Sujet Précédent Sujet Suivant

Keylogger Détécté par kaspersky

Fermé
Azzzzzzz - 24 juil. 2007 à 14:27
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 28 juil. 2007 à 02:19
Voici son chemin system32\drivers\ps2 (.sys)
quelqu'un peut me dire ce que c'est ?
Pourquoi lors de l'alerte on a le choix que entre OK ou AJOUTER EN ZONE DE CONFIANCE.. ?
Merci de votre aide!
A voir également:

77 réponses

Précédent
Réponse 21 / 77
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
25 juil. 2007 à 23:43
Je passe en courant d'air pour te faire passer ce lien, ainsi qu'à Afideg
http://grandpublic.kaspersky.fr/forum/viewtopic.php?t=5009

Vincent me l'a transmis

A+
0
Réponse 22 / 77
Azzzzzzz
25 juil. 2007 à 23:52
Bsr, merci du lien!
Seulement j'ai changer le clavier et une souris autre que hp pour justement tester et... j'ai toujours l'alerte..
0
Réponse 23 / 77
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
26 juil. 2007 à 01:36
Re,
Merci Marie et Vincent,

Mais je vois ceci dans le log ComboFix :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7738161f-f6d8-11db-8766-f2ced3b7a1f0}]
Auto\command- tel.xls.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bebaf7b2-0225-11db-84d5-806d6172696f}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

Je suppose donc une infection disque amovible .

Azzzzzzz as-tu des périphériques via clé USB , ou DD externe ?


Utiliser l'outil Flash_Disinfector de sUBs: <
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe >

Utilisation :
Télécharger et enregistrer Flash_Disinfector.exe sur votre bureau.
Double-cliquer sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connecter votre clé USB et périphériques USB externes .
Attendre quelques secondes qu'ils soient reconnus par Windows, puis cliquer sur [Ok]
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: Done!!
Appuyer sur [OK], pour faire réapparaitre le bureau.
Si tout s'est bien déroulé, l'infection devrait être pratiquement éradiquée dès la fin de cette étape.



Lance ensuite ce Scanonline de Kaspersky :

< https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr >
Le scan ne marche que sous Internet Explorer.

Sous < https://www.informatruc.com >, on t'explique la marche à suivre .

Clic sur l'image « Kaspersky Online Scanner »
Puis sur "démarrer scan online " en bas à droite de la page.
< http://pictures.kaspersky.fr/bouton-scann1.jpg >

Clic sur « J'accepte » ( ou I agree )

On va te demander de télécharger un contrôle active x, accepte .
( on va peut-être demander installer ==> clic sur "installer" )

Tu attends que la mise à jour se termine ( patienter ), une fois terminé, clic sur « Suivant »
Clic sur « Paramètres d'analyse »
Coche la case « Étendue » >> Ok
Dans le menu « Choisissez la cible de l'analyse »
Clic sur "Poste de travail" pour faire un scan complet
( Connecter votre clé USB et périphériques USB externes . )

Une fois le scan fini à 100%, clic sur "Enregistrer rapport sous..."
Enregistrer le rapport au format .txt (en nom tu mets «KAS» , et en « Type » tu choisis « fichier texte » (*.txt), puis [Enregistrer]
Tu ouvres le fichier que tu viens de sauvegarder,
Copier/coller le rapport généré, et poste-le


AIDE :
-Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
-Si il y a un problème, assure-toi que les contrôles active x sont bien configurés dans les options internet comme il est décrit sur ce lien=> http://www.inoculer.com/activex.php3

NOTES :
- En cas de problème vérifier ces quelques points < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId898809 >
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566 >

Ça peut durer plus d’1 heure ( fais le tourner la nuit ).
Patienter

Merci
Al


Bonne nuit à tous
0
Réponse 24 / 77
Azzzzzzz
26 juil. 2007 à 01:45
D'accord merci!

"Azzzzzzz as-tu des périphériques via clé USB , ou DD externe ? "

DD externe j'en est pas mais j'en ai déjà utiliser un c'est vrai et les clés USB ben j'ai la connexion internet qui se branche par usb et un mp3 qui se branche par usb mais que j'utilise plus depuis un moment.

