[OK] Infection par ADSPY/Bho.aa.1

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nickW » 20 Mai 2009, 23:39

Bonsoir,


L'Observateur d'événements enregistre-t-il des messages d'erreur lors de ces plantages?

Démarrer--->Paramètres--->Panneau de configuration--->Outils d'administration--->Observateur d'événements
Voir dans Application, Sécurité et Système s'il y a des icônes rouges au moment des plantages.


Un vidage mémoire est-il généré lors de ces plantages?
Voir dans le dossier C:\Windows\Minidump s'il existe des fichiers créés lors de ces plantages.

S'il en existe, il faudrait les déposer sur un serveur externe pour que je puisse les récupérer:

*- mettre dans un archive nommée nicop.zip les trois fichiers les plus récents
*- Aller sur: http://senduit.com/
*- Dans la zone File:, cliquer sur le bouton Parcourir... et aller jusqu'au fichier nicop.zip - faire un double clic sur ce fichier
*- Dans la zone Expire in:, dans la liste déroulante, choisir 5 days
*- Cliquer sur le bouton Upload
*- Après le transfert du fichier, il y aura affichage d'une nouvelle page dans laquelle tu trouveras un lien (sous "This is your download URL. It expires in 5 Days.")
Envoyer ce lien en réponse.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nicop » 21 Mai 2009, 13:49

Bonjour,

J'ai provoqué 4 plantages avec les 4 logiciels "à problème".

Pour les 4, l'observateur d'évènements ne signale rien de rouge pour les parties Application et Sécurité.
Pour la partie système, il y a des icônes rouges (les mêmes pour les 4 plantages), mais qui ne correspondent pas à l'heure exacte du plantage, mais plutôt à celle du redémarrage :

Dans cet exemple, le plantage a été provoqué à 14H11 :
<img src="http://www.imageshotel.org/images/nicop/image1_2.jpg" alt="Image hébergée sur http://www.imageshotel.org/">

Après les 4 plantages, le dossier C:\Windows\Minidump est toujours vide.

Une autre idée...?
Merci
Avatar de l’utilisateur
nicop
 
Messages: 371
Inscription: 21 Jan 2005, 11:00
Localisation: Pyrénées

Messagede nicop » 27 Mai 2009, 16:25

UP :wink: (le problème persiste ; je fais des recherches de mon côté, mais pour l'instant, rien ; merci)
Avatar de l’utilisateur
nicop
 
Messages: 371
Inscription: 21 Jan 2005, 11:00
Localisation: Pyrénées

Messagede nickW » 28 Mai 2009, 00:13

Bonsoir,

Peux-tu effectuer une analyse en ligne:


Kaspersky Lab OnLine Scanner
Exécuter une analyse Anti-Virus et Anti-Spyware en ligne via Kaspersky Lab OnLine Scanner.

Ceci doit être réalisé exclusivement avec Internet Explorer.

Aller sur la page http://webscanner.kaspersky.fr/
Cliquer sur Démarrer Online-Scanner
Cliquer sur le bouton "J'accepte"
Il y a demande d'installation de contrôle(s) ActiveX.
Normalement, IE bloque cette action (bloqueur de fenêtres publicitaires intempestives). Il faut faire un clic droit sur la barre jaune située en haut de la fenêtre et "Accepter temporairement...".
Accepter l'installation de ce(s) contrôle(s) ActiveX
Kaspersky On-line Scanner s'installe et télécharge les définitions de virus.
Sur l'écran de sélection des éléments à analyser, choisir "Poste de travail"
La recherche est lancée. La fenêtre permet de suivre la progression de l'analyse.
Lorsque la fenêtre affiche "L'analyse est terminée", cliquer sur le bouton "Enregistrer rapport" et enregistrer le fichier rapport en format texte ( .txt) en lui donnant un nom explicite.

Envoyer en réponse le contenu de ce fichier.

