Bonjour,
Mon PC a des comportements bizarres qui me font craindre la présence d'un malware : lenteur, fenêtres de connexion Internet intempestives et encore plus étrange, par moment, la zone d'icônes de la barre des tâches en bas à droite à côté de l'horloge qui se grise avec l'impossibilité d'accéder aux applications...
J'ai donc suivi les premiers gestes à accomplir : CCleaner, AVG Anti-Spyware et Hijackthis.
Ci-joint les logs.
Merci de votre aide
Dernière modification par JPL ; 10/02/2007 à 20h21.
Bonsoir kosmo,
Il y a des fichiers infectieux trouvés par Ewido mais apparemment rien d'actif. On va traiter le peu à traiter et continuer avec un autre scan :
1. Désactive/Réactive ta restauration système. (Aide).
2. As tu toi même inséré cette entrée dans ton fichier hosts :
Elle est assez bizarre, surtout au vu du whois de l'ip.O1 - Hosts: ######## firewall
3. Coche les lignes suivantes dans Hijackthis (pas méchant, mais inutile) :
Clique sur Fix Checked.O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
Apparemment tu as fait des scans en ligne avec Panda et Kaspersky, que t-ont-ils trouvés ?
4.Poste moi le rapport de Blacklight en pièces jointes.Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
Déroule la procédure ci-dessousAide : Tu peux consulter le tutorial de F-Secure BlackLight
- Clic en bas sur I accept
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log et poste le rapport dans ta prochaine réponse
Bonne soirée
Cyrrus
Dernière modification par JPL ; 10/02/2007 à 20h19.
Quelle réactivité
J'ai retiré les 2 lignes du point 3.
J'ai utilisé F-Secure Blacklight qui ne m'a rien trouvé:
Je n'ai pas le souvenir d'avoir utilisé Panda. Par contre, j'avais effectivement utilisé Kaspersky il y a un mois et malheureusement je ne retrouve plus le log.02/10/07 19:08:32 [Info]: BlackLight Engine 1.0.55 initialized
02/10/07 19:08:32 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/10/07 19:08:32 [Note]: 7019 4
02/10/07 19:08:32 [Note]: 7005 0
02/10/07 19:08:42 [Note]: 7006 0
02/10/07 19:08:42 [Note]: 7011 2608
02/10/07 19:08:43 [Note]: 7026 0
02/10/07 19:08:43 [Note]: 7026 0
02/10/07 19:09:13 [Note]: FSRAW library version 1.7.1021
02/10/07 19:22:39 [Note]: 7007 0
Re kosmo,
Les modos ont été prévenus, un peu de patience pour l'édit des messages.
Peut tu refaire un scan en ligne avec Kasperky webscanner et me poster le log en pièces jointes.
++
Cyrrus
La ligne compromettante a été anonymisée.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
J'ai lancé Kaspersky. La première fois, il m'a trouvé plusieurs virus sur plusieurs .pst (boîte mails Outlook) que j'avais mais que je n'utilisais plus depuis longtemps. J'ai donc supprimé ces .pst et relancé Kaspersky.
La seconde fois, il n'a rien trouvé en dehors de fichiers verrouillés. Je te joins le log.
Des idées ?
Bonjour kosmo,
Désolé de t'avoir oublié !
Apparemment il n'y a pas d'infections....as tu des dysfonctionnements ?
Bon WE
Cyrrus
Des lenteurs, l'impression qu'il travaille sur mon disque dur sans raison, mais ça c'est subjectif, je ne sais pas si c'est lié à un malware.
Par contre, ce qui me fait dire que j'ai vraiment quelque chose, c'est qu'il veut toujours se connecter à Internet sans raison !
PS: j'utilise Avast et Zone Alarm. Peux-tu me conseiller sur les meilleurs outils pour se protéger ? notamment Windows Defender est-il performant ? faut-il avoir un spyware ou malware toujours actif et si oui lequel ?
Bonjur kosmo,
Ok on va vérifier cela :
Télécharge Rootkit Unhooker de EP_X0FF/MP_ART, <DNY>
- Lance l'installer et clique sur "Install"
- Puis lance Rootkit Unhooker.
