Flux rss
Collection CommentCaMarche.net
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut : Non résolu

Processus syst.exe

spip, le dimanche 21 octobre 2007 à 13:26:29
Salut à tous,

Depuis une réinstallation de windows, j'ai choppé plusieurs virus.
J'ai pu en supprimer pas mal mais il y en a un qui resiste...

Au démarrage de ma session, un message m'indique que le dossier "c:\windows\sdrive" n'a pas été trouvé.
J'ai regardé et effectivement le chemin n'existe pas...
Dans mon repertoire "c:\" j'ai un fichier qui se nomme msfk.exe (archive rar sfx) qui contient notamment:

En comment:

;The comment below contains SFX script commands

Path=service.bat
SavePath
Setup=c:\windows\sdrive\
Silent=1
Overwrite=1

un fichier batch contenant les commandes:

@echo off
start c:\windows\sdrive\zm.exe
start c:\windows\sdrive\ptr.exe
del service.bat
exit

Bon c'est bien beau.... est-ce que ça vous dit quelque chose?

Deuxièmement j'ai le processus syst.exe qui tourne joyeusement et qui me court-circuite ma connection au net. Quand je le kill, pas de soucis pour naviguer, tout au moins jusqu'à ce qu'il se recharge en mémoire... et à ce moment là un message d'erreur apparait:

windows ne trouve pas 'c:\windows\sdrive' vérifier que vous avez entréle nom correctement..... etc
et qui c'est qui provoque ce message? msfk.exe....

voila donc le lien...

De plus le bouclier réseau d'Avast bloque une attaque DCOM Exploit attack from 82.236.86.106:135\tcp
En cherchant un peu sur le net je trouve syst.exe est un virus backdoor...

c'est à partir de là que je sèche :-)

voila un listing du log donné par hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 13:22:44, on 21/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\systs.exe
C:\Documents and Settings\sylvain\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: tjk8rla0zxexp - Unknown owner - C:\WINDOWS\system32\systs.exe

j'ai bien essayé de détruire le processus grace aux tools d'hijackthis mais rien à faire...

Donc si une âme généreuse pouvait me venir en aide... :-)
Merci d'avance! Sylvain.
Configuration: Windows XP
Firefox 2.0.0.8
Répondre à spip  Signaler ce message aux modérateurs Aller au dernier message

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
clownface, le dimanche 21 octobre 2007 à 15:45:49
Bonjour,

fais ceci :
* Prendre connaissance du contenu du lien suivant: http://www.f-secure.com/products/license-terms/eult_fra.pdf
* Vous avez donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que vous allez télécharger.
* Faire un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
* Enregistrez la cible (du lien) sous... et enregistrez-le sur le bureau.
* Faire un clic droit sur navilog1.zip et choisir "tout extraire"
* Double-cliquez sur navilog1.bat
* Arriver au menu principal, choisir l'option 1 et valider.
* Patientez jusqu'au message : Analyse Termine le ...
* Le rapport sera en outre sauvegardé à la racine du disque (fixnavi.txt)

copie/colle le rapport ici

La seule chose que je sais, c'est... qu'on ne sait jamais...
   
Répondre à clownface

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
ptite patte, le dimanche 21 octobre 2007 à 18:23:47
Bonjour,

Voila moi aussi j'ai le même problème.

Voici mon rapport :


Search Navipromo version 3.3.0 commencé le 21/10/2007 à 18:17:28,15

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 17.10.2007 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Damien\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\DAMIEN\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\DAMIEN\LOCALS~1\APPLIC~1 *



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:
C:\WINDOWS\system32\bbadd.bak1 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\bbadd.bak2 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche Heuristique :

C:\WINDOWS\system32\ucjqxeftbi.dat trouvé !


3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse terminée le 21/10/2007 à 18:18:18,31 ***
   
Répondre à ptite patte

3


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
clownface, le dimanche 21 octobre 2007 à 19:36:43
bonjour ptite patte

je ne vais pas pouvoir te repondre ici, c'est pas possible si vous etes deux a poster des rapports ici, on ne va plus s'y retrouver très vite
il te faut créer ton propre sujet.
Merci

La seule chose que je sais, c'est... qu'on ne sait jamais...
   
Répondre à clownface

4


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
spip, le mercredi 24 octobre 2007 à 21:36:19
Bonjour Clownface,
Désolé de ne pas avoir répondu plutôt mais j'étais coupé du net à cause de ces fichues attaques...
j'ai fait ce que tu proposais, le rapport donne:

Search Navipromo version 3.3.2 commencé le 24/10/2007 à 21:18:18,29

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Admin\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\ADMIN\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\ADMIN\LOCALS~1\APPLIC~1 *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse terminée le 24/10/2007 à 21:21:38,43 ***


riens quoi...
de temps en temps des messages windows me disent que des des applications de sont pas "des appli win32 valides" alors qu'il ne s'agit que de simple fichiers textes...

Malgrés de multiples réinstallations, pare-feux activé, mise à jour auto activées, antivirus actif et à jour (avast), le processus syst.exe réapparait toujours par magie!

La commande services.msc me montre que des processus sont gérés à distance (processus non-locaux avec un utilisateur NT quelque chose et un mot de passe), je les remets en local.
Le processus tjk8rla0zxexp pour le moins suspect fait appel à syst.exe

Ensuite en faisant un ctrl-alt-suppr, je vois que des d'autres processus tournent genre VRTAF.tmp, PSTO_ps17.exe
J'ai un peu les boules surtout que je pensais m'en être débarassé!!

