Suspicion de corruption

[Dylav]

Bonjour,

 

Ayant répondu un peu vite "OK" à la proposition de charger Acrobat Reader 7.0 au moment de la lecture de je ne sais plus quel pdf sur le net, il se produit un événement quasi-subliminal inattendu qui me conduit à couper le modem et interrompre brutalement le processus. A l'issue de cette manipulation d'urgence, je trouve dans mon arborescence un fichier psa30se_en_us.exe, de taille 0, invirable même en mode sans échec (parce que utilisé par autre personne ou processus).

 

Je décide d'aller chez Adobe chercher la version officielle 7.0.7, qui s'installe très proprement en effaçant la 6.0 dont je bénéficiais auparavant.

 

Puis je m'attaque à l'autre problème à fond, en appliquant la procédure Zébulon d'ipl_001, CleanMgr, EasyCleaner (registre, fichiers inutiles), HouseCall, A2, Ad-Aware, Spybot et, à la fin de ce ménage (à propos, y a-t-il quelque chose à désinstaller, après ces manipulations, cf. ligne [38] ?), logs HiJackThis.

 

Les seules différences entre les logs en modes normal et sans échec sont, dans les Running processes, les lignes en gras, qui n'apparaissent pas en mode sans échec. J'ai par ailleurs des doutes sur les lignes numérotées [26], [27] et [28].

 

Mais n'étant pas expert, je souhaiterais bénéficier du coup d'oeil d'un spécialiste, tant pour le log ci-dessous (numéroté par mes soins), que pour le fichier résistant, pour lequel je n'ai rien trouvé de significatif sur le net.

 

Merci d'avance. Cordialement.

 

Logfile of HijackThis v1.99.1

Scan saved at 23:47:25, on 06/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

[01] C:\WINDOWS\System32\smss.exe

[02] C:\WINDOWS\system32\winlogon.exe

[03] C:\WINDOWS\system32\services.exe

[04] C:\WINDOWS\system32\lsass.exe

[05] C:\WINDOWS\system32\Ati2evxx.exe

[06] C:\WINDOWS\system32\svchost.exe

[07] C:\WINDOWS\System32\svchost.exe

[08] C:\WINDOWS\system32\spoolsv.exe

[09] C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

[10] C:\WINDOWS\system32\drivers\CDAC11BA.EXE

[11] C:\WINDOWS\system32\CTSvcCDA.EXE

[12] C:\WINDOWS\eHome\ehRecvr.exe

[13] C:\WINDOWS\eHome\ehSched.exe

[14] c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

[15] C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

[16] C:\WINDOWS\system32\Ati2evxx.exe

[17] C:\WINDOWS\Explorer.EXE

[18] C:\WINDOWS\system32\svchost.exe

[19] C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[20] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

[21] C:\WINDOWS\system32\MsPMSPSv.exe

[22] C:\WINDOWS\system32\dllhost.exe

[23] C:\Program Files\Internet Explorer\iexplore.exe

[24] C:\Program Files\HijackThis\HijackThis.exe

 

[25] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

[26] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

[27] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

[28] R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/

[29] R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

[30] O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[31] O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[32] O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\MICROA~1\EFFACE~1\ANTI-P~1.DLL

[33] O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

[34] O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

[35] O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

[36] O9 - Extra button: Micro Application Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\MICROA~1\EFFACE~1\ANTI-P~1.DLL

[37] O9 - Extra 'Tools' menuitem: Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\MICROA~1\EFFACE~1\ANTI-P~1.DLL

[38] O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

[39] O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

[40] O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

[41] O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

[42] O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

[43] O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

[44] O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

[45] O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

[46] O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

[47] O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Modifié le 8 mars 2006 par dylav

[regis56]

Bonjour dylav !

 

le fichier psa30se_en_us.exe est légitime et relatif à adobe regarde ici

http://virusinfo.prevx.com/pxparall.asp?re...XC=96a914195226

 

Ton rapport est propre en tout cas moi je vois rien !

