Sujet Précédent Sujet Suivant

Fichiers.exe inexécutables: c'est le chétane!

Fermé
doggtagg - 18 août 2005 à 14:23
saga9 Messages postés 5912 Date d'inscription vendredi 1 avril 2005 Statut Contributeur Dernière intervention 17 septembre 2005 - 19 août 2005 à 12:18
hello everybody et désolé pour les autres qui m'ont déjà lu ailleurs :p

Les caractéristiques de mon PC
Windows 2000 SP3 (WinNT 5.00.2195)
Internet Explorer v6.00 SP1 (6.00.2800.1106)

Donc voilà, G un message d'erreur à chaque fois que je veux intenter une action "bidule.exe a provoké des erreurs,Windows va devoir redémarrer le programme, un journal est en cours de création".il est vrai que juska récemment j'avais un message "(le processus s'est déjà terminé) a engendré des erreurs" mais je n'y faisais pas trop attention, un clic et je continuais ma vie
TOUT est touché ( même le gestionnaire des tâches) impossible d'ouvrir même le Panneau de configuration sauf Internet et MSN mdrrrrrrrrrr ( la grâce de Dieu mon enfant )avec les pop-ups et une barre d'adresse qui a viré ma barre Google ( BPS Spyware et Adaware sont KO évidement)
Donc je ne peux plus faire de rapport "hijackthis".



En attendant des réponses, j'ai tenté d'appliquer le patch recommandé puis G fait un rapport que G copié-collé. G pu supprimer la ligne avec "france.exe" mais je n'ai pu faire le reste.
G également fait une analyse: mon AVG n'a rien trouvé ni Rav scan.En revanche, kapersky m'a trouvé keenval.n

C:\DOCUME~1\NGUYEN~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\CXC1KP41\send_exe1[2].htm Suspicious: Exploit.HTML.CodeBaseExec

C:\DOCUME~1\NGUYEN~1\LOCALS~1\Temp\Preinstaller\setup_powersearch_MindSet_p1.exe/data0007 Infected: Trojan-Downloader.Win32.Keenval.n

C:\DOCUME~1\NGUYEN~1\LOCALS~1\Temp\Preinstaller\setup_powersearch_MindSet_p1.exe Infected: Trojan-Downloader.Win32.Keenval.

Le truc c'est que j'ai tenté de le virer par un patch Symantec, il ne m'a rien trouvé O_O ( G fait de même pour Sasser et Lovegate , car je pensais que ça pouvait être eux la cause de mes problèmes).

Donc voilà où j'en suis, c'est la misèèèèèère ouinnnnnn Mais je reste zen ^^

je reposte mon "hijackthis" d'y a 24 heures au cas où ça vous aiderait
et je vous remercie par avance de vous prendre la tête sur mon problème !!!






analyse 1
Logfile of HijackThis v1.99.1
Scan saved at 15:16:57, on 16/08/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\PROGRA~1\WANADOO\taskbaricon.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\WINNT\etb\pokapoka63.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINNT\System32\ctfmon.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\Nguyen Trong Kha\Mes documents\Security\hijackthis\HijackThis1991.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yoursearchspace.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.yoursearchspace.com/sp2.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo, Internet avec france telecom
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Egukpm] C:\Program Files\Kbwd\Unabwek.exe
O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINNT\System32\france.exe -N
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitebtn32.exe
O4 - HKLM\..\Run: [HELPER] C:\WINNT\System32\temp532.exe -N
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [System service63] C:\WINNT\etb\pokapoka63.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
O4 - Global Startup: Photo Express SE Calendar Checker.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: OLITEC - Moniteur réseau 802.11b.lnk = ?
O4 - Global Startup: MA111 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA111v2 USB Adapter\MA111v2.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - www.wanadoo.fr (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00000000-0023-0000-5400-320020040070} - http://66.240.181.129/gs/gsa0395.exe
O20 - Winlogon Notify: iexplore - 0Ya2r.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Analyse 2 ( liste)
Ad-Aware SE Personal
Adobe Reader 6.0 - Français
a-squared Free 1.6
BPS Spyware-Adware Remover 8.2.0.9
Correctif Windows 2000 - KB867282
Correctif Windows 2000 - KB883939
Correctif Windows 2000 - KB890923
DivX 5.0.3 Bundle
EasyRecovery Professional Essai
Google Toolbar for Internet Explorer
Guide de l'utilisateur Logitech
HijackThis 1.99.1
hp print screen utility
IsoBuster 1.6
IZArc 3.4.1.5
Language pack for Ad-Aware SE
Livebox
LiveReg (Symantec Corporation)
LiveUpdate 1.80 (Symantec Corporation)
Logitech MouseWare 9.10
Macromedia Shockwave Player
Media Gateway
Microsoft Internet Explorer 6 SP1
Microsoft Office XP Professional avec FrontPage
Mise à jour système du Lecteur Windows Media (Série 9)
MSN Messenger 7.0
NETGEAR MA111v2 802.11b Wireless USB Adapter
Nimo Codecs Pack v5.0 (Remove Only)
RealPlayer
Registry Healer 4.3.0 uninstall
Remove MiraScan USB Driver
Réseau sans fil OLITEC
Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g
Système anti-virus AVG 7.0
Wanadoo
WinRAR archiver
WinZip
Ulead Photo Express 3.0 SE
Viewpoint Media Player

