Fichiers.exe inexécutables: c'est le chétane!
Fermé
doggtagg
-
18 août 2005 à 14:23
saga9 Messages postés 5912 Date d'inscription vendredi 1 avril 2005 Statut Contributeur Dernière intervention 17 septembre 2005 - 19 août 2005 à 12:18
saga9 Messages postés 5912 Date d'inscription vendredi 1 avril 2005 Statut Contributeur Dernière intervention 17 septembre 2005 - 19 août 2005 à 12:18
4 réponses
saga9
Messages postés
5912
Date d'inscription
vendredi 1 avril 2005
Statut
Contributeur
Dernière intervention
17 septembre 2005
876
18 août 2005 à 14:58
18 août 2005 à 14:58
Salut, il est clair que tu as chopé quelque chose, un trojan en l'occurence.
Donc soit tu arrives à l'enleve via ton antivirus, soit regardes du cote de secuser.com ou il y a des outils pour retirer ce trojan ou tout autre bestiole.
Aussi, je te conseille de te deconnecté d'inetrnet quand tu ne l'utilises pas car il se peut que quelqueu'n ait pris le controle de ton pc pour y copier des fichiers ou pour en supprimer. Bref,evites d'etre connecté si tu n'en a pas besoin.
Ce qui est possible aussi , c'est de passer par le mode sans echec (en etant- deconnécté) pour voir si Adaware & co. peuvent se lancer.
Donc soit tu arrives à l'enleve via ton antivirus, soit regardes du cote de secuser.com ou il y a des outils pour retirer ce trojan ou tout autre bestiole.
Aussi, je te conseille de te deconnecté d'inetrnet quand tu ne l'utilises pas car il se peut que quelqueu'n ait pris le controle de ton pc pour y copier des fichiers ou pour en supprimer. Bref,evites d'etre connecté si tu n'en a pas besoin.
Ce qui est possible aussi , c'est de passer par le mode sans echec (en etant- deconnécté) pour voir si Adaware & co. peuvent se lancer.
Merci de ton aide...effectivement G pu faire fonctionner tous mes "attrape-bébêtes" en mode sans échec, et mes problèmes reviennent en mode normal. Pas grave...je vais accéder aux fichiers cachés , et essayer de reprendre le contrôle de mes cmd.exe.
Si quelqu'un à d'autre idées ou bien veux pleurer sur mon sort mdrrrrr c'est ouvert ;) !!
Si quelqu'un à d'autre idées ou bien veux pleurer sur mon sort mdrrrrr c'est ouvert ;) !!
En tout cas merci , car je pense avoir résolu mon problème ( j'effectue encore un scan en ligne en ce moment , mais je pense que ça devrait être bon, en tout moi après dodo hein )
Si c'est vrai que j'avais l'Adware "keenval.n", il s'est avéré que c'était la bébête Nimda.A qui m'a infecté, un ver qui "s'invite" avec toupet dans votre groupe d'utilisateurs système.
Voici un article sur ce ver
http://www.hifocus.net/dossiers/vnimda.php3?DossierID=19
En fait, après un premier scan en ligne qui n'a pas donné grand chose, j'ai redémarrer en mode sans échec et j'ai balayé avec AVG, Ad(awarisé, ad-squarisé, BPS etc...et G enlevé quelques Trojan. Et je redémarre en mode normal et AVG me trouve keenval et le fameux Nimda apparaissent: j'arrive pas à les enlever complètement donc je redémarre en mode sans échec, en nettoyant avec les utilitaires spéciaux symantec: rien. Je rescanne avec AVG non plus.
Là je me suis doté du pack 4 Win2000 et j'essaie encore un kapersky scan pour être sûr - parano peut-être
Voici un rapport "hijackthis" pour que vous puissiez voir si mes registres sont propres
Logfile of HijackThis v1.99.1
Scan saved at 02:15:13, on 19/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\WANADOO\taskbaricon.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Program Files\OLITEC SA\Réseau sans fil OLITEC\ZDConfig.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\NETGEAR\MA111v2 USB Adapter\MA111v2.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\OLIFAXVX\TOOLBAR.EXE
C:\Documents and Settings\Nguyen Trong Kha\Mes documents\hijackthis\HijackThis1991.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo, Internet avec france telecom
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
O4 - Global Startup: Photo Express SE Calendar Checker.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: OLITEC - Moniteur réseau 802.11b.lnk = ?
