Discussion :

[tanaka59]

Hello

J'ai un programme qui a l'air plus que douteux et m'affiche une barre de couleur noire au avant le démarrage de ma session .

Cela se passe au démarrage , à la page qui est censé afficher "Bienvenue" sur windows Seven j'ai une barre noir avec un carré rouge dedans et une tete blanche a l’intérieur de ce dit carré rouge.

Comme sur l'image suivante :



NB : dessin a titre illustratif qui n'est pas à l'echelle

La barre fait la largeur d'une barre d'onglet de page sous internet explorer , elle occupe le coin supérieur gauche et va jusque le milieu de l'écran (soit environ 1cm sur 12cm ).

Dans l'ordre de chargement

>> écran noir type invité de commande
>> chargement avec logo de la marque de mon pc qui s'affiche (asus)
>> chargement avec le logo microsoft qui s'affiche
>> arrivé sur la page de "bienvenu " windows seven avec cette fameuse barre.

Pour info complémentaire , elle ne s'affiche pas à chaque démarrage.

Une éclaircie est la bienvenu

Merci

[hackoofr]

exécutez ce vbscript ListProcessCmdLine.vbs pour afficher tous les processus en cours d'exécution et les éléments à démarrage automatique puis Poster le résultat généré par ce dernier dans votre prochaine réponse

[JML19]

Bonjour

Essais un démarrage en mode sans échec.

[sevyc64]

Démarrage en mode sans échec puis
- Analyse approfondi avec un antivirus à jour
- Analyse approfondie avec Malwarebytes
- Analyse avec un anti rootkit

Eventuellement un coup de AdwCleaner (étrange que hackoofr ne l'ai pas indiqué) ne peut pas faire de mal non plus.

[hackoofr]

Eventuellement un coup de AdwCleaner (étrange que hackoofr ne l'ai pas indiqué) ne peut pas faire de mal non plus.

sevyc64
Parce que j'ai voulu savoir c'est quoi exactement ce processus et dans quelle clé il se cache ce dernier. A priori je crois dans Winlogon

[tanaka59]

sevyc64 >> adwcleaner ne trouve rien , ni malware byte , ni meme avira

---------------------------------------------------

Re pour hackoofr

BIOS _ASUS_ - 6222004

Nom de l'ordinateur : OURAL
Fabriquant: ASUSTeK Computer Inc.
Modèle : K72Jr

Microsoft Windows*7 Édition Familiale Premium |C:\Windows|\Device\Harddisk0\Partition2
Version 6.1.7600
Service Pack 0.0
Dossier de Windows: C:\Windows