NOTE:
S'il y a affichage du message "La licence de Kaspersky On-line Scanner est périmée", aller dans Panneau de configuration---->Ajout/Suppression de programmes puis désinstaller On-Line Scanner. Ensuite, se reconnecter sur le site de Kaspersky pour réessayer.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nicop » 28 Mai 2009, 16:56

Bonjour,
Quand j'ai exécuté Findykill (le 16/05), je n'ai pas pensé à la clé USB de ma femme (elle s'en sert rarement). C'est pourquoi elle apparaît infectée (lecteur I: ).

Voici le rapport Kasp :


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, May 28, 2009 5:43:32 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 28/05/2009
Enregistrements dans la base antivirus Kaspersky : 2047045
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Statistiques de l'analyse:
Total d'objets analysés: 134397
Nombre de virus trouvés: 2
Nombre d'objets infectés: 6 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 05:19:57

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\avguard.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\PSGuard.zip/uninstIU.exe Infecté : Trojan.Win32.Small.ev ignoré
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\PSGuard.zip ZIP: infecté - 1 ignoré
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\PSGuard1.zip/intell32.exe Infecté : Trojan.Win32.Small.ev ignoré
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\PSGuard1.zip ZIP: infecté - 1 ignoré
C:\Documents and Settings\Hanna\Application Data\PCToolsFirewallPlus\FirewallGUI.txt L'objet est verrouillé ignoré
C:\Documents and Settings\Hanna\Application Data\PCToolsFirewallPlus\FWPlugin.txt L'objet est verrouillé ignoré
C:\Documents and Settings\Hanna\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hanna\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hanna\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Hanna\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hanna\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hanna\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Hanna\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NouvelAdministrateur\Application Data\$_hpcst$.hpc L'objet est verrouillé ignoré
C:\Documents and Settings\NouvelAdministrateur\Application Data\PCToolsFirewallPlus\FirewallGUI.txt L'objet est verrouillé ignoré
C:\Documents and Settings\NouvelAdministrateur\Application Data\PCToolsFirewallPlus\FWPlugin.txt L'objet est verrouillé ignoré
C:\Documents and Settings\NouvelAdministrateur\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NouvelAdministrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NouvelAdministrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NouvelAdministrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NouvelAdministrateur\Local Settings\Historique\History.IE5\MSHist012009052820090529\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NouvelAdministrateur\Local Settings\Temp\WCESLog.log L'objet est verrouillé ignoré
C:\Documents and Settings\NouvelAdministrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NouvelAdministrateur\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NouvelAdministrateur\NtUser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\PC Tools\KDS\KDSAppEvent.txt L'objet est verrouillé ignoré
C:\Program Files\PROTECTION\PC Tools Firewall Plus\FirewallWrapper.txt L'objet est verrouillé ignoré
C:\Program Files\PROTECTION\PC Tools Firewall Plus\FWService.txt L'objet est verrouillé ignoré
C:\Program Files\PROTECTION\PC Tools Firewall Plus\KDSInterface.txt L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{68C26265-4AF9-4405-87B6-445BBDDBC06B}\RP823\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_164.dat L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
I:\copy.exe L'objet est verrouillé ignoré
I:\host.exe L'objet est verrouillé ignoré
I:\autorun.inf Infecté : Worm.Win32.RJump.a ignoré
I:\AdobeR.exe Infecté : Worm.Win32.RJump.a ignoré

Analyse terminée.
Avatar de l’utilisateur
nicop
 
Messages: 371
Inscription: 21 Jan 2005, 11:00
Localisation: Pyrénées

Messagede nickW » 29 Mai 2009, 00:35

Bonsoir,

Nettoyage de cette clé infectée:


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Flash_Disinfector (de sUBs)
Télécharger l'outil depuis l'un des deux liens ci-dessous:
http://www.techsupportforum.com/sectool ... fector.exe
http://download.bleepingcomputer.com/sU ... fector.exe
Faire un clic droit sur l'un des liens ci-dessus, puis enregistrer le fichier sur le Bureau.

