Fichier invisible

Le
Jacques-A
Bonjour,

Sur un PC (portable HP, XP-sp3), les scans d'antivirus détectent le
fichier ckvo1.dll dans system32. Mon problème est que ce fichier n'est
absolument pas visible dans l'explorateur (en cochant de manière
appropriée les options, il devrait pourtant l'être) alors qu'il l'est
dans une invite de commande.

Je soupçonne donc qu'il est caché par un process (sans doute lui-même
caché). Me trompais-je?

Dans l'affirmative, comment trouver son "parent" ?

Merci de vos réponses.

Jacques
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Herser
Le #17786761
Jacques-A wrote:
Bonjour,

Sur un PC (portable HP, XP-sp3), les scans d'antivirus détectent le
fichier ckvo1.dll dans system32. Mon problème est que ce fichier n'est
absolument pas visible dans l'explorateur (en cochant de manière
appropriée les options, il devrait pourtant l'être) alors qu'il l'est
dans une invite de commande.

Je soupçonne donc qu'il est caché par un process (sans doute lui-même
caché). Me trompais-je?

Dans l'affirmative, comment trouver son "parent" ?

Merci de vos réponses.

Jacques



Bonsoir
MalwareByte's Anti-Malware (MBAM) sait l'éradiquer :
http://www.commentcamarche.net/forum/affich-8288617-j-ai-un-portable-infecte-par-ckvo1-dll

Un tuto sur MBAM :
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

En principe la dll est visible dans system32, mais peut-être déjà supprimée
Et il reste quelques traces ailleurs (registre)
Donne nous le rapport (log) de MBAM, après éradication, STP
Herser
Mysoft
Le #17787121
Bonjour!

En démarrant en mode "Sans échec" il devrait être visible.
Tu pourras alors le supprimer.

Bonne soirée!


"Jacques-A" de news:
Bonjour,

Sur un PC (portable HP, XP-sp3), les scans d'antivirus détectent le
fichier ckvo1.dll dans system32. Mon problème est que ce fichier n'est
absolument pas visible dans l'explorateur (en cochant de manière
appropriée les options, il devrait pourtant l'être) alors qu'il l'est dans
une invite de commande.

Je soupçonne donc qu'il est caché par un process (sans doute lui-même
caché). Me trompais-je?

Dans l'affirmative, comment trouver son "parent" ?

Merci de vos réponses.

Jacques


Jacques-A
Le #17797721
Herser a écrit :
Jacques-A wrote:
Bonjour,




Bonjour Herser,


Sur un PC (portable HP, XP-sp3), les scans d'antivirus détectent le
fichier ckvo1.dll dans system32. Mon problème est que ce fichier n'est
absolument pas visible dans l'explorateur (en cochant de manière
appropriée les options, il devrait pourtant l'être) alors qu'il l'est
dans une invite de commande.

Je soupçonne donc qu'il est caché par un process (sans doute lui-même
caché). Me trompais-je?




Oui, l'affichage des fichiers cachés avait été neutralisée:
HKLM/Software/MS/Win/CurentVers/Explorer/Advence/Folders/Hidden/SHOWALL
-> CheckedValue à 0 au lieu de 1

Dans l'affirmative, comment trouver son "parent" ?

Merci de vos réponses.

Jacques



Bonsoir
MalwareByte's Anti-Malware (MBAM) sait l'éradiquer :
http://www.commentcamarche.net/forum/affich-8288617-j-ai-un-portable-infecte-par-ckvo1-dll


Un tuto sur MBAM :
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

En principe la dll est visible dans system32, mais peut-être déjà supprimée
Et il reste quelques traces ailleurs (registre)
Donne nous le rapport (log) de MBAM, après éradication, STP
Herser



Voici la log (avant de lancer le nettoyage) :

(Début]
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1375
Windows 5.1.2600 Service Pack 3

09/11/2008 19:02:01
mbam-log-2008-11-09 (19-01-20).txt

Type de recherche: Examen complet (C:|E:|)
Eléments examinés: 142569
Temps écoulé: 1 hour(s), 9 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{549b5ca7-4a86-11d7-a4df-000874180bb3}
(Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedStartMenuLogOff
(Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:WINDOWSsystem32ckvo1.dll (Trojan.Agent) -> No action taken.

[Fin]

Je suppose que des investigations dans le registre à partir de la valeur
{549b5ca7... peuvent être utiles. Qu'en pensez-vous ?

Jacques
Jacques-A
Le #17797711
Mysoft a écrit :
Bonjour!

En démarrant en mode "Sans échec" il devrait être visible.
Tu pourras alors le supprimer.

Bonne soirée!



Bonjour,
Je n'aurais aucune difficulté pour le supprimer en mode de commande mais
une désinfection incomplète étant parfois pire que le mal, je demandais
humblement conseil à la communauté de ceux qui savent (et même des autres).

