne vois pas la moindre toolbar dans mon environnement, ni sur le bureau, ni dans firefox.Peut-être y en a-t'il dans IE, je ne sais pas, je ne l'utilise jamais.

Voici la liste des toolbars :

• 
   
  
• [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Toolbar.SearchLive
  
• [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Toolbar.SearchLive
  
• [HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Toolbar.SearchLive
  

Le Helper Sécurité qui va te prendre en charge dans la section Analyse et éradication des malwares te guidera et te fournira les outils nécessaires à la suppression de ces toolbars.

 

~~~~~~~~~~~~~~~~~~

 

Bonne continuation,

Tonton

[lilive]

HKLM\..\Run: [Acer ePower Management] . (.Acer Incorporated - ePowerTrayLauncher.) -- C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe

J'ai une seule icône qui a rapport à la gestion de l'énergie dans mon trail, ça doit être ça. Je m'en sers régulièrement pour basculer rapidement entre les modes de consommation "usage normal" et "performances élevées", et puis ça m'affiche le niveaux de charge de la batterie. Mais c'est vrai que je peux m'en passer.

 

HKLM\..\Run: [RtHDVCpl] . (.Realtek Semiconductor - Gestionnaire audio HD Realtek.) -- C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe

Ça faut que j'essaie. Je craignais que ça ait des conséquences sur ma sortie son, mais j'ai qu'à essayer, je verrai bien!

 

HKLM\..\Run: [synTPEnh] C:\Program Files (x86)\Synaptics\SynTP\SynTPEnh.exe (.not file.)

Ah ben oui, surement un utilitaire qui devait être installé de base, et que j'ai supprimé.

 

HKLM\..\Wow6432Node\Run: [startCCC] . (.Advanced Micro Devices, Inc. - Catalyst® Control Center Launcher.) -- C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

Je teste de l'enlever pour voir, mais je crois que ça rend l'ouverture du panneau de configuration de ma carte graphique très long. Je branche souvent mon portable sur des vidéoprojecteurs différents et j'ai besoin des réglages de ce panneau. Mais je teste pour voir.

 

HKLM\..\Wow6432Node\Run: [VirtualCloneDrive] . (.Elaborate Bytes AG - Virtual CloneDrive Daemon.) -- C:\Program Files (x86)\VirtualCloneDrive\VCDDaemon.exe

Oui lui je ne m'en sers pas en ce moment en effet.

 

HKUS\S-1-5-19\..\Run: [sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files (x86)\Windows Sidebar\Sidebar.exe

HKUS\S-1-5-20\..\Run: [sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files (x86)\Windows Sidebar\Sidebar.exe

Ça par contre je vais essayer de le désactiver, puisque je n'utilise pas la sidebar. En plus il apparait 2 fois. Je teste...

 

HKUS\S-1-5-21-2061414031-1517393882-3138105401-1001\..\Run: [Ditto] . (.Pas de propriétaire - Ditto.) -- C:\Program Files (x86)\Ditto\Ditto.exe

Lui je m'en sers tout le temps (très commode d'ailleurs)

 

HKUS\S-1-5-19\..\RunOnce: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe

HKUS\S-1-5-20\..\RunOnce: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe

J'ai googlé pour voir ce que c'est. On dirait bien que je peux m'en passer.

C'est ça qui est pénible avec les windows pré-installés, il y a tout un tas de trucs. Mais c'est mon premier portable, et je ne connais pas les différences avec une tour, donc j'ai fait gaffe à ne pas tout enlever. Et puis je n'ai pas un CD d'installation de windows de base, c'est pénible, là j'ai le windows modifié par le constructeur du portable et c'est tout.

 

En tout cas merci pour ces précisions. Effectivement on dirait que ma liste de programmes à lancer au boot va s'alléger

 

(pour la barre d'outils de IE, je demanderai dans le nouveau post - j'attends la fin du scan complet de mon système par un antivirus installé pour l'occasion - si ça vaut le coup que je m'en occupe, puisque je n'utilise jamais IE)

Modifié le 2 décembre 2012 par lilive

[Tonton]

Bonsoir lilive,

 

[...] si ça vaut le coup que je m'en occupe, puisque je n'utilise jamais IE

Même si tu n'utilises pas IE, le système s'en sert régulièrement, ne serait-ce que pour les mises à jour via Windows Update.

 

Il est donc préférable d'avoir une version IE à jour et "clean".

 

Par ailleurs, ton système étant infecté, je ne saurais trop te recommander d'ouvrir un nouveau sujet dans la section Analyse et éradication des malwares.

 

Bonne soirée,

Tonton