Je vais faire tout ce que tu as dis je reposterai le rapport une fois tout ca fait.
Par contre peux tu juste me dire ce que signifie infection disque amovible ? les dangers et tout ca.
Merci bonne soirée
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 77
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
26 juil. 2007 à 02:06
Re,

< http://forum.malekal.com/ftopic3350.php > Le fichier autorun.inf
< http://forum.malekal.com/ftopic3539.php > Infection sur disques amovibles



Mieux vaut être prudent.
Maintenant au lit
à+..
Al.


EDIT : Je vois que tu as Kis7
Tu peux donc lancer l'analyse avec , en lieu et place de ScanOlineKaspersky ( si c'est plus commode pour toi ) Mais il y a des paramètres qui restent à fixer ( comme analyser disque D et disque amovible MP3 en F ? ) Les brancher ! C'est là sur ton programme Kis7 < http://img519.imageshack.us/img519/1425/screenshot015el7.png >
À toi de voir
0
Réponse 26 / 77
Azzzzzzz
26 juil. 2007 à 12:12
Bjr

J'ai fait ce que tu as demandé.
Pour l'analyse kaspersky je n'ai pas fait celui en ligne mais celui du pc et il n'a rien trouver non plus.
0
Réponse 27 / 77
Azzzzzzz
26 juil. 2007 à 12:39
Petite parenthese, nous avons 2 pc et vu que le 2 eme a aussi utilisé les mêmes periphériques j'ai juste fait un scan avec rapport de combofix sur le 2nd pc. Etant donné que combofix c'est avec ca que tu as remarqué ce problème.

"HP_Propri‚taire" - 2007-07-26 12:25:40 - ComboFix 07-07-23.6 - Service Pack 2 NTFS [SAFE MODE]


((((((((((((((((((((((((( Files Created from 2007-06-26 to 2007-07-26 )))))))))))))))))))))))))))))))


2007-07-24 23:12 <REP> d-------- C:\DOCUME~1\HP_PRO~1\APPLIC~1\Media Player Classic
2007-07-24 23:11 <REP> d-------- C:\Program Files\Real Alternative
2007-07-24 23:11 <REP> d-------- C:\Program Files\Media Player Classic
2007-07-24 23:11 <REP> d-------- C:\DOCUME~1\HP_PRO~1\APPLIC~1\Real
2007-07-24 23:11 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real
2007-07-24 12:38 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\SUPERAntiSpyware.com
2007-07-23 18:50 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-07-23 12:32 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-07-23 12:32 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-07-23 12:32 11,180,320 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-07-23 12:31 38,688 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-07-23 12:31 <REP> d-------- C:\Program Files\Kaspersky Lab
2007-07-23 01:45 <REP> d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
2007-07-23 01:44 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2007-07-23 01:44 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2007-07-23 01:44 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2007-07-23 01:44 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2007-07-23 01:44 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2007-07-22 19:51 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-22 14:32 <REP> d-------- C:\WINDOWS\ERUNT
2007-07-22 14:20 <REP> d-------- C:\Program Files\Lavasoft
2007-07-22 14:20 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
2007-07-22 14:19 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-07-21 15:39 853 --a------ C:\reboot.cmd
2007-07-18 18:10 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab Setup Files
2007-06-28 12:51 206,088 --a------ C:\WINDOWS\system32\klogon.dll
2007-06-28 12:50 22,457 --a------ C:\WINDOWS\system32\drivers\klop.dat


