Sujet Précédent Sujet Suivant

Kaspersky 2009 et une alerte un peu etrange..

Fermé
kirikou - 19 févr. 2009 à 00:39
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 - 20 févr. 2009 à 11:19
Bonjour a tous!

J'utilise kaspersky 2009 sur mon winXP SP3 tout nouvellement installé.
J'utilise en plus la derniere version d'un firewall de processus appelé processguard, la version 3.5, donc.

Je sort a peine de formatage, pourtant, kaspersky me signale une activite suspecte, un enregistreur de frappe. Le pire, c'est que je ne peut que l'autoriser, je n'ai pas l'option de la bloquer. Il ne signale pas non plus quel fichier est detecter, aucune info de ce type la... .

J'suis etonner de constater une infection, vu l'apparente claretée de mes processus, et qu'aucune alerte n'a ete donner pendant mon surf, par exemple. C'est en fait depuis le jour ou j'ai passer processguard en version full que j'ai cette alerte. Pourtant, tout mes fichiers semblent saints, ce que confirme un scan complet en mode sans echec, et une analyse de securitée faite avec la defense proactive.

Bien sur, si je coupe et ferme les processus de processguard, ou si j'annule les options supplémentaires de securité que permet le mode full afin de revenir aux conditions de securitée d'avant mes alertes, sa ne change rien : quoi que je fasse, si j'autorise l'action, la question m'ait immediatement reposée une deuxieme fois, et ensuite, je suis tranquille, disons en gros peut etre 1mn, puis la question revient, et c'est comme sa tout le temps.

google et votre forum m'ont appris que c'etait peut etre des faux postifs a cause des drivers mon clavier logitech (dont je n'ai PAS installer les pilotes), ou de ma carte graphique ATI (dont j'ai desinstaller le catalyst control center). Sauf que toute les autres personnes qui rencontre ce probleme peuvent au moins connaitre le fichier incriminé.. . J'me suis pris la tete avec ce probleme dans tout les sens, et j'ai pas reussit a trouver d'ou vient mon alerte, alors j'ai penser que peut etre, vous pourriez me donner une idée ou une piste... .

J'aimerais eviter de reformater encore, pour avoir peut etre le meme resultat au final, vu que je n'en comprend pas la cause, et en plus, j'suis bientot en stage, et j'aurais besoin d'une bonne machine pour mon taff, donc pas beaucoup de temps pour formater a repetition, pis j'aimerais que ma machine fonctionne bien avant mon stage, pour etre tranquille... .

J'serais etonner d'une vrai infection, j'pense a un faux positif, mais j'vois vraiment pas ce qui pourrait faire sa... .

J'vous donne mon log d'hijackthis, qui me parait niquel, mais bon, j'ai p'tet laisser passer quelque chose que vosu allez reperer :).

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:37, on 18/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\dslagent.exe
C:\Program Files\ProcessGuard\pgaccount.exe
C:\Windows\lclock.exe
C:\Program Files\ProcessGuard\procguard.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\hijackthis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [!1_pgaccount] "C:\Program Files\ProcessGuard\pgaccount.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [LClock] C:\Windows\lclock.exe
O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "C:\Program Files\ProcessGuard\procguard.exe" -minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [WinXP_SP3] %systemroot%\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [WinXP_SP3] %systemroot%\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WinXP_SP3] %systemroot%\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WinXP_SP3] %systemroot%\end.cmd (User 'Default user')
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02B3F7D5-E6AF-409F-93F8-BE0087E5CE97}: NameServer = 80.10.246.130 81.253.149.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{02B3F7D5-E6AF-409F-93F8-BE0087E5CE97}: NameServer = 80.10.246.130 81.253.149.10
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: DiamondCS ProcessGuard Service v3.500 (DCSPGSRV) - DiamondCS - C:\Program Files\ProcessGuard\dcsuserprot.exe
A voir également:

6 réponses

Réponse 1 / 6
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
19 févr. 2009 à 01:11
Bonsoir,

tu as cracké ton pare feu ou tu as acheté une licence ??
0
kirikou
19 févr. 2009 à 10:55
c'est pas vraimemt un parefeu comme on en parle la pluspart du temps, il ne controle pas l'activitee reseau, mais le demarrage des processus.

sinon, pour te repondre, j'vois se que tu veut dire, mais j'ai pas recut de virus en crackant un programme, pas de soucis de ce cote la, mon firewall de processus est clean, j'ai pas mis de clef illegale. :).