Le soucis c'est que tout ce que je télécharge passe par la moulinette de ce virus et contamine tous les installs et autre trucs.
Par exemple ad-aware installé me sort une erreur "error while unpacking code LP5..." qd l'attaque débute (c'est d'ailleurs le seul signal d'alarme que j'ai, avast ne bronche même pas...)

HELP!!!!!

voila mon dernier rapport hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:34:59, on 24/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\PSTO_ps17.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\mmc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Windows SP System] svchost.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] "C:\Program Files\Fichiers communs\Ahead\Lib\NMFirstStart.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
End of file - 3515 bytes


chui un peu blasé moi....
   
Répondre à spip

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
clownface, le mercredi 24 octobre 2007 à 21:48:41
Bonsoir,



fais un scan antivirus en ligne : http://www.bitdefender.com/scan8/ie.html (postes le rapport)

télécharger superantispyware : http://www.superantispyware.com/superantispywarefreevspro.ht­ml (free edition=gratuite)
tuto : http://www.malekal.com/tutorial_SUPERAntiSpyware.php

quel est ton parefeu ?? je n'en vois pas : securite le parefeu de windows xp
installes en un et n'autorise pas les programmes louches à se connecter au net.

La seule chose que je sais, c'est... qu'on ne sait jamais...
   
Répondre à clownface

6


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
nebben, le mercredi 31 octobre 2007 à 12:29:47
Bonjour,
jai ce message lorque j'installe certains logiciel, pourtant je viens de faire formater mon pc,
si quelqun peut me guider .... merci

"error while unpacking program, code LP5"
   
Répondre à nebben

7


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
 clownface, le mercredi 31 octobre 2007 à 13:52:03
Bonjour,

merci de poster ton propre sujet.

La seule chose que je sais, c'est... qu'on ne sait jamais...
   
Répondre à clownface
Posez votre question Répondre

Résultats pour processus syst.exe

Systray - systray.exe systray - systray.exe Le processus systray.exe (systray signifiant System Tray Service) est un processus générique de Windows NT/2000/XP correspondant à la barre des tâches. Le processus systray n'est en aucun cas un Virus résident, un ver, un... www.commentcamarche.net/contents/processus/systray-exe.php3
System.exe (Résolu) Bonjour à tous, après moult recherches sur le net, je n'arrive toujours pas à solutionner mon problème qui est le suivant : Il y a un process nommé "system.exe" (je sais, ce n'est pas un process windows normal) qui utilise 99% des process,... www.commentcamarche.net/forum/affich-1827559-system-exe
Problème Processus Svchost.exe (Résolu) Bonjour, apres avoir remarquer dans la liste des processus "svchost.exe", plusieurs question me traverse l'esprit. Donc ce Processus est present 7 Fois, en different Nom de l'utilisateur (Systeme, service Local ou service reseau). ils... www.commentcamarche.net/forum/affich-5125307-probleme-processus-svchost-exe

Résultats pour processus syst.exe

Barre des tâches bloquéeLa barre des tâches ne répond plus ? Ce problème traduit généralement un problème de fond plus important du système Microsoft Windows. En effet, la barre des tâches ou les éléments du bureau sont régis par le processus explorer.exe. Solution à... www.commentcamarche.net/faq/sujet-6154-barre-des-taches-bloquee
1 2 3 Suivant

Résultats pour processus syst.exe

Qu'est ce que systemvital.exe (Résolu)Bonsoir tout le monde,systemvital.exe tente de se connecté quelq'un peut me dire a quoi correspond se processus ? www.commentcamarche.net/forum/affich-4887487-qu-est-ce-que-systemvital-exe
Ctfmon.exe & systray.exe = virus ? (Résolu)bonjours à tous au démarrage 2 programme se lance: ctfmon.exe et systray.exe, dont je ne connait pas l'origine. Pouvez vous m'éclairer sur leur effet ? y at'il danger? merci JEF www.commentcamarche.net/forum/affich-881564-ctfmon-exe-systray-exe-virus
Problème virus system.exe (Résolu)Bonjour, je lutte depuis quelques heures (toute la journée en fait) contre un virus : win32.worm...ainsi que le programme system.exe. j'ai tenté à mainte reprise de le supprimer grâce à des logiciels comme avast! ou a Squared mais il revient... www.commentcamarche.net/forum/affich-7179390-probleme-virus-system-exe
1 2 3 Suivant

Résultats pour processus syst.exe

Lsass - Lsass.exe - LSA shellLsass - Lsass.exe Le processus Lsass.exe (LSASS signifiant Local Security Authority Subsystem Service) est un processus système natif de Windows 2000/XP gérant les mécanismes de sécurité locale et d'authentification des utilisateurs via le... www.commentcamarche.net/contents/processus/lsass-exe.php3
Services - services.exeservices - services.exe Le processus services.exe (Windows Service Controller) est un processus générique de Windows NT/2000/XP permettant de reconnaître et d'adapter les modifications matérielles du système sans intervention de l'utilisateur. Le... www.commentcamarche.net/contents/processus/services-exe.php3
Taskmgr - taskmgr.exetaskmgr - taskmgr.exe Le processus taskmgr.exe (taskmgr signifiant task Manager) est le gestionnaire des tâches de Windows lui-même. Il est donc systématiquement lancé à chaque fois que vous souhaitez voir les processus d'arrière-plan ! Le... www.commentcamarche.net/contents/processus/taskmgr-exe.php3
1 2 3 Suivant