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-26 10:23:00 4,700 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-07-26 10:23:00 150,812 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-07-26 10:22:54 12 ----a-w C:\WINDOWS\bthservsdp.dat
2007-07-26 10:16:50 -------- d-----w C:\Program Files\Netcraft Toolbar
2007-07-24 20:38:27 -------- d-----w C:\Program Files\ewido anti-spyware 4.0
2007-07-23 16:47:38 -------- d-----w C:\Program Files\HJT
2007-07-22 09:46:07 -------- d-----w C:\DOCUME~1\HP_PRO~1\APPLIC~1\Lavasoft
2007-07-21 21:07:02 6,701 ----a-w C:\WINDOWS\mozver.dat
2007-07-21 20:10:17 -------- d-----w C:\DOCUME~1\HP_PRO~1\APPLIC~1\AdobeUM
2007-07-12 02:19:44 470,040 ----a-w C:\WINDOWS\system32\perfh00C.dat
2007-07-12 02:19:43 76,376 ----a-w C:\WINDOWS\system32\perfc00C.dat
2007-06-04 13:18:48 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 13:17:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 13:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys
2007-05-26 03:50:13 -------- d-----w C:\Program Files\Feedulogis
2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2006-01-03 19:59:47 2,147 ----a-w C:\Program Files\vpdebug.log
2005-11-27 11:17:51 72 ----a-w C:\Program Files\_ISNAVNT.ULG
2005-11-27 11:17:51 307 ----a-w C:\Program Files\Dec3.cfg
2005-11-27 11:17:44 68 ----a-w C:\Program Files\defloc.dat
2003-04-29 13:48:24 22,528 ----a-w C:\Program Files\Smstr32i.dll
2003-04-29 13:48:24 174,080 ----a-w C:\Program Files\sdpck32i.dll
2003-04-29 13:48:16 28,672 ----a-w C:\Program Files\navustub.exe
2003-04-29 13:48:12 939 ----a-w C:\Program Files\enuact.cnt
2003-04-29 13:48:12 84,442 ----a-w C:\Program Files\ENUVIEW.HLP
2003-04-29 13:48:12 81,781 ----a-w C:\Program Files\ENUCORE.HLP
2003-04-29 13:48:12 61,729 ----a-w C:\Program Files\ENUTASK.HLP
2003-04-29 13:48:12 59,759 ----a-w C:\Program Files\ENUXCHNG.HLP
2003-04-29 13:48:12 59,659 ----a-w C:\Program Files\ENULOTUS.HLP
2003-04-29 13:48:12 54,918 ----a-w C:\Program Files\ENUDLGS.HLP
2003-04-29 13:48:12 51,736 ----a-w C:\Program Files\ENUCTLS.HLP
2003-04-29 13:48:12 30,291 ----a-w C:\Program Files\ENUGLOSS.HLP
2003-04-29 13:48:12 27,956 ----a-w C:\Program Files\ENUVPUI.HLP
2003-04-29 13:48:12 23,273 ----a-w C:\Program Files\enuvpc32.cnt
2003-04-29 13:48:12 1,003 ----a-w C:\Program Files\enuopt.cnt
2001-12-17 18:16:00 75,776 ----a-w C:\Program Files\patch32i.dll
2000-09-18 16:22:02 293 ----a-w C:\Program Files\clninst.bat
2000-09-18 16:16:20 6,003 ----a-w C:\Program Files\Default.hst
1999-07-31 16:26:50 492 ----a-w C:\Program Files\SCANCFG.DAT
1999-07-22 20:13:58 20,272 ----a-w C:\Program Files\Ctl3d.dll
1999-07-22 09:59:58 103 ----a-w C:\Program Files\PLATFORM.DAT
1999-05-24 15:36:56 3,971 ----a-w C:\Program Files\COUNTRY.DAT
1999-04-05 13:15:08 3,056,104 ----a-w C:\Program Files\filter.dat
1999-02-25 19:49:08 87,552 ----a-w C:\Program Files\sdflt32i.dll
1999-02-25 19:49:08 58,368 ----a-w C:\Program Files\sdstp32i.dll
1999-02-25 19:49:08 44,032 ----a-w C:\Program Files\sdsok32i.dll
1999-02-25 19:49:08 38,400 ----a-w C:\Program Files\sdsnd32i.dll
1998-12-10 19:26:00 55,296 ----a-w C:\Program Files\chan32i.dll
2006-01-05 19:51:41 56 --sh--r C:\WINDOWS\system32\CAD642ABCD.sys
2006-01-05 19:51:41 1,890 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHmon06]
C:\WINDOWS\system32\hphmon06.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv]
c:\windows\system\hpsysdrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Program Files\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard]
C:\WINDOWS\SMINST\RECGUARD.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"FTRTSVC"=2 (0x2)

