|
Posté le 25/06/2011 @ 10:49 |
| Bonjour,
Sous W7 - j'ai une alerte qui m'inquiète un peu ! Je suis adm. du
syst. et tout désactivé !
Les scans classiques tels que RSIT / ZHPDiag ne signalent rien de spécifique
hormis ceci, en fonction de ce que j'écris plus haut !
"EnableLUA"=0 => Désactive le contrôle de compte d'utilisateur "EnableUIADesktopToggle"=0 => Disable Vista UIAccess applications (UAC) "PromptOnSecureDesktop"=0 => Changement impossible de bureau quand on élève les privilèges "NoActiveDesktop"=1 => Disable Active Desktop "NoActiveDesktopChanges"=1 => Users can't enable, disable, and configure Active desktop
Info (5)
Voici l'alerte en question - en répondant OUI (j'ai pris le risque) -->> Mbam me trouve un malware -
en répondant NON (situation actuelle) le message revient régulièrement !
et le rapport détaché de Mbam :
Elément(s) de données du Registre infecté(s): HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
Une idée sur l'action pour comprendre et entreprendre cette infection si toutefois elle existe.
Merci
ps - je suis du genre casse-cou et utilise des logiciels non recommandés (pas de P2P) mais des log. comme MsiAfterBurner, qui ne signifie
pas pour autant que le problème soit en rapport !
Modifié par Joekid33 le 25/06/2011 10:51
|
|
|
|
|
|
Posté le 25/06/2011 à 15:32 |
Nouvel astucien
| Message original par Joekid33
> Les scans classiques tels que RSIT / ZHPDiag ne signalent rien de spécifique
Bonjour,
> Poste le rapport RSIT.
A+ |
|
Posté le 25/06/2011 à 15:36 |
Astucien | Fichier joint : rsit 230611.txt
Bonjour et merci - s'agit d'un rapport du 230611- çà ira ? fredericx
Modifié par Joekid33 le 25/06/2011 15:37 |
|
Posté le 25/06/2011 à 15:52 |
Nouvel astucien
| Message original par Joekid33
> Elément(s) de données du Registre infecté(s): HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
Re,
> Cela m' a fait penser rapidement à ça :
Télécharge UsbFix (merci El Desaparecido) : Ici
# Connecte tous tes périphériques externes (clé Usb, disque dur...), sans les ouvrir # Double-clique sur le raccourci présent sur le Bureau # Choisis l' option 1 (Recherche) et laisse-le travailler # Poste le rapport (également sauvegardé à la racine de C:)
process.exe est détecté par certains antivirus (AntiVir, Dr. Web, Kaspersky Anti-Virus...) comme étant un RiskTool. Il ne s' agit pas d' un virus, mais d' un utilitaire destiné à mettre fin des processus. Mis entre de mauvaises mains il pourrait arrêter des logiciels de sécurité (antivirus, firewall...), d' où l' alerte émise.
