Suite à une manoeuvre pas très catholique de ma part sur internet, et à
des tentatives de connexion vers l'exterieur signalé par mon kerio,
j'ai bien peur d'avoir choper une ou plusieurs betes pas sympathique.
Mon système : Windows XP SP2 (à jour du mois dernier, sans doute pas de
ce mois ci) + kerio 4 + AVG. Je n'utilise pas ie ni outlook.
Un passage de AVG en mode sans echec m'a supprimé le trojan
dropper.agent.avb qui était présent en 3 exemplaires.
Les symptomes après ça : creation dans windows/temp de fichiers
win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par ex
win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2
minutes.
A la fin du message, à tout hasard, un log hijackthis.
Ca vous dit quelque chose tout ça ?
Merci beaucoup pour votre aide.
Benoit
Logfile of HijackThis v1.99.1
Scan saved at 17:02:10, on 14/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Benoit
Benoit disait :
Bonjour à tous,
Les symptomes après ça : creation dans windows/temp de fichiers win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2 minutes.
Un petit complément : un fichier win*.tmp.exe est créé régulièrement, AVG me le signale comme trojan horse dropper.agent.avb
Merci à tous
Benoit
Benoit disait :
Bonjour à tous,
Les symptomes après ça : creation dans windows/temp de fichiers win*.tmp de 0
octet (* : deux chiffres, ou une lettre un chiffre par ex win16.tmp,
win17.tmp, ...) par vague de 4 fichiers toutes les 2 minutes.
Un petit complément : un fichier win*.tmp.exe est créé régulièrement,
AVG me le signale comme trojan horse dropper.agent.avb
Les symptomes après ça : creation dans windows/temp de fichiers win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2 minutes.
Un petit complément : un fichier win*.tmp.exe est créé régulièrement, AVG me le signale comme trojan horse dropper.agent.avb
Merci à tous
Benoit
delta
Benoit wrote:
Bonjour à tous,
'soir,
Suite à une manoeuvre pas très catholique de ma part sur internet, et à des tentatives de connexion vers l'exterieur signalé par mon kerio, j'ai bien peur d'avoir choper une ou plusieurs betes pas sympathique. Mon système : Windows XP SP2 (à jour du mois dernier, sans doute pas de ce mois ci) + kerio 4 + AVG. Je n'utilise pas ie ni outlook.
Un passage de AVG en mode sans echec m'a supprimé le trojan dropper.agent.avb qui était présent en 3 exemplaires.
Les symptomes après ça : creation dans windows/temp de fichiers win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2 minutes.
A la fin du message, à tout hasard, un log hijackthis.
Ca vous dit quelque chose tout ça ?
Qques Bho a virer et des traces de Symantec : www.hijackthis.de réponse de robot, ne pas suivre aveuglément.
-- Juste fais-le
Benoit <benoit_vigan@yahoo.fr> wrote:
Bonjour à tous,
'soir,
Suite à une manoeuvre pas très catholique de ma part sur internet, et
à des tentatives de connexion vers l'exterieur signalé par mon kerio,
j'ai bien peur d'avoir choper une ou plusieurs betes pas sympathique.
Mon système : Windows XP SP2 (à jour du mois dernier, sans doute pas
de ce mois ci) + kerio 4 + AVG. Je n'utilise pas ie ni outlook.
Un passage de AVG en mode sans echec m'a supprimé le trojan
dropper.agent.avb qui était présent en 3 exemplaires.
Les symptomes après ça : creation dans windows/temp de fichiers
win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par
ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2
minutes.
A la fin du message, à tout hasard, un log hijackthis.
Ca vous dit quelque chose tout ça ?
Qques Bho a virer et des traces de Symantec :
www.hijackthis.de
réponse de robot, ne pas suivre
aveuglément.
Suite à une manoeuvre pas très catholique de ma part sur internet, et à des tentatives de connexion vers l'exterieur signalé par mon kerio, j'ai bien peur d'avoir choper une ou plusieurs betes pas sympathique. Mon système : Windows XP SP2 (à jour du mois dernier, sans doute pas de ce mois ci) + kerio 4 + AVG. Je n'utilise pas ie ni outlook.
Un passage de AVG en mode sans echec m'a supprimé le trojan dropper.agent.avb qui était présent en 3 exemplaires.
Les symptomes après ça : creation dans windows/temp de fichiers win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2 minutes.
A la fin du message, à tout hasard, un log hijackthis.
Ca vous dit quelque chose tout ça ?
Qques Bho a virer et des traces de Symantec : www.hijackthis.de réponse de robot, ne pas suivre aveuglément.
-- Juste fais-le
Ascadix
De la plume numérique de Benoit, nous vîmes sortir un à un les octets du messages suivant: <news:
Benoit disait :
Bonjour à tous,
Les symptomes après ça : creation dans windows/temp de fichiers win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2 minutes.
Un petit complément : un fichier win*.tmp.exe est créé régulièrement, AVG me le signale comme trojan horse dropper.agent.avb
Merci à tous
Benoit
Tu récupére FILEMON et Process Explorer chez Sysinternals
tu lance FileMon et tu le configure pour qu'il se concentre sur "win*.tmp.exe" et dés qu'il t'indique un process qui tente d'écrire ça, tu regarde avec ProcessExplorer d'un peu plus prés ce process ...