R2 RpcSs;Appel de proc‚dure distante (RPC);C:\WINDOWS\system32\svchost -k rpcss
R3 HidUsb;Pilote de classe HID Microsoft;C:\WINDOWS\system32\DRIVERS\hidusb.sys
R3 Iviaspi;IVI ASPI Shell;C:\WINDOWS\system32\drivers\iviaspi.sys
R3 usbccgp;Pilote parent g‚n‚rique USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbccgp.sys
R3 usbehci;Pilote miniport de contr“leur d'h“te am‚lior‚ Microsoft USB 2.0;C:\WINDOWS\system32\DRIVERS\usbehci.sys
R3 usbhub;Pilote de concentrateur standard USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbhub.sys
R3 usbohci;Pilote miniport de contr“leur h“te ouvert USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbohci.sys
S0 Klpid;Klpid;C:\WINDOWS\system32\drivers\Klpid.sys
S1 AmdK8;Pilote de processeur AMD Athlon64;C:\WINDOWS\system32\DRIVERS\AmdK8.sys
S1 Tosrfcom;Bluetooth RFCOMM from TOSHIBA;C:\WINDOWS\system32\Drivers\tosrfcom.sys
S2 BthServ;Bluetooth Support Service;C:\WINDOWS\system32\svchost.exe -k bthsvcs
S3 Ad-Watch Connect Filter;Ad-Watch Connect Kernel Filter;\??\C:\WINDOWS\system32\drivers\NSDriver.sys
S3 ALCXSENS;Service for WDM 3D Audio Driver;C:\WINDOWS\system32\drivers\ALCXSENS.SYS
S3 Atmarpc;Protocole client ATM ARP;C:\WINDOWS\system32\DRIVERS\atmarpc.sys
S3 BthEnum;Pilote de bloc de demande Bluetooth;C:\WINDOWS\system32\DRIVERS\BthEnum.sys
S3 BthPan;P‚riph‚rique Bluetooth (r‚seau personnel);C:\WINDOWS\system32\DRIVERS\bthpan.sys
S3 BTHPORT;Pilote de port Bluetooth;C:\WINDOWS\system32\Drivers\BTHport.sys
S3 BTHUSB;Pilote USB radio Bluetooth;C:\WINDOWS\system32\Drivers\BTHUSB.sys
S3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys
S3 dtscsi;dtscsi;C:\WINDOWS\system32\Drivers\dtscsi.sys
S3 Fax;Fax;C:\WINDOWS\system32\fxssvc.exe
S3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys
S3 PhTVTune;ASUS WDM TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys
S3 Ps2;PS2;C:\WINDOWS\system32\DRIVERS\PS2.sys
S3 RFCOMM;P‚riph‚rique Bluetooth (TDI protocole RFCOMM);C:\WINDOWS\system32\DRIVERS\rfcomm.sys
S3 RpcLocator;Localisateur d'appels de proc‚dure distante (RPC);C:\WINDOWS\system32\locator.exe
S3 toshidpt;TOSHIBA Bluetooth HID port driver;C:\WINDOWS\system32\drivers\Toshidpt.sys
S3 tosporte;Bluetooth Port Driver from Toshiba;C:\WINDOWS\system32\DRIVERS\tosporte.sys
S3 Tosrfbd;Bluetooth RFBUS from TOSHIBA;C:\WINDOWS\system32\Drivers\tosrfbd.sys
S3 Tosrfbnp;Bluetooth RFBNEP from TOSHIBA;C:\WINDOWS\system32\Drivers\tosrfbnp.sys
S3 Tosrfhid;Bluetooth RFHID from TOSHIBA;C:\WINDOWS\system32\DRIVERS\Tosrfhid.sys
S3 tosrfnds;Bluetooth Personal Area Network from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfnds.sys
S3 TosRfSnd;Bluetooth Audio Device (WDM) from TOSHIBA;C:\WINDOWS\system32\drivers\TosRfSnd.sys
S3 Tosrfusb;Bluetooth USB Controller;C:\WINDOWS\system32\Drivers\tosrfusb.sys
S3 USB_RNDIS;Point d'acces Inventel;C:\WINDOWS\system32\DRIVERS\usb8023.sys
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 usbuhci;Pilote miniport de contr“leur h“te universel USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbuhci.sys
S3 viagfx;viagfx;C:\WINDOWS\system32\DRIVERS\vtmini.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs BthServ