 

Je crois que tu t'es fait une frayeur pour rien

 

A plus !

[bruce lee]

bonsoir dylav et regis56,

 

(à propos, y a-t-il quelque chose à désinstaller, après ces manipulations, cf. ligne [38] ?), logs HiJackThis.

 

ligne 38:

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

 

c'est un activeX celui de trend micro pour faire un scan en ligne donc il n'est pas mauvais.

 

Les seules différences entre les logs en modes normal et sans échec sont, dans les Running processes

 

c'est normal, en mode sans echec il n'y a que le minimum de pilotes/processus qui sont chargés.

 

J'ai par ailleurs des doutes sur les lignes numérotées [26], [27] et [28].

 

ce n'est pas infectieux.

 

en esperant avoir repondu a tes questions

 

@+

[Dylav]

Salut Regis56,

 

OK, tu me rassures quant à ce module. Je suis quand même un peu surpris qu'il s'agisse d'un .exe. Le fait qu'il soit vide doit relever de mon interruption brutale du téléchargement. Tel qu'il est, il ne sert forcément à rien, et je ne comprends pas pourquoi il est réputé utilisé par "une autre personne ou un autre programme".

 

J'aimerais bien le nettoyer (parce qu'il est dans un répertoire courant, pas dans Program files), et ne vois vraiment pas comment faire. Il faut sans doute désactiver un service, mais lequel ? (rappel : mêm en mode sans échec, il refuse d'être supprimé).

 

Merci d'avance de m'éclairer.

Cordialement.

 

PS: merci, Bruce Lee, pour tes compléments d'information.

[angelique]

tu boots en console de recup:

 

 

1. Configurez l'ordinateur pour démarrer à partir du lecteur de CD-ROM ou de DVD-ROM.

2. Insérez le CD-ROM Windows XP dans le lecteur de CD-ROM ou de DVD-ROM, puis redémarrez l'ordinateur.

3. Lorsque le message "Appuyez sur n'importe quelle touche pour démarrer du CD-ROM" s'affiche, appuyez sur une touche quelconque afin de démarrer l'ordinateur à partir du CD-ROM Windows XP.

4. Lorsque le message "Bienvenue" s'affiche, appuyez sur R pour démarrer la console de récupération.

5. Si vous possédez un ordinateur à double démarrage ou à démarrage multiple, choisissez l'installation à laquelle vous devez accéder à partir de la console de récupération.

6. Lorsque vous y êtes invité, tapez le mot de passe de l'administrateur, puis appuyez sur ENTRÉE.

 

A l'invite de commande:

 

cd c:\

 

la suite qd tu auras donné le chemin du fichier que tu veux supp

 

J'aimerais bien le nettoyer (parce qu'il est dans un répertoire courant

 

donnes le directory du repertoire stp!!

[Dylav]

Bonsoir Angélique,

 

Excuse pour l'interruption, mais je partais dîner.

 

Quant à mon problème de fichier résistant , ton évocation de la console de récupération m'a fait penser au DOS . J'ai donc tenté, avant de me lancer dans ta méthode, l'utilisation de cmd pour lancer la commande del fichier. Et ô miracle, la commande a été acceptée , et le fichier a disparu.

 

Pour le reste, merci encore à Régis56, et à Bruce Lee d'avoir confirmé que mon log HijackThis est clean.

 

Salut cordial à tous .

 

PS: quelqu'un pourrait-il m'indiquer comment on modifie le titre d'un topic, par exemple pour y ajouter la mention [résolu] ?

Modifié le 7 mars 2006 par dylav

[Thanos]

salut tout le monde

 

dylav, pour mettre [Résolu] , édite ton premier message: édition=>complête=> et tu ajoutes "résolu" dans le titre.

[Dylav]

dylav, pour mettre [Résolu] , édite ton premier message: édition=>complète=> et tu ajoutes "résolu" dans le titre.

Merci, charles ingals. Modifié le 8 mars 2006 par dylav