Edit : Ortho
Modifié par Anonyme le 25/06/2011 16:02 |
|
Posté le 25/06/2011 à 16:01 |
Astucien | - ok fredericx - rapport usbfix
############################## | UsbFix 7.048 | [Recherche]
Utilisateur: user (Administrateur) # USER-PC [MSI MS-7592] Mis à jour le 11/06/2011 par TeamXscript Lancé à 15:58:39 | 25/06/2011 Site Web: http://www.teamxscript.org Submit your sample: http://www.teamxscript.org/Upload.php Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Pentium(R) Dual-Core CPU E6500 @ 2.93GHz CPU 2: Pentium(R) Dual-Core CPU E6500 @ 2.93GHz Microsoft Windows 7 Professionnel (6.1.7601 64-Bit) # Service Pack 1 Internet Explorer 9.0.8112.16421
Pare-feu Windows: Activé RAM -> 4095 Mo C:\ (%systemdrive%) -> Disque fixe # 82 Go (43 Go libre(s) - 53%) [] # NTFS D:\ -> Disque fixe # 32 Go (11 Go libre(s) - 34%) [Nouveau nom] # NTFS E:\ -> CD-ROM F:\ -> Disque fixe # 184 Go (153 Go libre(s) - 83%) [Nouveau nom] # NTFS
################## | Éléments infectieux |
################## | Registre |
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\E Shell\AutoRun\Command = E:\DVDSetup.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
|
|
Posté le 25/06/2011 à 16:05 |
Nouvel astucien
|
# Connecte tous tes périphériques externes, sans les ouvrir # Double-clique sur le raccourci d' UsbFix # Choisis l' option 2 (Suppression) # Ton bureau va disparaître et le Pc redémarrer # Laisse-le travailler # Poste le rapport |
|
Posté le 25/06/2011 à 16:11 |
Astucien | - suppression -
############################## | UsbFix 7.048 | [Suppression]
Utilisateur: user (Administrateur) # USER-PC [MSI MS-7592] Mis à jour le 11/06/2011 par TeamXscript Lancé à 16:06:34 | 25/06/2011 Site Web: http://www.teamxscript.org Submit your sample: http://www.teamxscript.org/Upload.php Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Pentium(R) Dual-Core CPU E6500 @ 2.93GHz CPU 2: Pentium(R) Dual-Core CPU E6500 @ 2.93GHz Microsoft Windows 7 Professionnel (6.1.7601 64-Bit) # Service Pack 1 Internet Explorer 9.0.8112.16421
Pare-feu Windows: Activé RAM -> 4095 Mo C:\ (%systemdrive%) -> Disque fixe # 82 Go (43 Go libre(s) - 53%) [] # NTFS D:\ -> Disque fixe # 32 Go (11 Go libre(s) - 34%) [Nouveau nom] # NTFS E:\ -> CD-ROM F:\ -> Disque fixe # 184 Go (153 Go libre(s) - 83%) [Nouveau nom] # NTFS
################## | Éléments infectieux |
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3044232652-1423508079-845372532-1000 Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3044232652-1423508079-845372532-1000 Supprimé! F:\$RECYCLE.BIN\S-1-5-21-3044232652-1423508079-845372532-1000
################## | Registre |
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\E
################## | Listing |