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-26 12:29:38
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-26 12:30:56

--- E O F ---



Peux tu juste me dire s'il y a la même infection stp ?
ayant utiliser les mêmes ca ne serait aps etonnant mais a voir.
Merci beaucoup de ton aide j'espere ca va être desinfecter tout ca.
0
Réponse 28 / 77
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
26 juil. 2007 à 13:25
Re,
Bonjour TLM,

Azzzzzzz, je n'ai jamais dit qu'il y avait infection. J'ai supposé , parce que cette ligne ( qui se reproduit sur le second PC ) m'interroge. Ni plus, ni moins.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480


Pour ce souci d'alertes Kis7,
- puisque tu as déjà fait le test avec [OK] lors de l'alerte Kis7,
- que cela n'a pas perturbé le fonctionnement du PC,
- et que tu as fait également le test avec un autre clavier
- ( et après avoir consulté mes copains chez KAS ) ,
je te suggère d'accepter le classement en "zône de confiance" lors de cette prochaine alerte < http://img523.imageshack.us/img523/5233/ksppb7.jpg >

Je me renseigne pour en savoir plus sur cette info donnée par ComboFix : [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 .
Parce que ceci n'est pas anodin : « DD externe j'en est pas mais j'en ai déjà utiliser un c'est vrai et les clés USB ben j'ai la connexion internet qui se branche par usb et un mp3 qui se branche par usb mais que j'utilise plus depuis un moment. »


Bonne journée
Al.
0
Réponse 29 / 77
Azzzzzzz
26 juil. 2007 à 13:44
D'accord donc ce serait bien un faux positif cette alerte (comme le dit le lien posté au dessus ) ?
Si oui alors je me demande juste comment ca se fait si c'est un driver du clavier et souris hp que avec un clavier et souris de marque autre que hp fassent toujours ces alertes.. ?
Puis aussi sur un autre ordinateur qui a aussi le driver ps2.sys mais la aucune alerte , mais il n'a pas non plus de clavier et souris hp. A noter que ces alertes sont apparus quand .. j'ai mis la dernière version de kis avant il n'y avait rien.
En tout cas merci de prendre le temps de te renseigner.
a+
0
Réponse 30 / 77
azzzzzzz
26 juil. 2007 à 13:59
Et je profite que tu t'y conaisse en informatique juste pour demander ce qu'est un invader(loader)
Ce nom est présent dans des alerte de defense proactive de kaspersky. Sur des processus legitime comme iexplore.exe. tout ca aussi depuis la MAJ avant j'avais jamais eu cette sorte d'alerte. Je crois que la derniere version de kis ne va pas encore avec mon ordniateur.
0
Réponse 31 / 77
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
26 juil. 2007 à 14:57
Re,

D'accord avec ta logique.
Cependant je note que c'est avec le même Kis7 que tu as analysé les deux PC .
Est-ce correct ?
Si oui, un reçoit une alerte, l'autre pas ( et cela quel que soit le clavier sur celui qui reçoit une alerte )
Est-ce correct ?
Si oui, prends le clavier de celui qui reçoit une alerte, et place-le sur celui qui n'en reçoit pas.
À ce moment, si Kis7 lance une alerte, c'est le clavier à remplacer.
Non ?


Risque potentiel Invader (loader)

C'est possible si par exemple ton PC contient ceci ( c'est long, mais ça te permet de mieux comprendre ce que représente cette alerte Kis ) :

[-Les fichiers « bwgo0000.exe » sont un groupe de processus liés à l'utilité F-Bloquée de Backweb.
-Recommendation: Not a critical component.
- But .... BackWeb est un outil client-serveur.

