fichiers / processus a bloquer ou pas ? (R E S O L U )

salut a tlm

depuis que g installé cis, j’ai sans arret des processus qui apparaissent en alerte heuristique parefeu, commencant par W*****.

dans le journal ils apparaissent systématiquement de nombreuses fois par jour

la seule différence que je percois est que je n’ai plus accés a la gestion des disques par poste de travail/gérer mais je ne suis pas persuadé que ca vienne de ca.

la recherche google ne donne rien.

en heuristique je sais que ca n’est pas toujours légitime comme alerte alors je ne sais pas trop si je fais bien ou pas de les bloquer

Si sur google tu ne trouve rien, c’est pas bon signe.

Pourquoi tu ne donne pas le nom complet des deux processus ?
Et aussi, dans quel dossier se mettent’ils ?

salut Sharoan

excuse moi pour ma non réponse désolé !

il y a finalement des dizaines de processus, j’ai bien l’impression qu’ils sont lancés par une sous-instance de true image
lorsqu’on en bloque un, il en sort un autre jusqu’à ce que l’on accepte
je ne suis pas très sur de mon coup mais je voie que sur les autres partitions avec des windows différents c pareil.
je pense que ce sont les processus schedhlp et scheldule2 qui lancent cela.

Bonjour,

J’ai essayé true image 2010 mais aucune alerte. Aucun processus commençant par w*
Tu utilise quelle version du soft ? Ya une action particulière qui le provoque ?
Aussi, quand tu dit qu’il y a une alerte heuristique parfeux, on parle bien de l’antivirus, ou du firewall ou de defense+ ?

L’antivirus, c’est le seul qui utilise de heuristique, les autres s’activent sur une action.
Sachant que heuristique peut être faux, c’est un possible comportement suspect qui est détecté. Mais si c’est uniquement ça, il suffit d’en faire par au staff comodo et il règle ça rapidement en général. Toutefois, il faut les applicatif concernés pour leur envoyé. Pour ma part, je n’ai pour l’instant trouvé aucun fichiers commençant par w* dans les dossiers de true image

salut Shaoran

j’utilise true image 9, et aucune action particuliere, cela survient aléatoirement.

je dis ca car lorsque dans comodo je vais voir les processus, juste en dessous de scheldule, qui est partie integrante de true image, des processus commencant par w… apparaissent

ceci dit si je les termine aucun probleme.

merci encore de ton interet

je regarde de quelle partie de comodo vient l’alerte (antivirus ou pare feu ou defense +) et je poste.

bonne apres midi a bientot.

la par exemple les alertes apparaissent lorsque j’ai lancé true image
puis lors de la mise a jour des modules de comodo, un processus commentdant par w apparait systematique sous l’icone de l’alliplication principale dans la fenetre de controle des processus de comodo.
évidemment g oublié de regarder l’intitulé de l’alerte, ou plutot quelle partie de comodo la lance
je recommence !

re shaoran

comment pourrais je te coller trois copies d’ecran comprenant tous les w****** que j’ai du traiter ?

merci d’avance.

http://imageshack.us/ ? :stuck_out_tongue:

salut Shaoran
ben dis donc toujours aussi rapide
excuse je pensais qu’il y avait une manip pour coller direct l’image dans le topic comme sur pc astuces par exemple

je te colle donc les lliens par la methode imageshack

merci d’avance.

Apparemment c’est le firewall qui intervient vu que ce sont ces règles en copie.

Toutefois, des processus dans des temps (de G:\ toutefois ? ???), vu la forme, on dirait plus une infection virale.

A voir les screens je dirais pareil en plus les noms des fichiers étant très semblables on dirais que l’infection se multiplie en utilisant des noms aléatoires.

j y ai pensé mais g redémarré sur une autre partition et j’ai fait un scan avec kaspersky internet security = nada
navilog 1 idem
sophos et panda antirootkit = idem
et bien sur comodo
g fait un hijackthis= rien vu de special non plus

Essaye en faisant un scan avec Malwarebytes’ Anti-Malware et SUPERAntiSpyware Free Edition
(oublie pas de les mettre a jour, je sais c’est une remarque stupide mais un oubli est vite arrivé ^^).

T’es plus a un scan ou deux près pour en être sur :slight_smile:

Ps : je sais pas si tu es sur une machine 32 bits mais si c’est le cas essaye aussi Gmer pour voir si t’as pas un rootkit (si t’es sous 64 bits pas la peine les rootkits peuvent pas s’installer en 64 bits), Gmer étant bien plus efficace que panda antirootkit (avis personnel).

merci jiras

g fait un scan avec le dernier navilog 1 qui inclut gmer = rien
malwarebytes antimalware= j’etais en train justement de le faire = rien
ashampoo antispyware 2.10 = rien
je suis en train d’installer superantispyware

En tout cas si c’est une infection (je dis bien “si”) c’est du costaud pour que tout ces programmes le détecte pas !

Tu peux envoyer le rapport hijackthis ?

le log hijackthis ci dessous, je ne vois rien de terrifiant a priori ???

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:57:39, on 24/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\csrss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
G:\WINDOWS\System32\svchost.exe
G:\Program Files\COMODO\COMODO Internet Security\cfp.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
G:\Program Files\Mozilla Thunderbird\thunderbird.exe
G:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2.exe
G:\WINDOWS\explorer.exe
G:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
G:\WINDOWS\system32\taskmgr.exe
E:\Programmes d’Installation\SECURITE\diagnostics\hijackthis 2.0.2 trend.exe
G:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN | Outlook, Office, Skype, Bing, Breaking News, and Latest Videos
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN | Outlook, Office, Skype, Bing, Breaking News, and Latest Videos
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = G:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = G:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM..\Run: [COMODO Internet Security] “G:\Program Files\COMODO\COMODO Internet Security\cfp.exe” -h
O4 - HKUS\S-1-5-19..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19..\RunOnce: [IE7-10] rundll32 advpack.dll,LaunchINFSectionEx NR_IE7en.inf,AfterUserStart,4,N (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User ‘SYSTEM’)
O4 - HKUS.DEFAULT..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User ‘Default user’)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - AppInit_DLLs: G:\WINDOWS\system32\guard32.dll
O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - G:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - G:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - G:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe


End of file - 3677 bytes

A première vu je vois rien non plus.

un petit tasklist /svc /fi “imagename eq svchost.exe” pour voir ce qu’on a dernière les svchost pour finir.

Salut Sharoan,

Merci de ta réponse et excuse moi du ■■■■■■ mis pour reagir

voila la tasklist (interessant je ne connaissais pas du tout cette commande merci aussi pour ca)

Salut,

A première vu (encore une fois …) il n’y a rien d’incorrect.

Si tu regardes dans c:\documents and settings\administrrateur\local settings\temp\ tu trouves tous ces fameux fichiers ?