**************Liste des Processus en cours d'exécution le 24/09/2012 à 21:56:26 sur Le PC OURAL connecté en tant que Moi**************
********************************************************************************
Numéro PID = 0
Nom du Processus = System Idle Process
Ligne de Commande =
****************************************************************************************************
Numéro PID = 4
Nom du Processus = System
Ligne de Commande =
****************************************************************************************************
Numéro PID = 316
Nom du Processus = smss.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 408
Nom du Processus = csrss.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 464
Nom du Processus = wininit.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 492
Nom du Processus = csrss.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 528
Nom du Processus = services.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 552
Nom du Processus = lsass.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 560
Nom du Processus = lsm.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 612
Nom du Processus = winlogon.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 700
Nom du Processus = svchost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 784
Nom du Processus = svchost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 852
Nom du Processus = atiesrxx.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 912
Nom du Processus = svchost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 948
Nom du Processus = svchost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 988
Nom du Processus = svchost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 292
Nom du Processus = stacsv64.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1056
Nom du Processus = svchost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1172
Nom du Processus = svchost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1180
Nom du Processus = atieclxx.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1308
Nom du Processus = FBAgent.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1352
Nom du Processus = AsLdrSrv.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1364
Nom du Processus = smartlogon.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1392
Nom du Processus = GFNEXSrv.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1504
Nom du Processus = spoolsv.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1556
Nom du Processus = sched.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1620
Nom du Processus = svchost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1748
Nom du Processus = avguard.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1800
Nom du Processus = LMS.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1872
Nom du Processus = SeaPort.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 652
Nom du Processus = svchost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1460
Nom du Processus = taskeng.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1924
Nom du Processus = WLIDSVC.EXE
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2052
Nom du Processus = dwm.exe
Ligne de Commande = "C:\Windows\system32\Dwm.exe"
****************************************************************************************************
Numéro PID = 2164
Nom du Processus = explorer.exe
Ligne de Commande = C:\Windows\Explorer.EXE
****************************************************************************************************
Numéro PID = 2232
Nom du Processus = sensorsrv.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2264
Nom du Processus = WLIDSVCM.EXE
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2284
Nom du Processus = BatteryLife.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2304
Nom du Processus = ControlDeckStartUp.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2328
Nom du Processus = wcourier.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2340
Nom du Processus = ALU.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2364
Nom du Processus = ACMON.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2508
Nom du Processus = ACEngSvr.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2800
Nom du Processus = HControl.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2888
Nom du Processus = AsScrPro.exe
Ligne de Commande = "C:\Windows\AsScrPro.exe"
****************************************************************************************************
Numéro PID = 2904
Nom du Processus = WmiPrvSE.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 3016
Nom du Processus = ATKOSD.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 3040
Nom du Processus = WDC.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2528
Nom du Processus = CLMLSvc.exe
Ligne de Commande = "C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe"
****************************************************************************************************
Numéro PID = 1900
Nom du Processus = WmiPrvSE.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2244
Nom du Processus = ETDCtrl.exe
Ligne de Commande = "C:\Program Files\Elantech\ETDCtrl.exe"
****************************************************************************************************
Numéro PID = 2884
Nom du Processus = itype.exe
Ligne de Commande = "C:\Program Files\Microsoft Device Center\itype.exe"
****************************************************************************************************
Numéro PID = 2672
Nom du Processus = ipoint.exe
Ligne de Commande = "C:\Program Files\Microsoft Device Center\ipoint.exe"
****************************************************************************************************
Numéro PID = 3104
Nom du Processus = msnmsgr.exe
Ligne de Commande = "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
****************************************************************************************************
Numéro PID = 3132
Nom du Processus = StikyNot.exe
Ligne de Commande = "C:\Windows\System32\StikyNot.exe"
****************************************************************************************************
Numéro PID = 3184
Nom du Processus = soffice.exe
Ligne de Commande = "C:\Program Files (x86)\program\soffice.exe" -quickstart
****************************************************************************************************
Numéro PID = 3192
Nom du Processus = soffice.bin
Ligne de Commande = "C:\Program Files (x86)\program\soffice.exe" "-quickstart" "-env:OOO_CWD=2C:\\Program Files (x86)\\program"
****************************************************************************************************
Numéro PID = 3224
Nom du Processus = avshadow.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 3232
Nom du Processus = conhost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 3292
Nom du Processus = avgnt.exe
Ligne de Commande = "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
****************************************************************************************************
Numéro PID = 3300
Nom du Processus = jusched.exe
Ligne de Commande = "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
****************************************************************************************************
Numéro PID = 3384
Nom du Processus = SearchIndexer.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 3364
Nom du Processus = svchost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 4052
Nom du Processus = svchost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 4212
Nom du Processus = wmpnetwk.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 4996
Nom du Processus = dllhost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 664
Nom du Processus = UNS.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2556
Nom du Processus = svchost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1148
Nom du Processus = firefox.exe
Ligne de Commande = "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
****************************************************************************************************
Numéro PID = 5076
Nom du Processus = plugin-container.exe
Ligne de Commande = "C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe" --channel=1148.853ca70.364293524 "C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_265.dll" E7CF176E110C211B -greomni "C:\Program Files (x86)\Mozilla Firefox\omni.ja" 1148 "\\.\pipe\gecko-crash-server-pipe.1148" plugin
****************************************************************************************************
Numéro PID = 3280
Nom du Processus = FlashPlayerPlugin_11_4_402_265.exe
Ligne de Commande = "C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_4_402_265.exe" --proxy-stub-channel=Flash5076.6A1FF168.41 --host-broker-channel=Flash5076.6A1FF168.18467 --host-pid=5076 --host-npapi-version=27 --plugin-path="C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_265.dll"
****************************************************************************************************
Numéro PID = 4908
Nom du Processus = FlashPlayerPlugin_11_4_402_265.exe
Ligne de Commande = "C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_4_402_265.exe" --channel=3280.001DF164.2132511831 --proxy-stub-channel=Flash5076.6A1FF168.41 --plugin-path="C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_265.dll" --host-npapi-version=27 --type=renderer
****************************************************************************************************
Numéro PID = 3912
Nom du Processus = taskeng.exe
Ligne de Commande = taskeng.exe {1E27BDCB-0106-4584-807D-A20B717BC3A3}
****************************************************************************************************
Numéro PID = 2952
Nom du Processus = audiodg.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 3512
Nom du Processus = SearchProtocolHost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 3576
Nom du Processus = SearchFilterHost.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 1228
Nom du Processus = wscript.exe
Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\Moi\Downloads\ListProcessCmdLine\ListProcessCmdLine.VBS"
****************************************************************************************************
Il y a 77 Processus en cours d'exécution le 24/09/2012 à 21:56:26 sur Le PC OURAL connecté en tant que Moi