-Il est identifié pour être livré, au moins, par les vendeurs IBM, Compaq, HP Hewlett-Packard, Network Associates, Real Networks, Logitec (dans ses drivers!) , F-Secure, McAffee, Western Digital, Kodak digital camera sync software, Kodak Software Updater (Kodak Easyshare digital cameras), Packard Bell ActivSurf...etc....

-Pour "backweb-8876480" c'est logitech effectivement.
-C'est un prog espion qui soit disant d'après eux sert à faire des mises a jour...mais rien n'est prouvé et il semblerait qu'il soit plus espion que programme de mise a jour.
-Mais il peut aussi se trouver dans d'autres programmes.
-Le problème majeur étant qu'il provoque une faille de sécurité.

-•Pour résoudre ce type de problèmes en dehors du fait qu'il expose votre vie privée aux fournisseurs:
-Désinstaller "Logitech Desktop Messenger" et le prog « backweb-8876480.exe » disparaîtra. ]


Autre solution :
"Défense Proactive" dans l'encadré > [Configuration] => "Analyse de l'activité des applications" > clic sur [Configuration] et décocher la case "Implantation dans le processus (invaders) "



Al.
0
Réponse 32 / 77
Azzzzzzz
26 juil. 2007 à 15:34
Oui ce sont 2 kis7
pour le test je l'ai effectué. résultat lorsque je met le clavier hp le 1er concerné lors des detections sur l'autre pc rien ne se passe pas d'alerte, j'ai bien activer le mode detection de keylogger j'ai taper durant 5 minutes et cliqué aussi et au final rien du tout.. donc sur mon pc ca detecte et sur celui de mon frere ca detecte pas pourtant tout deux de même marque. et ayant ps2.sys.

pour les invaders oui ils sont bien decoché mais l'alerte sur un programme pourtant qui n'est pas un virus continuent SEULEMENT lorsque je veux faire dérouler un menu de choix. Le programme concerné est un programme que certains n'aime pas mais moi je crois qu'ils sont sérieux , c'est une barre de pub. En désactivant la défense pro active la j'ai plus d'alertes je peux faire dérouler les menus tranquille. Le fichier visés par cette alerte est un dll de ie7 et cette barre fonctionne avec ie. je ne comprend pas grand chose et je sais plus trop quoi faire avec ces alertes. Pour le moment j'ai tout coupé , je n'utilise plus mais comme aucune analyse ne découvre quelque chose. J'ai analysé le fichier concernés avec virustotal et virus scan résultat : virusscan ne trouve rien du tout et virustotal ne trouve rien dans sa quasi totalité sauf avec esafe qui dit seulement que ce fichier est "suspicious" et la derniere ligne de virustotal me dit ca win32.modifiedUPX.gen!90 (suspicous). Est ce un danger ? Ou juste une suspicion . A noté que j'utilise cette barre depuis plus de 1 ans et je n'ai jamais eu de soucis avec , aucun (en tout cas a ma conaissance). Merci
0
Réponse 33 / 77
azzzzzzz
26 juil. 2007 à 15:44
Dans sa totalité lorsque j'utilise ce programme j'ai aucune alerte j'en ai une seulement lorsque je veux faire défiler un menu de choix.
0
Réponse 34 / 77
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
26 juil. 2007 à 16:37
Re,

Tu devrais exposer cette question sur le forum"Matériel".

à+..
0
Réponse 35 / 77
Azzzzzzz
26 juil. 2007 à 16:47
Je vais le faire merci de toute ton aide.
donc ce n'est pas une infection et ces alertes ne sont pas dut a des virus/keylogger et autres ?
"win32.modifiedUPX.gen!90 (suspicous)" ce n'est rien ca ?
As tu su au final ce qu'etait les clé qui te semblait bizarre ?
Ce sera mes dernières questions, je te remercie vraiment de m'avoir aidé.
0
Réponse 36 / 77
Azzzzzzz
26 juil. 2007 à 17:39
dernière précision j'ai effectué un test : j'ai débrancher clavier et souris et l'alerte sonne quand même au bout de une minute même sans clavier souris.
0
Réponse 37 / 77
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
26 juil. 2007 à 20:44
Azzzzzzz

Fais ceci, SVP

Il faut que tu ailles afficher les fichiers systèmes et les fichiers cachés de ton C:/. Pour ça, va dans Outils, Options des dossiers, Affichage, et arrange-toi pour cocher la case "Afficher les fichiers cachés", et décocher la case "Cacher les fichiers systèmes protégés".
Lance une recherche Windows des fichiers "tel.xls.exe" et "Autorun.inf " et vas les supprimer.

