Espion commercial

vcorinne Messages postés 14 Date d'inscription   Statut Membre Dernière intervention   -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

j'ai trouvé killproc.exe sur ma partition D:. Apparemment c'est un espion commercial.

Comment m'en débarrasser?

Merci

22 réponses

  • 1
  • 2
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt
    analyse le fichier sur virus total pour voir ce que c'est et colle nous le rapport
    https://www.virustotal.com/gui/

    puis

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    (outil de diagnostic)

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
    0
  2. vcorinne Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    Analyse de VirusTotal:

    File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
    MD5: 5ae4c2318749c187b188e6d9384053bc
    Date first seen: 2010-03-11 15:42:26 (UTC)
    Date last seen: 2010-03-11 15:42:26 (UTC)
    Detection ratio: 0/42

    0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
    File name:
    6E80BD9000F9F375D079045B180B630093B94F4D.exe
    Submission date:
    2010-03-11 15:42:26 (UTC)
    Current status:
    finished
    Result:
    0 /42 (0.0%)

    VT Community

    not reviewed
    Safety score: -
    Compact
    Print results
    Antivirus Version Last Update Result
    a-squared 4.5.0.50 2010.03.11 -
    AhnLab-V3 5.0.0.2 2010.03.11 -
    AntiVir 8.2.1.180 2010.03.11 -
    Antiy-AVL 2.0.3.7 2010.03.11 -
    Authentium 5.2.0.5 2010.03.11 -
    Avast 4.8.1351.0 2010.03.10 -
    Avast5 5.0.332.0 2010.03.10 -
    AVG 9.0.0.787 2010.03.11 -
    BitDefender 7.2 2010.03.11 -
    CAT-QuickHeal 10.00 2010.03.11 -
    ClamAV 0.96.0.0-git 2010.03.11 -
    Comodo 4225 2010.03.11 -
    DrWeb 5.0.1.12222 2010.03.11 -
    eSafe 7.0.17.0 2010.03.10 -
    eTrust-Vet 35.2.7354 2010.03.11 -
    F-Prot 4.5.1.85 2010.03.11 -
    F-Secure 9.0.15370.0 2010.03.11 -
    Fortinet 4.0.14.0 2010.03.09 -
    GData 19 2010.03.11 -
    Ikarus T3.1.1.80.0 2010.03.11 -
    Jiangmin 13.0.900 2010.03.11 -
    K7AntiVirus 7.10.994 2010.03.10 -
    Kaspersky 7.0.0.125 2010.03.11 -
    McAfee 5916 2010.03.10 -
    McAfee+Artemis 5916 2010.03.10 -
    McAfee-GW-Edition 6.8.5 2010.03.11 -
    Microsoft 1.5502 2010.03.11 -
    NOD32 4935 2010.03.11 -
    Norman 6.04.08 2010.03.11 -
    nProtect 2009.1.8.0 2010.03.11 -
    Panda 10.0.2.2 2010.03.10 -
    PCTools 7.0.3.5 2010.03.11 -
    Prevx 3.0 2010.03.11 -
    Rising 22.38.03.04 2010.03.11 -
    Sophos 4.51.0 2010.03.11 -
    Sunbelt 5823 2010.03.11 -
    Symantec 20091.2.0.41 2010.03.11 -
    TheHacker 6.5.2.0.230 2010.03.11 -
    TrendMicro 9.120.0.1004 2010.03.11 -
    VBA32 3.12.12.2 2010.03.11 -
    ViRobot 2010.3.11.2222 2010.03.11 -
    VirusBuster 5.0.27.0 2010.03.11 -
    Additional information
    MD5 : 5ae4c2318749c187b188e6d9384053bc
    SHA1 : 2c907f0b101ccee6c5a783051686d96fc3e2d6ae
    SHA256: 4dcf5294a4661cc4012e1daf126bb693aee7e0fcdeabd17a50903d4e12d6387b
    ssdeep: 6144:v5/bVKXUiNG0tzuJ+npplEExJlj/eMdFw/EP9:vfiNfpuJ+nb3KMdMEP9
    File size : 315392 bytes
    First seen: 2010-03-11 15:42:26
    Last seen : 2010-03-11 15:42:26
    Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
    TrID:
    Win32 Executable MS Visual C++ (generic) (65.2%)
    Win32 Executable Generic (14.7%)
    Win32 Dynamic Link Library (generic) (13.1%)
    Generic Win/DOS Executable (3.4%)
    DOS Executable Generic (3.4%)
    sigcheck:
    publisher....: n/a
    copyright....: Copyright (C) 2006-2007
    product......: n/a
    description..: Kill Running Process
    original name: KillProc.exe
    internal name: KillProc.exe
    file version.: 1.0.0.5
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    PEiD: -
    PEInfo: PE structure information

