Sujet Précédent Sujet Suivant

Malware Tool-Prockill ou faux positif ?

Résolu/Fermé
CactusFlower - Modifié par CactusFlower le 19/08/2010 à 19:28
 CactusFlower - 20 août 2010 à 02:07
Bonjour,


J'ai fait un scan approfondi avec le firewall çà la recherche de logiciels espions.

J'obtiens ce résultat :

Nom: Tool-Prockill
Type: Malware

Description:
Does not threaten computers directly, but can be used to create viruses or Trojans, or to carry out illegal activities such as DoS attacks and breaking into other computers.

Fichiers:
c:\System Volume Information\_restore{5DC9F00C-DD59-426F-81CA-05114EA1E330}\RP296\A0082182.exe

Antivir n'a pas bronché.


or d'après ce que j'ai pu lire sur le net, ça pourrait être un faux positif ...J'aimerais que ce soit vrai. A moins que ce soit quelque chose qui ait persisté après mon dernier problème (https://forums.commentcamarche.net/forum/affich-18849891-infection-search-settings



J'ai fait un premier scan avec Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:26:55, on 19/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
c:\program files\avira\antivir desktop\avcenter.exe
C:\Documents and Settings\ERIC\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: agcore.AGUtils - {0bc6e3fa-78ef-4886-842c-5a1258c4455a} - mscoree.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Webshots Toolbar - {C17590D2-ECB4-4b15-8820-F58798DCC118} - C:\Program Files\Webshots\3.1.5.7613\WSToolbar4IE.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\IEPro\IEProRecorder.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [OutpostMonitor] "C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" /tray /noservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Webshots Photo Search - res://C:\Program Files\Webshots\3.1.5.7613\WSToolbar4IE.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Add to AMV/AVI Video Converter... - C:\Program Files\MP3 Player Utilities 4.21\AMVConverter\grab.html
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{78885D41-106E-4A27-9F1D-CD4E071A17F0}: NameServer = 213.36.80.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
A voir également:

28 réponses

Précédent
  • 1
  • 2
Réponse 21 / 28
Utilisateur anonyme
20 août 2010 à 00:01
Double-clique sur l'icône Usbfix située sur ton Bureau.
- Sur la page, clique sur le bouton :

Vacciner

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
le rapport se trouve sur C:\ UsbFix.txt

un lien alternatif est en cours de créeation.


@++
0
Réponse 22 / 28
CactusFlower
20 août 2010 à 00:11
voilà le deuxième rapport d'USBFix après vaccination

############################## | UsbFix 7.020 | [Listing]

Utilisateur: ERIC (Administrateur) # COSTE [ ]
Mis à jour le 12/08/10 par El Desaparecido / C_XX
Lancé à 00:10:26 | 20/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Processor model unknown
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
Firewall: Outpost Firewall Pro 7.0 [Enabled]
RAM -> 1023 Mo
C:\ (%systemdrive%) -> Disque fixe # 149 Go (130 Go libre(s) - 87%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (395 Mo libre(s) - 21%) [UDISK] # FAT