Adishatz

Jacques



Herser
Le #17799071
Jacques-A wrote:
Herser a écrit :
Jacques-A wrote:
Bonjour,




Bonjour Herser,


Sur un PC (portable HP, XP-sp3), les scans d'antivirus détectent le
fichier ckvo1.dll dans system32. Mon problème est que ce fichier
n'est absolument pas visible dans l'explorateur (en cochant de
manière appropriée les options, il devrait pourtant l'être) alors
qu'il l'est dans une invite de commande.

Je soupçonne donc qu'il est caché par un process (sans doute
lui-même caché). Me trompais-je?




Oui, l'affichage des fichiers cachés avait été neutralisée:
HKLM/Software/MS/Win/CurentVers/Explorer/Advence/Folders/Hidden/SHOWALL
-> CheckedValue à 0 au lieu de 1

Dans l'affirmative, comment trouver son "parent" ?

Merci de vos réponses.

Jacques



Bonsoir
MalwareByte's Anti-Malware (MBAM) sait l'éradiquer :
http://www.commentcamarche.net/forum/affich-8288617-j-ai-un-portable-infecte-par-ckvo1-dll


Un tuto sur MBAM :
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

En principe la dll est visible dans system32, mais peut-être déjà
supprimée Et il reste quelques traces ailleurs (registre)
Donne nous le rapport (log) de MBAM, après éradication, STP
Herser



Voici la log (avant de lancer le nettoyage) :

(Début]
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1375
Windows 5.1.2600 Service Pack 3

09/11/2008 19:02:01
mbam-log-2008-11-09 (19-01-20).txt

Type de recherche: Examen complet (C:|E:|)
Eléments examinés: 142569
Temps écoulé: 1 hour(s), 9 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{549b5ca7-4a86-11d7-a4df-000874180bb3}
(Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedStartMenuLogOff
(Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:WINDOWSsystem32ckvo1.dll (Trojan.Agent) -> No action taken.

[Fin]

Je suppose que des investigations dans le registre à partir de la
valeur {549b5ca7... peuvent être utiles. Qu'en pensez-vous ?

Jacques



Laisse faire MBAM, en mode sans échec
Suis le tuto donné en lien
Herser
Jacques-A
Le #17802901
Herser a écrit :
Jacques-A wrote:
Herser a écrit :
Jacques-A wrote:
Bonjour,




Bonjour Herser,


Sur un PC (portable HP, XP-sp3), les scans d'antivirus détectent le
fichier ckvo1.dll dans system32. Mon problème est que ce fichier
n'est absolument pas visible dans l'explorateur (en cochant de
manière appropriée les options, il devrait pourtant l'être) alors
qu'il l'est dans une invite de commande.

Je soupçonne donc qu'il est caché par un process (sans doute
lui-même caché). Me trompais-je?




Oui, l'affichage des fichiers cachés avait été neutralisée:
HKLM/Software/MS/Win/CurentVers/Explorer/Advence/Folders/Hidden/SHOWALL
-> CheckedValue à 0 au lieu de 1

Dans l'affirmative, comment trouver son "parent" ?

Merci de vos réponses.

Jacques



Bonsoir
MalwareByte's Anti-Malware (MBAM) sait l'éradiquer :
http://www.commentcamarche.net/forum/affich-8288617-j-ai-un-portable-infecte-par-ckvo1-dll



Un tuto sur MBAM :
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

En principe la dll est visible dans system32, mais peut-être déjà
supprimée Et il reste quelques traces ailleurs (registre)
Donne nous le rapport (log) de MBAM, après éradication, STP
Herser



Voici la log (avant de lancer le nettoyage) :

(Début]
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1375
Windows 5.1.2600 Service Pack 3

09/11/2008 19:02:01
mbam-log-2008-11-09 (19-01-20).txt

Type de recherche: Examen complet (C:|E:|)
Eléments examinés: 142569
Temps écoulé: 1 hour(s), 9 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{549b5ca7-4a86-11d7-a4df-000874180bb3}

(Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedStartMenuLogOff

(Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:WINDOWSsystem32ckvo1.dll (Trojan.Agent) -> No action taken.

[Fin]

Je suppose que des investigations dans le registre à partir de la
valeur {549b5ca7... peuvent être utiles. Qu'en pensez-vous ?

Jacques



Laisse faire MBAM, en mode sans échec
Suis le tuto donné en lien
Herser


Au second passage en mode sans échec, après un reboot, j'ai eu un
message comme quoi tout était OK.
Ne restent plus que des nettoyages "normaux" pour retrouver un semblant
de performance.

A+
Jacques
Publicité
Poster une réponse
Anonyme