[25/06/2011 - 16:06:48 | SHD ] C:\$Recycle.Bin [09/04/2011 - 16:27:44 | N | 14441] C:\Ad-Report-CLEAN[1].txt [10/04/2011 - 15:36:54 | N | 8759] C:\Ad-Report-CLEAN[2].txt [07/05/2011 - 10:50:09 | N | 6646] C:\Ad-Report-CLEAN[3].txt [12/06/2011 - 17:23:50 | N | 9239] C:\Ad-Report-CLEAN[4].txt [15/06/2011 - 21:05:47 | N | 5830] C:\Ad-Report-CLEAN[5].txt [24/06/2011 - 07:02:05 | N | 5994] C:\Ad-Report-CLEAN[6].txt [09/04/2011 - 16:26:16 | N | 14230] C:\Ad-Report-SCAN[1].txt [10/04/2011 - 15:34:17 | N | 8685] C:\Ad-Report-SCAN[2].txt [06/05/2011 - 23:54:04 | N | 3121] C:\Ad-Report-SCAN[3].txt [07/05/2011 - 10:47:59 | N | 6672] C:\Ad-Report-SCAN[4].txt [12/06/2011 - 17:21:03 | N | 9461] C:\Ad-Report-SCAN[5].txt [15/06/2011 - 21:04:22 | N | 5799] C:\Ad-Report-SCAN[6].txt [19/06/2011 - 19:01:09 | N | 5818] C:\Ad-Report-SCAN[7].txt [24/06/2011 - 07:00:29 | N | 5883] C:\Ad-Report-SCAN[8].txt [11/03/2011 - 16:09:19 | D ] C:\AMD [04/06/2011 - 19:07:12 | D ] C:\ATI [12/06/2011 - 17:46:41 | D ] C:\Boot [20/11/2010 - 14:40:07 | RASH | 383786] C:\bootmgr [11/03/2011 - 15:54:32 | N | 8192] C:\BOOTSECT.BAK [14/07/2009 - 07:08:56 | SHD ] C:\Documents and Settings [20/05/2011 - 20:35:15 | D ] C:\Downloads [11/03/2011 - 16:04:25 | N | 204528] C:\grldr [25/06/2011 - 11:02:07 | ASH | 3220627456] C:\hiberfil.sys [28/05/2011 - 22:53:03 | D ] C:\iolo [10/04/2011 - 18:24:32 | D ] C:\MoTemp [12/03/2011 - 12:05:12 | RHD ] C:\MSOCache [25/06/2011 - 11:02:08 | ASH | 4294172672] C:\pagefile.sys [25/06/2011 - 11:01:29 | N | 13030] C:\PDOXUSRS.NET [14/07/2009 - 05:20:08 | D ] C:\PerfLogs [23/06/2011 - 21:45:43 | N | 512] C:\PhysicalDisk0_MBR.bin [12/06/2011 - 17:36:30 | D ] C:\Program Files [24/06/2011 - 07:29:39 | D ] C:\Program Files (x86) [17/06/2011 - 15:46:07 | HD ] C:\ProgramData [11/03/2011 - 16:02:28 | SHD ] C:\Recovery [25/04/2011 - 16:52:41 | D ] C:\rsit [24/06/2011 - 07:29:33 | SHD ] C:\System Volume Information [25/06/2011 - 16:07:05 | D ] C:\UsbFix [25/06/2011 - 16:06:35 | A | 3295] C:\UsbFix.txt [27/05/2011 - 22:05:25 | D ] C:\Users [25/06/2011 - 11:24:52 | D ] C:\Windows [25/06/2011 - 16:06:48 | SHD ] D:\$RECYCLE.BIN [02/04/2011 - 09:12:48 | N | 528] D:\MediaID.bin [12/06/2011 - 15:30:22 | SHD ] D:\System Volume Information [31/05/2011 - 22:00:37 | D ] D:\USER-PC [02/04/2011 - 09:15:01 | D ] D:\WindowsImageBackup [25/06/2011 - 16:06:48 | SHD ] F:\$RECYCLE.BIN [13/04/2011 - 20:22:23 | N | 1520] F:\Cabrel CD1 Double tour.PLS [07/05/2011 - 16:25:57 | N | 44558665] F:\Jumelle de Lynda Lemay.f4v [13/04/2011 - 21:38:31 | N | 35150025] F:\Jumelle de Lynda Lemay.mp4 [12/06/2011 - 15:31:38 | N | 528] F:\MediaID.bin [14/06/2011 - 22:10:39 | D ] F:\Sauvegarde OCSTER du vdi 27 mai 2011 [21/04/2011 - 20:27:05 | N | 13456333] F:\St. Germain - Rose Rouge (Taksu Remix - Rhadoo Edit) HD Audio.flv [12/06/2011 - 16:30:49 | SHD ] F:\System Volume Information [12/06/2011 - 15:32:03 | D ] F:\USER-PC
################## | Vaccin |
C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript) D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript) F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_USER-PC.zip http://www.teamxscript.org/Upload.php Merci de votre contribution.
################## | E.O.F |
_____________________________________________________________________
Modifié par Joekid33 le 25/06/2011 16:33 |
|
Posté le 25/06/2011 à 18:31 |
Nouvel astucien
| |
|
Posté le 25/06/2011 à 19:10 |
Astucien | |
|
Posté le 25/06/2011 à 19:40 |
| Bonjour Joekid, fredericx,
La case est décochée ?