################## | Listing |

[17/10/2009 - 13:31:54 | D ] C:\06abb89f0e18b1ab4d9b284c404b71
[11/06/2010 - 17:54:23 | D ] C:\5c54ac1533e3207e2f459f5afc
[16/08/2010 - 00:22:20 | A | 5682] C:\Ad-Report-CLEAN[1].txt
[15/08/2010 - 23:58:39 | A | 5257] C:\Ad-Report-SCAN[1].txt
[16/08/2010 - 02:06:51 | A | 4] C:\AUTOEXEC.BAT
[20/08/2010 - 00:10:21 | RASHD ] C:\Autorun.inf
[14/11/2009 - 20:35:05 | A | 56663] C:\beret_MCI_58.pdf
[31/10/2009 - 15:50:31 | A | 228] C:\Boot.bak
[19/08/2010 - 20:32:16 | RASH | 298] C:\boot.ini
[02/03/2006 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
[19/08/2010 - 20:32:16 | RASHD ] C:\cmdcons
[03/08/2004 - 23:00:08 | A | 263488] C:\cmldr
[10/04/2008 - 17:24:17 | A | 0] C:\CONFIG.SYS
[14/11/2009 - 19:09:58 | D ] C:\CtDriverInstTemp
[14/11/2009 - 19:09:55 | D ] C:\CWebCam
[14/11/2009 - 20:34:06 | A | 4841] C:\diamond.jpg
[10/04/2008 - 17:27:43 | D ] C:\Documents and Settings
[22/03/2010 - 08:22:58 | D ] C:\downloads
[18/08/2010 - 18:34:04 | A | 0] C:\except.log
[01/11/2009 - 18:24:26 | A | 3268] C:\index.html
[10/04/2008 - 17:24:17 | RASH | 0] C:\IO.SYS
[22/07/2010 - 19:02:27 | A | 5541] C:\JavaRa.log
[16/08/2010 - 01:40:12 | D ] C:\Kill'em
[10/04/2008 - 17:36:02 | A | 195] C:\LAN.log
[16/08/2010 - 01:18:57 | A | 31922] C:\List'em.txt
[18/08/2010 - 18:36:12 | A | 628] C:\log.log
[10/04/2008 - 17:24:17 | RASH | 0] C:\MSDOS.SYS
[02/03/2006 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
[17/10/2009 - 11:13:54 | RASH | 252240] C:\ntldr
[10/04/2008 - 18:13:07 | D ] C:\NVIDIA
[19/08/2010 - 23:07:27 | ASH | 1610612736] C:\pagefile.sys
[02/06/2010 - 21:42:41 | D ] C:\PMAIL
[19/08/2010 - 21:51:09 | RD ] C:\Program Files
[17/10/2009 - 12:55:33 | A | 1352] C:\PureRa.txt
[19/08/2010 - 23:29:07 | SHD ] C:\RECYCLER
[26/10/2009 - 17:50:43 | A | 836] C:\resolve.log
[10/04/2008 - 17:34:36 | A | 499] C:\RHDSetup.log
[18/08/2010 - 18:31:10 | D ] C:\SIERRA
[14/11/2009 - 20:39:43 | A | 519616] C:\stream001.mov
[19/08/2010 - 23:16:57 | SHD ] C:\System Volume Information
[19/08/2010 - 23:29:20 | D ] C:\UsbFix
[20/08/2010 - 00:10:26 | A | 2873] C:\UsbFix.txt
[19/08/2010 - 23:29:20 | A | 27086] C:\UsbFix_Upload_Me_COSTE.zip
[26/10/2009 - 11:03:44 | D ] C:\VQ
[19/08/2010 - 23:08:18 | D ] C:\WINDOWS
[19/08/2010 - 21:36:30 | A | 6434] C:\ZHPExportRegistry-19-08-2010-21-36-29.txt
[16/08/2010 - 18:36:28 | D ] E:\nettoyeurs
[14/06/2010 - 13:56:18 | D ] E:\Fichiers tricot
[14/06/2010 - 13:58:50 | D ] E:\Exe
[23/06/2010 - 14:00:46 | A | 136] E:\adresse_flash_player_exe.txt
[28/06/2010 - 10:37:20 | A | 352858] E:\ie_tab_plus-1.92.20100607-fx+sm.xpi
[03/07/2010 - 11:32:16 | D ] E:\collection
[12/07/2010 - 09:31:42 | A | 18951] E:\codes_fortissimots_006.pdf
[20/08/2010 - 00:10:24 | RASHD ] E:\Autorun.inf
[15/07/2010 - 12:06:44 | A | 16066336] E:\jre-6u21-windows-i586.exe
[21/07/2010 - 16:34:54 | A | 27565744] E:\adobe-reader-acrobat_adobe_reader_acrobat_9.3_francais_13628.exe
[26/06/2009 - 11:12:34 | D ] E:\Divers
[13/08/2009 - 14:04:14 | RD ] E:\photos
[25/09/2009 - 16:14:46 | D ] E:\CM1
[21/10/2009 - 12:06:30 | D ] E:\FEBE
[03/02/2010 - 15:33:00 | A | 1616] E:\BOOTEX.LOG
[14/06/2010 - 13:56:02 | D ] E:\Musique

################## | E.O.F |
0
Réponse 23 / 28
Utilisateur anonyme
20 août 2010 à 00:25
Télécharge RSIT (de random/random) sur le bureau :

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur "Continue" dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse .
- Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/
et colle le lien généré.
Les rapports sont dans le dossier ici C:\rsit
a+
0
Réponse 24 / 28
CactusFlower
20 août 2010 à 00:31
Voici les deux rapports de RSIT

info.txt http://www.cijoint.fr/cjlink.php?file=cj201008/cijWDdSIAy.txt

et log.txt http://www.cijoint.fr/cjlink.php?file=cj201008/cijDE2HXGk.txt

J'espère qu'on va voir la fin de ces soucis...

Merci pour ta patience
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 28
Utilisateur anonyme
20 août 2010 à 00:56
Vu...

Toujours des soucis?
0
Réponse 26 / 28
CactusFlower
20 août 2010 à 01:03
Non, ça a l'air d'être résolu.

Une dernière question : pour les outils utilisés qui restent, ZHPDiag, UsbFix et RSIT, y-a-t-il un mode particulier de désinstallation ?

Je te remercie encore pour ton aide.
0
Réponse 27 / 28
Utilisateur anonyme
Modifié par archet9 le 20/08/2010 à 01:11
Non..

http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/


---> Changes le statut de ce topic :
et mets le en "résolu"
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/
0
Réponse 28 / 28
CactusFlower
20 août 2010 à 02:07
Bonsoir archet9,

peux-tu mettre ce topic en résolu, j'ai vidé les cookies et je n'ai plus l'option "Marquer comme résolu".

Merci.
0

Discussions similaires

Comment supprimer tor.jack sur Android
sabinelouisonbruno -
akaloupile -

4 réponses
distinguer positif du négatif
anossi -
anossi -

2 réponses
Service Tool Canon V3400
Arno -
Mi -

1 réponse
Win64:Malware-gen
ptb35 -
MisteryBean -

3 réponses
Fil blanc = +?
Ga60 -
baladur13 -

2 réponses