************************************************** Les éléments à démarrage automatique ****************************************
Nom: OpenOffice.org 3.4.1
Description: OpenOffice.org 3.4.1
Emplacement: Startup
Commande: OpenOffice.org 3.4.1.lnk
Utilisateur: Oural\Moi
****************************************************************************************************
Nom: RDReminder
Description: RDReminder
Emplacement: HKU\S-1-5-21-1232121712-2345866123-1556340311-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande:
Utilisateur: Oural\Moi
****************************************************************************************************
Nom: msnmsgr
Description: msnmsgr
Emplacement: HKU\S-1-5-21-1232121712-2345866123-1556340311-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
Utilisateur: Oural\Moi
****************************************************************************************************
Nom: Google Update
Description: Google Update
Emplacement: HKU\S-1-5-21-1232121712-2345866123-1556340311-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Users\Moi\AppData\Local\Google\Update\GoogleUpdate.exe" /c
Utilisateur: Oural\Moi
****************************************************************************************************
Nom: ShowBatteryBar
Description: ShowBatteryBar
Emplacement: HKU\S-1-5-21-1232121712-2345866123-1556340311-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\BatteryBar\ShowBatteryBar.exe" show
Utilisateur: Oural\Moi
****************************************************************************************************
Nom: RESTART_STICKY_NOTES
Description: RESTART_STICKY_NOTES
Emplacement: HKU\S-1-5-21-1232121712-2345866123-1556340311-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Windows\System32\StikyNot.exe
Utilisateur: Oural\Moi
****************************************************************************************************
Nom: ETDWare
Description: ETDWare
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Program Files\Elantech\ETDCtrl.exe
Utilisateur: Public
****************************************************************************************************
Nom: IntelliType Pro
Description: IntelliType Pro
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Microsoft Device Center\itype.exe"
Utilisateur: Public
****************************************************************************************************
Nom: IntelliPoint
Description: IntelliPoint
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Microsoft Device Center\ipoint.exe"
Utilisateur: Public
****************************************************************************************************

[hackoofr]

Copier et coller ce Vbscript dans le notepad et enregistrez-le sous le nom Winlogon.vbs et Exécutez-le, il va générer un rapport qui s’appelle C:\Winlogon.txt ,collez-le dans votre prochaine réponse

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Set WS = CreateObject("WScript.Shell")
Command= "cmd /c reg query ""HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"" > c:\Winlogon.txt"
Resultat = ws.run(Command,0,True)
ws.run "Notepad c:\Winlogon.txt"

[tanaka59]

Hello

Voici le message d'erreur que j'ai

Le fichier winlogon.txt n'est pas trouvé , ni crée et un bloc note au nom "sans titre " apparait ::

[hackoofr]

Si ça ne marche pas,c'est à cause de l'UAC qui est activé.
Essayez alors de l'exécuter en tant qu'Administrateur avec le bouton droit de la souris.