Modifié par Morgane le 25/06/2011 19:42 |
|
Posté le 25/06/2011 à 21:05 |
Astucien |
Oui, Morgane, décoché par défaut ! Relancé fini en 0 seconde !!!
J'ai trouvé le pbl -- bloqué par le pare-feu W7 firewal Control - pas eu de msg au 1er essai
mais là oui - le scan tourne - Antivir désactivé - je reviens quand c'est fini
A de suite !
|
|
Posté le 25/06/2011 à 22:07 |
Astucien | toujours en cours de scan ! 54 % -
1 menace découverte ! --Win32 Adware ADON -
à suivre !
|
|
Posté le 26/06/2011 à 00:13 |
Astucien |
Terminé à 0 h 02 ! - Impossible de mettre la main sur le fichier texte !
|
|
Posté le 26/06/2011 à 10:05 |
Nouvel astucien
| Joekid33 a écrit :
> Impossible de mettre la main sur le fichier texte !
Bonjour,
> C:\Program Files\ESET Online Scanner\log.txt ou C:\Program Files (x86) \ESET Online Scanner\log.txt
A+
|
|
Posté le 26/06/2011 à 10:44 |
Astucien | fredericx,
Oui bien vu le tuto de Morgane, mais pas de rapport - J'ai relancé la manip Eset ce matin,
toujours pas de rapport sur les .txt - J'ai juste ce rapport :
C:\Users\user\Downloads\Unlocker1.9.1.exe Win32/Adware.ADON application
soit la capture suivante - le programme est tjrs ouvert ...
merci - à suivre |
|
Posté le 26/06/2011 à 11:00 |
Nouvel astucien
| Joekid33 a écrit :
> C:\Users\user\Downloads\Unlocker1.9.1.exe Win32/Adware.ADON application
Re,
> C' est certainement un faux-positif.
1) Télécharge : CCleaner : Ici Lance-le puis clique sur Options>Avancé et décoche Effacer uniquement les fichiers Temp de Windows datant de plus de 24 heures. Ferme le programme.
2) Lance CCleaner : Dans le menu Nettoyeur, clique sur Analyse (laisse-le travailler) puis sur le bouton Lancer le nettoyage. Fais cela plusieurs fois.
|
|
Posté le 26/06/2011 à 11:22 |
Astucien |
Ok fait pour Ccleaner que je possède bien évidemment - ok,lancé 4 fois ... très rapide chez moi !
Voilà, je pense que c'est fini - merci à toi et à Morgane pour votre aide
Bon Dimanche
|
|
Posté le 26/06/2011 à 13:19 |
Nouvel astucien
| Si tout est ok :
- Je te conseille de défragmenter ton Pc.
- Tu peux supprimer ceux que nous avons utilisés (RSIT, UsbFix...) traitant d' infections spécifiques.
----------------------------------------------------------------------------------------------
Maintenant que ta machine n' est plus infectée, désactive/réactive la Restauration du système : http://www.infos-du-net.com/forum/297053-11-tuto-desactiver-activer-restauration-systeme
----------------------------------------------------------------------------------------------
Pour la Sécurité de ton Pc, prends quelques minutes pour lire : Prévention et protection - Comment vous prémunir
----------------------------------------------------------------------------------------------
Dénonce stv ton infection en postant sur Malware-Complaints :
- Règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5 - Enregistre-toi à l' aide du bouton Register - Choisis I Agree to these terms and am over or exactly 13 years of age
Indique aussi le nom du forum qui t' a aidé
Ps : Bon dimanche également
|
|
Posté le 26/06/2011 à 14:13 |
Astucien | fredericx - ok
- défragm. en cours
- logiciels à jour :
rest/ arrêt/reprise
logs de contrôles supprimés usbfix, rsit, eset
reste dernière action que je n'ai pas faite, je verrai + tard si d'autres infections
encore merci
Modifié par Joekid33 le 26/06/2011 14:17 |
|