(en plus si javais recu un virus d'une facon ou d'une autre, on le verrait ds le log d'hijackthism non?)
0
Réponse 2 / 6
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
19 févr. 2009 à 16:53
Bonjour,

alors ce logiciel est peut être concidéré comme un keylogger pour Kaspersky...

citation : "en plus si javais recu un virus d'une facon ou d'une autre, on le verrait ds le log d'hijackthism non?"

Non pas forcément... Tous les virus ne se voient pas dans un rapport hijackthis...

▶ Télécharge malwarebyte's anti-malware

▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

▶ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

▶ Lance une analyse complète en cliquant sur "Exécuter un examen complet"

▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

▶ L'analyse peut durer un bon moment.....

▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
0
kirikou
19 févr. 2009 à 21:01
comment un virus peut echapper a hijackthis ? en s'injectant dans un autre process ?

Pour processguard, si c'est bien lui qui est detecter, pourquoi le probleme persiste quand je le ferme dans le systray, et que je ferme tout ses processus ?

le programme dont tu me parle est t il meilleur que adaware et spybot ?

enfin, toujours est il, voici son log :

Malwarebytes' Anti-Malware 1.20
Version de la base de données: 941
Windows 5.1.2600 Service Pack 3

21:36:31 19/02/2009
mbam-log-2-19-2009 (21-35-44).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 48431
Temps écoulé: 6 minute(s), 17 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Juste une clef registre trouvée, mais d'apres mes recherches sur le net, sa peut etre considerer comme un faux positif, c'est pour sa que je ne l'ai pas encore supprimer.. . Je le ferais si tu me le conseille.

Quelle est la prochaine etape ? J'avais penser tenter la desinstallation de processguard? Seulement, vu que meme quand je le ferme totalement, sa ne change rien, j'm'attend pas a un miracle... . (et la derniere version de kaspersky serait si puissante? j'ai eu pendant des annees l'ancien kaspersky, et l'ancien processguard, et j'ai jamais eu un probleme de ce genre).

@+
0
kirikou
19 févr. 2009 à 21:01
ah oui, au fait, merci de ton aide!... .
0
Réponse 3 / 6
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
19 févr. 2009 à 21:15
Re,

Tu n'as pas fais la mise à jour de Malwarebytes... Nous sommes à la version 1.34.

Il faut que tu fasses la mise à jour et relancer une analyse complète.

Aide toi de mon tuto pour supprimer correctement ce qu'il aura trouvé, tu n'avais pas supprimé lors de cette analyse.
0
kirikou
19 févr. 2009 à 21:41
oui comme je t'es dit, je pensais a un faux positif, c'est pour sa que j'avais pas supprimer.

je vais refaire la meme chose avec l'installation et la mise a jour (j'avais penser que la version portable suffirait).

(juste une precision, j'ai declarer le repertoire d'installation de processguard dans les exclusions de kaspersky, et sa n'a rien changer au probleme).

voila le log :

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1779
Windows 5.1.2600 Service Pack 3

19/02/2009 22:20:54
mbam-log-2009-02-19 (22-20-54).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 73330
Temps écoulé: 7 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


il m'a demander de redemarrer, alors, je reviens dans 2 minutes ;).

@+
0
kirikou
19 févr. 2009 à 21:51
j'avais desactiver processguard pendant cette analyse, je vien de redemarrer comme le demander malwarebyte, et j'ai cru que j'etais debarasser du probleme, car la fenetre n'etait pas la au reboot, mais elle est reapparue, et ce avant que je ne reactive processguard... .

Donc le probleme est tjrs la, malgres le fait que j'ai corriger le deux problemes signalés dans malwarebytes!

Si tu as d'autres idées, je suis preneur... .

@+
0
Réponse 4 / 6
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
19 févr. 2009 à 22:02
Ok... Vas vider la quarantaine de Malwarebytes et ensuite fais ceci stp :

▶ Télécharge Rooter (créé par l'équipe IDN) sur ton bureau.

/!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\

▶ Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc note

▶ Ensuite poste le rapport dans ta prochaine réponse
0
kirikou
19 févr. 2009 à 22:16
y avait que dalle dans la quarantaine de malwarebyte (ce soft est il vraiment meilleur que les derniers adaware et spybot, deux logiciels que j'avait l'habitude d'utiliser parralelement jusqu'ici? )

j'ai tout fermer et suivit tes instructions pour le programme "rooter". (qui est senser faire quoi exactement au juste ?)

Voila le resultat :

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : BIOS Date: 10/26/04 17:00:58 Ver: 08.00.09
USER : david ( Administrator )
BOOT : Normal boot




A:\ (USB)
C:\ (Local Disk) - NTFS - Total:19 Go (Free:16 Go)
D:\ (Local Disk) - NTFS - Total:39 Go (Free:38 Go)
E:\ (Local Disk) - NTFS - Total:54 Go (Free:54 Go)
F:\ (Local Disk) - NTFS - Total:76 Go (Free:75 Go)
G:\ (CD or DVD)
H:\ (CD or DVD)

19/02/2009|22:47

----------------------\\ Search..