- Va dans l'onglet Report et clique sur "Scan"
- Le tool va te demander quoi scanner : ne décoche que la première case => SSDT Hooks Detector/Restorer.
- Clique ensuite sur Ok.
- RkU va scanner ton pc. Dans la partie "Hidden Files Detector, il va te demander quel disque scanner, choisis ton disque principale (C:\ en général).
- Une fois le scan terminé clique sur File - Save Report as et sauvegarde le sur ton Bureau.
Poste moi le rapport de RkU en pièces jontes.
Cyrrus
Ci-joint le rapport...
Bonsoir kosmo,
Vas sur le site http://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : a8wf9flo.SYS (fais une recherche pour le trouver)
- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici - ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens!
Aide : http://www.malekal.com/scan_Av_en_li...mozTocId662799Pour sécuriser ton pc, je te conseille de lire le dossier de prevention.j'utilise Avast et Zone Alarm. Peux-tu me conseiller sur les meilleurs outils pour se protéger ? notamment Windows Defender est-il performant ? faut-il avoir un spyware ou malware toujours actif et si oui leque
Pour le malware/spyware toujours actif, il vaut mieux ne pas en avoir
Je suppose que tu parles de la protection résidente des antispyware....disons que l'ont peut très bien s'en passer, cf le dossier de prévention.
Bonne soirée
Cyrrus
Effectivement, je parlais d'anti-malware et anti-spyware
Je ne trouve pas le fichier a8wf9flo.SYS sur mon PC (j'ai utilisé la recherche de windows sur mon disque en ayant l'affichage des fichiers systèmes et des fichiers cachés actif). Tu es sûr de l'orthographe ?
Bonjour Ricardo,
Oui je le suis. Mais avant affiche tous tes fichiers/dossiers cachés :
Bonne journée
- Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
- Cocher la case : Afficher les fichiers et dossiers cachés
- Décocher la case : Masquer les extensions des fichiers dont le type est connu
- Décocher la case : Masquer les fichiers protégés du système d'exploitation
- cliquer sur "Appliquer"
- cliquer sur le bouton "Appliquer à tous les dossiers" / OK
Cyrrus
Je crois que tu te trompes : Ricardo, c'est dans une autre discussion !
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Bonjour JPL (tu vois je me trompe pas)
Pardon à kosmo de m'etre emmeler les pinczaux. Les manips sot les bonnes, juste le pseudo que j'ai inversé.
Désolé !
Cyrrus
Rien à faire Marcel
Pas moyen de trouver ce fichier !
Bonsoir kosmo,
Retourne dans RkU > onglet Hidden Drivers Detector
Trouve dans la liste a8wf9flo.SYS
Clique droit dessus et "Dump Process/Drivers". Enregistre le fichier sur ton Bureau.
Passe le sous Jotti et poste moi le rapport. Si Jotti ne trouve rien, renommer a8wf9flo.txt et met le moi en pièces jointes.
J'essaierai de le faire analyser par le dev de RkU, afin de voir s'il est légitime ou non.
Bonne soirée
Cyrrus
PS : Et non je ne m'appelle pas Marcel
Rien à faire, il n'y est plus !
Bonsoir kosmo,
Bizarre...mais plutot bon signe.
Toujours les mêmes symtpômes ? Quand tu parles de connexion sortantes, ZA te dit il quel(s) processus tente de se conecter ?
Bonne soirée
Cyrrus
Bonjour Cyrrus,
J'ai un peu honte
Effectivement en regardant l'historique d'alertes Programme sur Zone Alarm, j'ai trouvé le programme qui essayait sans arrêt de se connecter
Il s'agissait du logiciel Logitech Video dans la systray qui était paramétré sur "Vérifier la disponibilité des mises à jour automatiquement" et cet idiot ne se limite pas à faire sa vérification que lorsque le PC est déjà connecté à Internet.
Désolé, et merci de ton aide
Bonjour kosmo,
Ah...ouf...çà s'explique alors.
Lis bien le dossier de prevention.
Bon WE
Cyrrus