4 réponses

Réponse 1 / 4
saga9 Messages postés 5912 Date d'inscription vendredi 1 avril 2005 Statut Contributeur Dernière intervention 17 septembre 2005 876
18 août 2005 à 14:58
Salut, il est clair que tu as chopé quelque chose, un trojan en l'occurence.
Donc soit tu arrives à l'enleve via ton antivirus, soit regardes du cote de secuser.com ou il y a des outils pour retirer ce trojan ou tout autre bestiole.

Aussi, je te conseille de te deconnecté d'inetrnet quand tu ne l'utilises pas car il se peut que quelqueu'n ait pris le controle de ton pc pour y copier des fichiers ou pour en supprimer. Bref,evites d'etre connecté si tu n'en a pas besoin.

Ce qui est possible aussi , c'est de passer par le mode sans echec (en etant- deconnécté) pour voir si Adaware & co. peuvent se lancer.

0
Réponse 2 / 4
doggtagg
18 août 2005 à 18:53
Merci de ton aide...effectivement G pu faire fonctionner tous mes "attrape-bébêtes" en mode sans échec, et mes problèmes reviennent en mode normal. Pas grave...je vais accéder aux fichiers cachés , et essayer de reprendre le contrôle de mes cmd.exe.

Si quelqu'un à d'autre idées ou bien veux pleurer sur mon sort mdrrrrr c'est ouvert ;) !!
0
Réponse 3 / 4
doggtagg
19 août 2005 à 02:43
En tout cas merci , car je pense avoir résolu mon problème ( j'effectue encore un scan en ligne en ce moment , mais je pense que ça devrait être bon, en tout moi après dodo hein )

Si c'est vrai que j'avais l'Adware "keenval.n", il s'est avéré que c'était la bébête Nimda.A qui m'a infecté, un ver qui "s'invite" avec toupet dans votre groupe d'utilisateurs système.
Voici un article sur ce ver
http://www.hifocus.net/dossiers/vnimda.php3?DossierID=19
En fait, après un premier scan en ligne qui n'a pas donné grand chose, j'ai redémarrer en mode sans échec et j'ai balayé avec AVG, Ad(awarisé, ad-squarisé, BPS etc...et G enlevé quelques Trojan. Et je redémarre en mode normal et AVG me trouve keenval et le fameux Nimda apparaissent: j'arrive pas à les enlever complètement donc je redémarre en mode sans échec, en nettoyant avec les utilitaires spéciaux symantec: rien. Je rescanne avec AVG non plus.
Là je me suis doté du pack 4 Win2000 et j'essaie encore un kapersky scan pour être sûr - parano peut-être

Voici un rapport "hijackthis" pour que vous puissiez voir si mes registres sont propres

Logfile of HijackThis v1.99.1
Scan saved at 02:15:13, on 19/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\WANADOO\taskbaricon.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Program Files\OLITEC SA\Réseau sans fil OLITEC\ZDConfig.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\NETGEAR\MA111v2 USB Adapter\MA111v2.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\OLIFAXVX\TOOLBAR.EXE
C:\Documents and Settings\Nguyen Trong Kha\Mes documents\hijackthis\HijackThis1991.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo, Internet avec france telecom
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
O4 - Global Startup: Photo Express SE Calendar Checker.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: OLITEC - Moniteur réseau 802.11b.lnk = ?
O4 - Global Startup: MA111 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA111v2 USB Adapter\MA111v2.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housec(...)
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Quoi qu'il en soit, encore merci à ceux qui m'ont lu, et ceux qui voualit me lire ou m'aider mouhahaha :p!!
0
Réponse 4 / 4
saga9 Messages postés 5912 Date d'inscription vendredi 1 avril 2005 Statut Contributeur Dernière intervention 17 septembre 2005 876
19 août 2005 à 12:18
Salut, je suis pas un pro des logs mais ceci me semble louche:
C:\OLIFAXVX\TOOLBAR.EXE
..à verifier.
Sinon, pense maitenant à faire plus attention et si tu n'as pas de firewall (cze que je soupconne), dpeche toi d'en installer un.
Aussi, quand tu es connecté sur internet, ne debranche en aucun cas toutes tes protections (antivirus, firewall & co.). J'ai deja entendu des personnes qui disaient que une minute sans protection c'est pas bien grave, et bien c'est dangeureux comme reflexion car c'est amplment suffisant pour choper tout un tas de bestioles.
Et pour etre plus complet je te conseille fortement de lire ceci:
http://sebsauvage.net/safehex.html
0