Ensuite:

1°- Sauvegarde de toute la base de registre :
• Cliquez sur Démarrer / Exécuter
• Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ».
• Ne sélectionnez rien d'autre que ( = mettre en surbrillance ) le « Poste de travail ».
( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )
• Dans le menu « Fichier » cliquez sur « Exporter.... »
• Dans « Enregistrer dans », choisissez le dossier de sauvegarde. C’est-à-dire : BUREAU.
• Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1)
• Dans le champ déroulant Type , choisissez "Fichiers d’enregistrement (*.reg)".
< http://img252.imageshack.us/img252/8522/screenshot258es5.gif >
• Cochez la case ( le bouton ratio ) « Tout ».
• Cliquez sur [Enregistrer]. Puis Quitter le registre.
L'icône du fichier de sauvegarde du Registre est sur le bureau.


2°- Crée un "nouveau document texte".
Pour cela : clic droit de souris sur un espace libre du bureau > "Nouveau" > "Document Texte" ( vers le bas du petit menu ).
Ouvre-le, et copie/colle dedans ce qui est en caractères gras ci-dessous, ( copie tout d'une traite, y compris la ligne REGEDIT4 - avec un intervalle après REGEDIT4 -) ( attention: il faut bien coller dans l'extrême coin supérieur gauche !! )

(Si tu ne comprends pas, demande) !

REGEDIT4

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7738161f-f6d8-11db-8766-f2ced3b7a1f0}\Shell]


Puis clic "fichier" > "enregistrer sous" > choisir " sur le bureau "
Dans "Nom du fichier" : taper par exemple " fix1.reg "
Dans "Type de fichier" : choisir "tous les fichiers"
Clic sur [enregistrer]
L'icône de "fix1.reg" doit ressembler à cela < http://img520.imageshack.us/img520/4251/screenshot005ps2.png >

3°- ATTENTION:
- Tu n'auras plus accès ni à IE, ni à CCM durant la procédure de désinfection qui suit . - Imprime-la .
- Redémarre en mode sans échec (choisis ta session habituelle, et non pas le compte "Administrateur" ou autre) :< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

4°- double-clique sur " fix.reg " (que tu as créé sur ton bureau ) pour l’exécuter => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" Si c'est bien le cas, clique sur "oui " Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.

5°- Redémarre normalement.

Dis-moi comment se comporte le PC .
SVP
0
Réponse 38 / 77
Azzzzzzz
26 juil. 2007 à 20:59
Alors autorun.inf j'en est beaucoup dans divers dossiers je les supprimes tous ?
0
Réponse 39 / 77
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
26 juil. 2007 à 21:15
Re,
La question est gênante.
Je ne suis pas certain.
Zut alors.
Je dois demander de l'aide.
Et je passe à table

Fais toujours le Fix.reg et supprime la clé
Le reste plus tard en attente de confirmation.

Al.
0
Réponse 40 / 77
Azzzzzzz
26 juil. 2007 à 21:49
Ok je fais ca de suite
Par contre le fichier tel.xls.exe je le trouve pas aucun résultat.
0

Discussions similaires

impossible de désistaller avira launcher (generic)
Feraz -
bazfile -

2 réponses
cle activation kaspersky gratuit 2019
SOUMYPROOD -
MPMP10 -

15 réponses
Impossible de supprimer Kaspersky....
TenzoR -
jmarion3 -

11 réponses
supprimer Phrozen Keylogger
ANO02 -
Malekal_morte- -

11 réponses
Problème d'installation Kaspersky
Cerisementhe -
jmarion3 -

6 réponses