----------------------\\ Cracks & Keygens..

C:\DOCUME~1\david\Local Settings\Temporary Internet Files\Content.IE5\2MQA637J\crack_danger2[1].jpg
C:\DOCUME~1\david\Local Settings\Temporary Internet Files\Content.IE5\2MQA637J\crack_danger3[1].jpg
C:\DOCUME~1\david\Local Settings\Temporary Internet Files\Content.IE5\2MQA637J\crack_danger4[1].jpg
C:\DOCUME~1\david\Local Settings\Temporary Internet Files\Content.IE5\YMCSFG5K\crack_danger0[1].jpg
C:\DOCUME~1\david\Local Settings\Temporary Internet Files\Content.IE5\YMCSFG5K\crack_danger[1].jpg


1 - "C:\Rooter$\Rooter_1.txt" - 19/02/2009|22:47


Vu le log, je suppose que c'est pas la peine de preciser que mon probleme est tjrs la... .

En attendant une suite, et j'espere, une fin a mon soucis, je te remercie du temps passé a me conseiller.

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
19 févr. 2009 à 22:24
Malwarebytes est à complèter avec tes autres logiciels ;-)

Je te conseille plutot de désinstaller ton logiciel qui te pose problème et de télécharger un vrai pare feu... Il y a plusieurs gratuits qui sont très performants.. Qu'en penses-tu ??
0
kirikou
20 févr. 2009 à 00:57
3 antispy, sa fait pas un peu bcp, sur la machine ?
j'sais bien qu'il faudra pas laisser les surveillances en temps reel des trois programmes, mais j'parle, pour mettre les trois sur l'ordi, c'est pas un peu surcharger ? (d'ailleurs, lequel tu conseille de laisser tourner en surveillance de fond ?)

Pour en revenir a mon probleme, le truc, c'est que j'suis pas sur que ce soit ce programme qui pose probleme : quand il est desactiver, sa ne change rien a mon probleme, et quand je met son repoertoire d'installation dans les exclusions de kaspersky, sa continue aussi... .
Mais bon, j'essayerais de le desinstaller, juste pour voir si c'est sa, quoi... . Pis si c'est le cas, j'sais pas, demander conseil sur le forum de la boite qui a sortit ce tool, ou peut etre sur celui de kaspersky (?)
Pis si c'est pas sa, ben... . c'est la merde! lol J'sais pas se que je pourrais faire a part un formatage... . Tu vois pas autre chose non plus ?

Mais sinon, sa n'a rien a voir avec un pare feu au sens ou tu l'entend : c'est juste un programme qui bloque toute sorte d'installations automatiques, des modifications du systeme, et le lancement de tout programme que tu n'a pas d'abord autoriser... . On peut voir sa comme un complement aux antispy et aux antivirus.

Le parefeu, lui, surveille l'activitée reseau, y a pas vraiment de liens quoi.. . (bon, l'activitee reseau depend de ce qui est lancer sur l'ordi, si on voit loin, c'est sur). :).

D'ailleurs, en parefeu, tu conseille quoi ? J'utilisais looknstop, qui m'a proteger efficacement pendant des années, mais vu que sa derniere version remonte a des années, et que les menaces ont evoluées depuis, j'sais pas si il est encore d'actualitée grace a ses regle parametrables, ou si y en a d'autres qui sont meilleurs, depuis... . (j'ai deja vu des comparatifs sur le net, mais ils se contredisent tous entre eux).
0
Réponse 6 / 6
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
20 févr. 2009 à 11:19
Bonjour,

non ce n'est pas grave... Tant que les résidents ne sont pas actifs, aucun danger ;-)

Comme tu as Kaspersky 2009, il ne faut pas activer d'autres résidents, il fait très bien son boulot tout seul.

Comme pares-feu il y a Kerio et Zone Alarm qui sont très bon... Téléchargeables sur mon site web :

https://www.androidworld.fr/

0

Discussions similaires

télécharger et installer encarta junior
98653773 -
1 -

3 réponses
aidez moi probleme steam
FalconFive -
ToxicHayabusa -

9 réponses
Télécharger le logiciel Encarta gratuit 2015 version française.
Rémy M. SAKI -
medab -

13 réponses
Message : votre iPhone a été piraté. Que faire ?
Paqi5241 -
LeRoiBerny -

12 réponses
Telecharger encarta junior 2015 Gratuit en Francais
Chairman -
Weuz -

2 réponses