    [[ basic data ]]
    entrypointaddress: 0x1E832
    timedatestamp....: 0x4A793F11 (Wed Aug 05 08:13:05 2009)
    machinetype......: 0x14C (Intel I386)

    [[ 4 section(s) ]]
    name, viradd, virsiz, rawdsiz, ntropy, md5
    .text, 0x1000, 0x31E63, 0x32000, 6.65, 53686aa2915b76b25233aa59a10d4ee3
    .rdata, 0x33000, 0xC258, 0xD000, 4.79, 48cb8eaab978e5260e75f766243dfcb7
    .data, 0x40000, 0x64D4, 0x3000, 3.82, 133bb8c217e9a93c6bd61f10d5b96dc0
    .rsrc, 0x47000, 0x96C4, 0xA000, 5.55, 743a0338e39d09ceb8b48587bf98e8bf

    [[ 11 import(s) ]]
    advapi32.dll: RegOpenKeyExA, RegSetValueExA, RegCreateKeyExA, RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, OpenThreadToken, RegQueryValueExA, RegOpenKeyA, RegCloseKey, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken
    comctl32.dll: InitCommonControlsEx
    comdlg32.dll: GetFileTitleA
    gdi32.dll: GetStockObject, GetTextColor, CreateRectRgnIndirect, GetRgnBox, GetMapMode, ExtSelectClipRgn, DeleteDC, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, RectVisible, ExtTextOutA, GetBkColor, GetDeviceCaps, PtVisible, GetWindowExtEx, GetViewportExtEx, DeleteObject, SetMapMode, RestoreDC, SaveDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap, TextOutA
    kernel32.dll: HeapFree, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, HeapAlloc, HeapReAlloc, GetCommandLineA, GetProcessHeap, GetStartupInfoA, RtlUnwind, RaiseException, ExitProcess, HeapSize, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, Sleep, GetACP, IsValidCodePage, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, GetTickCount, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetSystemTimeAsFileTime, GetStringTypeA, GetStringTypeW, GetTimeZoneInformation, GetConsoleCP, GetConsoleMode, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetEnvironmentVariableA, GetFileTime, GetFileAttributesA, FileTimeToLocalFileTime, SetErrorMode, GetOEMCP, GetCPInfo, CreateFileA, GetFullPathNameA, GetVolumeInformationA, FindFirstFileA, FindClose, DuplicateHandle, GetFileSize, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GlobalFlags, WritePrivateProfileStringA, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, InterlockedIncrement, FileTimeToSystemTime, GetThreadLocale, InterlockedDecrement, GetModuleFileNameW, GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, GetVersionExA, FreeResource, GetCurrentProcessId, GlobalAddAtomA, GlobalDeleteAtom, GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, LoadLibraryA, lstrcmpA, FreeLibrary, GetModuleHandleA, GetProcAddress, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, MulDiv, InterlockedExchange, CompareStringA, MultiByteToWideChar, GetVersion, CompareStringW, lstrlenA, FindResourceA, LoadResource, LockResource, SizeofResource, WideCharToMultiByte, Process32Next, TerminateProcess, OpenProcess, Process32First, CreateToolhelp32Snapshot, SetLastError, CloseHandle, GetCurrentProcess, GetLastError, GetCurrentThread, lstrcmpiA
    ole32.dll: CoRevokeClassObject, OleInitialize, CoFreeUnusedLibraries, OleUninitialize, CreateILockBytesOnHGlobal, StgCreateDocfileOnILockBytes, StgOpenStorageOnILockBytes, CoGetClassObject, OleIsCurrentClipboard, CLSIDFromProgID, CoTaskMemAlloc, CoTaskMemFree, OleFlushClipboard, CoRegisterMessageFilter, CLSIDFromString
    oleaut32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -
    oledlg.dll: -
    shlwapi.dll: PathFindFileNameA, PathStripToRootA, PathFindExtensionA, PathIsUNCA
    user32.dll: RegisterClipboardFormatA, PostThreadMessageA, SetRect, IsRectEmpty, CopyAcceleratorTableA, CharNextA, ReleaseCapture, SetCapture, LoadCursorA, GetSysColorBrush, DestroyMenu, ShowWindow, MoveWindow, SetWindowTextA, IsDialogMessageA, GetDesktopWindow, CreateDialogIndirectParamA, GetNextDlgTabItem, EndDialog, EndPaint, BeginPaint, GetWindowDC, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, RegisterWindowMessageA, SendDlgItemMessageA, IsChild, GetCapture, GetClassLongA, GetClassNameA, SetPropA, RemovePropA, IsWindow, SetFocus, GetWindowTextA, GetForegroundWindow, SetActiveWindow, GetDlgItem, GetTopWindow, DestroyWindow, UnhookWindowsHookEx, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, GetSysColor, AdjustWindowRectEx, EqualRect, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, IsIconic, SendMessageA, GetSystemMetrics, GetClientRect, CallWindowProcA, SetWindowLongA, OffsetRect, IntersectRect, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow, SetWindowContextHelpId, MapDialogRect, SetWindowPos, GetWindowThreadProcessId, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, MessageBoxA, UnregisterClassA, SetCursor, SetWindowsHookExA, MessageBeep, GetNextDlgGroupItem, InvalidateRgn, GetPropA, InvalidateRect, EnableWindow, LoadIconA, CharUpperA, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, PostQuitMessage, PostMessageA, CheckMenuItem, EnableMenuItem, ModifyMenuA, GetParent, GetFocus, LoadBitmapA, GetMenuCheckMarkDimensions, SetMenuItemBitmaps, ValidateRect, GetCursorPos, PeekMessageA, GetKeyState, IsWindowVisible, GetActiveWindow, DispatchMessageA, TranslateMessage, GetMessageA, CallNextHookEx, WinHelpA
    winspool.drv: DocumentPropertiesA, ClosePrinter, OpenPrinterA
    0
  3. vcorinne Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    voila le lien apres scan:

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijJLNdbId.txt
    0
  4. vcorinne Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    mauvais lien. En fait le programm plante et fait planter mon ordi à chaque scan. Y a pas une autre solution?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Télécharge ici :OTL
    http://www.itxassociates.com/OT-Tools/OTL.exe
    ? enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur OTL.exe pour le lancer.

    ? Coche les 2 cases Lop et Purity

    ? Coche la case devant tous les utilisateurs

    ? règle age du fichier sur "60 jours"

    ? dans la moitié gauche , mets tout sur "tous"

    ne modifie pas ceci :

    "fichiers créés" et "fichiers Modifiés"

    ?Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ??? NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ? Clique sur Parcourir et cherche le fichier ci-dessus.

    ? Clique sur Ouvrir.

    ? Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ? Copie ce lien dans ta réponse.

    ?? Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  7. vcorinne Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    merci. Voila le résultat:

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijOeYSe3z.txt

    Extra.txt:
    http://www.cijoint.fr/cjlink.php?file=cj201106/cijkrtnEOX.txt
    0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    c'est quoi qui passait pas avec zhpdaig? un message d'erreur ?

    télécharge ad remover et colle un rapport de suppression/nettoyage avec

    puis télécharge malwarebyte antimalware, mets le à jour et colle un rapport d'analyse rapide avec

    a plus
    0
  9. vcorinne Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    aucune idée, avec zhpdaig mon ordinateur plante

    rapport après clean de ad remover:
    http://www.cijoint.fr/cjlink.php?file=cj201106/cij1puOKK3.txt
    0
  10. vcorinne Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    et de malwarebyte antimalware,

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijL7YJW0k.txt
    0
  11. vcorinne Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    et KillProc.exe est toujours là.

    est-ce vraiment un espion?
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    c'est ceci l'emplacement exact:

    D:\killproc.exe
    0
  13. vcorinne Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    c'est ceci l'emplacement exact:

    D:\killproc.exe

    ???? C une question?
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    pas sûr qu'il soit infectieux au vu de l'analyse sur virus total

    mais peu utile

    pour le supprimer:

    télécharge OTM
    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
    (de Old_Timer) sur ton Bureau.

    double-clique sur OTM.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.

    :processes
    explorer.exe
    :files
    D:\killproc.exe
    :commands
    [purity]
    [emptytemp]
    [start explorer]

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTM\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    D:\killproc.exe
    0
  15. vcorinne Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    effectué.

    rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijF82YCBX.txt

    Merci pour ton aide!
    0
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu as lu ce que j'ai mis ?
    0
  17. vcorinne Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    Tu as lu ce que j'ai mis ?

    OÙ ?
    0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge OTM
    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
    (de Old_Timer) sur ton Bureau.

    double-clique sur OTM.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.

    :processes
    explorer.exe
    :files
    D:\killproc.exe
    :commands
    [purity]
    [emptytemp]
    [start explorer]

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTM\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
    0
  19. vcorinne Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    oui, ca je viens de le faire.

    le resultat: http://www.cijoint.fr/cjlink.php?file=cj201106/cijF82YCBX.txt
    0
  20. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    non tu n'as pas fais cela du tout :=)

    j'ai demandé une procédure avec l'utilisation de OTM et non OTL
    0
  21. vcorinne Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    si, si j'ai téléchargé OTM et effectué la procédure... redémarré...

    Maintenant, dans le dossier C:\_OTM\MovedFiles. j'ai 2 docs:

    06062011_104210.res

    06062011_104210.log

    lequel veux tu lire ?

    Il y a aussi un dossier "06062011_104210" et dans ce dossier se trouve le fameux KillProc.exe
    0
  • 1
  • 2