O4 - Global Startup: MA111 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA111v2 USB Adapter\MA111v2.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housec(...)
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
Quoi qu'il en soit, encore merci à ceux qui m'ont lu, et ceux qui voualit me lire ou m'aider mouhahaha :p!!
Si c'est vrai que j'avais l'Adware "keenval.n", il s'est avéré que c'était la bébête Nimda.A qui m'a infecté, un ver qui "s'invite" avec toupet dans votre groupe d'utilisateurs système.
Voici un article sur ce ver
http://www.hifocus.net/dossiers/vnimda.php3?DossierID=19
En fait, après un premier scan en ligne qui n'a pas donné grand chose, j'ai redémarrer en mode sans échec et j'ai balayé avec AVG, Ad(awarisé, ad-squarisé, BPS etc...et G enlevé quelques Trojan. Et je redémarre en mode normal et AVG me trouve keenval et le fameux Nimda apparaissent: j'arrive pas à les enlever complètement donc je redémarre en mode sans échec, en nettoyant avec les utilitaires spéciaux symantec: rien. Je rescanne avec AVG non plus.
Là je me suis doté du pack 4 Win2000 et j'essaie encore un kapersky scan pour être sûr - parano peut-être
Voici un rapport "hijackthis" pour que vous puissiez voir si mes registres sont propres
Logfile of HijackThis v1.99.1
Scan saved at 02:15:13, on 19/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\WANADOO\taskbaricon.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Program Files\OLITEC SA\Réseau sans fil OLITEC\ZDConfig.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\NETGEAR\MA111v2 USB Adapter\MA111v2.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\OLIFAXVX\TOOLBAR.EXE
C:\Documents and Settings\Nguyen Trong Kha\Mes documents\hijackthis\HijackThis1991.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo, Internet avec france telecom
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
O4 - Global Startup: Photo Express SE Calendar Checker.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: OLITEC - Moniteur réseau 802.11b.lnk = ?
O4 - Global Startup: MA111 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA111v2 USB Adapter\MA111v2.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housec(...)
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
Quoi qu'il en soit, encore merci à ceux qui m'ont lu, et ceux qui voualit me lire ou m'aider mouhahaha :p!!
saga9
Messages postés
5912
Date d'inscription
vendredi 1 avril 2005
Statut
Contributeur
Dernière intervention
17 septembre 2005
876
19 août 2005 à 12:18
19 août 2005 à 12:18
Salut, je suis pas un pro des logs mais ceci me semble louche:
C:\OLIFAXVX\TOOLBAR.EXE
..à verifier.
Sinon, pense maitenant à faire plus attention et si tu n'as pas de firewall (cze que je soupconne), dpeche toi d'en installer un.
Aussi, quand tu es connecté sur internet, ne debranche en aucun cas toutes tes protections (antivirus, firewall & co.). J'ai deja entendu des personnes qui disaient que une minute sans protection c'est pas bien grave, et bien c'est dangeureux comme reflexion car c'est amplment suffisant pour choper tout un tas de bestioles.
Et pour etre plus complet je te conseille fortement de lire ceci:
http://sebsauvage.net/safehex.html
C:\OLIFAXVX\TOOLBAR.EXE
..à verifier.
Sinon, pense maitenant à faire plus attention et si tu n'as pas de firewall (cze que je soupconne), dpeche toi d'en installer un.
Aussi, quand tu es connecté sur internet, ne debranche en aucun cas toutes tes protections (antivirus, firewall & co.). J'ai deja entendu des personnes qui disaient que une minute sans protection c'est pas bien grave, et bien c'est dangeureux comme reflexion car c'est amplment suffisant pour choper tout un tas de bestioles.
Et pour etre plus complet je te conseille fortement de lire ceci:
http://sebsauvage.net/safehex.html