[tanaka59]

Impossible

En faisant clique droit >> je n'ai peux pas executer en temps qu'administrateur car c'est un programme VBS donc je ne peut rien faire, rien dans la liste

[hackoofr]

essayez ceci en VBS aussi :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
const HKEY_LOCAL_MACHINE = &H80000002
strComputer = "."
Set fso = CreateObject("Scripting.FileSystemObject") 
Set ws = CreateObject("wscript.Shell")
set outPut = fso.createTextFile("c:\winlogon.txt",2,True)
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_ 
strComputer & "\root\default:StdRegProv")
strKeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon"
strValue = "Shell"
oReg.GetStringValue HKEY_LOCAL_MACHINE,strKeyPath,strValue,strShell
strValue = "Userinit"
oReg.GetStringValue HKEY_LOCAL_MACHINE,strKeyPath,strValue,strUserinit
OutPut.Writeline "Le Shell est : " &_
strShell & VbNewLine & "Userinit : " & strUserinit
ws.run "Notepad c:\Winlogon.txt"

[tanaka59]

Hello

Voici ce qui est généré , ca marche (enfin j'espere )

[hackoofr]

* Télécharger sur le bureau RogueKiller (par tigzy)
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...


* Cliquer sur Scan



* Attendre la fin du scan. A ce stade aucune modification n'a été apportée au système
* Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton Rapport.
Il peut être utile pour la personne vous aidant.

* Dans l'onglet Registre, décocher les éventuels faux positifs.
* Cliquer sur le bouton Suppression.
A l'inverse du bouton Scan, ce bouton supprime les infections de type rogue et modifie donc le système.



* Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton Rapport.
Il peut être utile pour la personne vous aidant.

---------------------------------------------------------

* Les rapports de Scan / Suppression montrent également si des configurations Proxy / DNS ont été trouvées.
Ces lignes se retrouvent dans les onglets du même nom.
Ces lignes ne sont pas forcément malware. Avant de les fixer, il convient de vérifier leur légitimité.

* Pour les fixer, utiliser les boutons correspondants (Proxy RAZ, DNS RAZ)



* Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton Rapport.
Il peut être utile pour la personne vous aidant.


---------------------------------------------------------

* Dans l'onglet Hosts, on peut voir le fichier hosts de la machine
* Si ce dernier est corrompu (suite à une infection), utiliser le bouton Host RAZ pour l'écraser avec une copie saine.



* Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton Rapport.
Il peut être utile pour la personne vous aidant.

---------------------------------------------------------

* Si vous faites face à un rogue de type FakeHDD (qui masque les fichiers et raccourcis), vous pouvez utiliser le bouton Racc. RAZ
* Cette option n'est pas à utiliser dans d'autres cas, car elle n'est pas sans conséquences sur le système



* Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton Rapport.
Il peut être utile pour la personne vous aidant.

---------------------------------------------------------

* Dans l'onglet Driver, on peut voir les hooks effectués au niveau du noyau windows (x86 seulement)
* Si certains index SSDT sont assimilés comme malwares (à décider par l'utilisateur), on peut restaurer l'index original en faisant un clic droit sur la ligne => Restaurer SSDT
Attention : Cette manipulation peut planter le PC.
Si vous ne savez pas ce que vous faites, n'utilisez pas cette option

[hackoofr]

voici un tutoriel en vidéo pour la démarche à suivre lors d'une désinfection :

et ceci la chaîne Youtube de Tigzy ou il y a plusieurs cas de désinfection :
http://www.youtube.com/user/TigzyRK

[tanaka59]

Merci

Bon j'ai fait des recherches en long en large et diagonale .

Mon PC n'a rien apparement

Merci des tuyaux

[hackoofr]

Merci

Bon j'ai fait des recherches en long en large et diagonale .

Mon PC n'a rien apparement

Merci des tuyaux

Donc votre problème est résolu, alors n'oubliez pas de cliquer sur le bouton

[tigzy]

@Hackoofr : Merci de ne pas copier / coller le tutoriel complet, ça ne sert à rien. Tu peux te faire un canned speech (plus parlant) ou à défaut juste indiquer le lien du tuto : http://www.sur-la-toile.com/discussi...-officiel.html

[tanaka59]

Hello ,

Désolé de remonter ce topic mais voila que cette étrangeté continue d'apparaitre. J'aimerais bien savoir à quoi cela peut correspondre ?

J'ai cherché de mon coté , en vain je n'ai rien trouvé . J'aimerais savoir de quoi il s'agit car pour l'instant mystère , c'est encore apparu cette semaine deux fois . Pas moyen de faire un screen shot c'est juste à l'écran de bienvenu de windows seven

Une idée ?

Merci de tuyauter