Fermer absolument toutes les applications, ainsi que les navigateurs (ne pas oublier d'enregistrer tous les documents en cours de modification).

Faire un double clic sur Flash_Disinfector.exe pour lancer l'exécution de l'outil.

L'écran intitulé "Start - Flash_Disinfector" te demande de brancher ta(tes) clé(s) USB si tu en as: il faut que tu le fasses. Ensuite, cliquer sur OK.
L'affichage du Bureau va disparaître: c'est normal.

Lorsque le travail de l'outil est terminé, sur l'écran affichant "Done !!", cliquer sur OK.

Note:
S'il y a de nombreuses clés USB à désinfecter, il faut renouveler l'opération en branchant les clés non traitées une à une.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nicop » 29 Mai 2009, 09:30

Bonjour,
C'est fait pour la clé USB, merci.
____________________________________________________________________________
Edité plus tard :
Je ne sais pas si ça a un rapport avec le problème de plantage (on sait jamais) : je viens de remarquer que le processus "GoogleUpdate.exe" s'activait ; au démarrage, il n'est pas présent, mais il s'active dès que j'ouvre ma deuxième session ???
J'ai de nouveau désinstallé tous les composants Google via JV16 (Googleearth, GoogleUpdate, Google Navclient, Google keyholecommonsettings, Google Toolbar). Malgré ça, ce processus revient quand même. J'ai fait une recherche avec JV16 de toutes les clés contenant "google" : il y en a plus de 2000 !!! Je n'ai pas osé les supprimer...
A toi de voir si tu peux en tirer quelque chose...
______________________________________________________________________________

Le scan de Kaspersky t'a-t-il appris quelque chose en ce qui concerne ces plantages ??
Avatar de l’utilisateur
nicop
 
Messages: 371
Inscription: 21 Jan 2005, 11:00
Localisation: Pyrénées

Messagede nickW » 30 Mai 2009, 16:54

Bonjour,


Le processus GoogleUpdate, seul, ne peut pas être désinstallé.
Il arrive sur le PC avec n'importe quelle application Google.

Pour le supprimer, il faut désinstaller la totalité des programmes Google présents sur le PC et attendre quelques heures: il disparaîtra de lui-même.

Voir: http://www.google.com/support/chrome/bi ... wer=107253


Une première remarque:
Est installé (dixit le rapport OTListIt-Extras) VideoLAN VLC media player 0.8.6d
La version actuelle est VLC media player 0.9.9


Une seconde remarque:
Les quatre programmes qui "se plantent" sont:
-VLC media player
-Google Earth
-Quick Time
-Adobe Image Ready

Un point commun de ces quatre programmes est la vidéo.

Peux-tu voir sur le site du fabricant de la carte vidéo s'il y a un pilote plus récent que celui qui est installé?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nicop » 02 Juin 2009, 16:15

Bonjour,

Pour Google Update : j'ai désinstallé tous les composants Google (plus aucune trace dans JV16). Le processus revient toujours mais bon, d'après ce que j'ai compris, ça n'a pas l'air d'être ça le problème...

Pour VLC : j'ai REdésinstallé nettoyé et Réinstallé la dernière version avec TotalUninstall. Plantage dès que je l'ouvre :evil:
J'ai refait un log OTListIt-Extras pour voir, c'est la bonne version qui apparaît désormais.

Quicktime et Adobe image ready plantent toujours ; toujours rien du côté de l'observateur d'évènements.


Pour la carte graphique, j'ai le pilote à jour, c'est sûr, j'ai bien vérifié.


:cry: :cry:

As-tu d'autres pistes ?
:oops: (désolé d'insister...)
Avatar de l’utilisateur
nicop
 
Messages: 371
Inscription: 21 Jan 2005, 11:00
Localisation: Pyrénées

Messagede nicop » 19 Juin 2009, 06:35

UP

Merci
Avatar de l’utilisateur
nicop
 
Messages: 371
Inscription: 21 Jan 2005, 11:00
Localisation: Pyrénées

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 36 invités