1 - tu le fige 2 - tu regarde en détails l'emplacement du fichier, l'arborescence des process ...
et soit t'arrive à t'en débarasser facilement ..soit tu nous donne ici la suite et on vera ce qu'on peut tenter
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
De la plume numérique de Benoit, nous vîmes sortir un à un les octets du
messages suivant:
<news:mn.743a7d6436c5053b.26317@yahoo.fr>
Benoit disait :
Bonjour à tous,
Les symptomes après ça : creation dans windows/temp de fichiers
win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par
ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2
minutes.
Un petit complément : un fichier win*.tmp.exe est créé régulièrement,
AVG me le signale comme trojan horse dropper.agent.avb
Merci à tous
Benoit
Tu récupére FILEMON et Process Explorer chez Sysinternals
tu lance FileMon et tu le configure pour qu'il se concentre sur
"win*.tmp.exe" et dés qu'il t'indique un process qui tente d'écrire ça, tu
regarde avec ProcessExplorer d'un peu plus prés ce process ...
1 - tu le fige
2 - tu regarde en détails l'emplacement du fichier, l'arborescence des
process ...
et soit t'arrive à t'en débarasser facilement ..soit tu nous donne ici la
suite et on vera ce qu'on peut tenter
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
De la plume numérique de Benoit, nous vîmes sortir un à un les octets du messages suivant: <news:
Benoit disait :
Bonjour à tous,
Les symptomes après ça : creation dans windows/temp de fichiers win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2 minutes.
Un petit complément : un fichier win*.tmp.exe est créé régulièrement, AVG me le signale comme trojan horse dropper.agent.avb
Merci à tous
Benoit
Tu récupére FILEMON et Process Explorer chez Sysinternals
tu lance FileMon et tu le configure pour qu'il se concentre sur "win*.tmp.exe" et dés qu'il t'indique un process qui tente d'écrire ça, tu regarde avec ProcessExplorer d'un peu plus prés ce process ...
1 - tu le fige 2 - tu regarde en détails l'emplacement du fichier, l'arborescence des process ...
et soit t'arrive à t'en débarasser facilement ..soit tu nous donne ici la suite et on vera ce qu'on peut tenter
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Benoit
Tu récupére FILEMON et Process Explorer chez Sysinternals
tu lance FileMon et tu le configure pour qu'il se concentre sur "win*.tmp.exe" et dés qu'il t'indique un process qui tente d'écrire ça, tu regarde avec ProcessExplorer d'un peu plus prés ce process ...
1 - tu le fige 2 - tu regarde en détails l'emplacement du fichier, l'arborescence des process ...
et soit t'arrive à t'en débarasser facilement ..soit tu nous donne ici la suite et on vera ce qu'on peut tenter
Ok merci. Je fais tout ça et je vous tiens au courant.
Benoit
Tu récupére FILEMON et Process Explorer chez Sysinternals
tu lance FileMon et tu le configure pour qu'il se concentre sur
"win*.tmp.exe" et dés qu'il t'indique un process qui tente d'écrire ça, tu
regarde avec ProcessExplorer d'un peu plus prés ce process ...
1 - tu le fige
2 - tu regarde en détails l'emplacement du fichier, l'arborescence des
process ...
et soit t'arrive à t'en débarasser facilement ..soit tu nous donne ici la
suite et on vera ce qu'on peut tenter
Ok merci. Je fais tout ça et je vous tiens au courant.
Tu récupére FILEMON et Process Explorer chez Sysinternals
tu lance FileMon et tu le configure pour qu'il se concentre sur "win*.tmp.exe" et dés qu'il t'indique un process qui tente d'écrire ça, tu regarde avec ProcessExplorer d'un peu plus prés ce process ...
1 - tu le fige 2 - tu regarde en détails l'emplacement du fichier, l'arborescence des process ...
et soit t'arrive à t'en débarasser facilement ..soit tu nous donne ici la suite et on vera ce qu'on peut tenter
Ok merci. Je fais tout ça et je vous tiens au courant.
Benoit
Benoit
Ascadix a formulé la demande :
De la plume numérique de Benoit, nous vîmes sortir un à un les octets du messages suivant: <news:
Benoit disait :
Bonjour à tous,
Les symptomes après ça : creation dans windows/temp de fichiers win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2 minutes.
Un petit complément : un fichier win*.tmp.exe est créé régulièrement, AVG me le signale comme trojan horse dropper.agent.avb
Merci à tous
Benoit
Tu récupére FILEMON et Process Explorer chez Sysinternals
tu lance FileMon et tu le configure pour qu'il se concentre sur "win*.tmp.exe" et dés qu'il t'indique un process qui tente d'écrire ça, tu regarde avec ProcessExplorer d'un peu plus prés ce process ...
1 - tu le fige 2 - tu regarde en détails l'emplacement du fichier, l'arborescence des process ...
et soit t'arrive à t'en débarasser facilement ..soit tu nous donne ici la suite et on vera ce qu'on peut tenter
Rebonjour,
Voila ce que me donne filemon : 13:30:42 winlogon.exe:772 OPEN C:WINDOWSTEMPwin68.tmp.exe NOT FOUND Options: Open Access: All
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe SUCCESS Options: Open Access: All
13:30:43 winlogon.exe:772 CLOSE C:WINDOWSTempwin19D.tmp.exe SUCCESS
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:31:43 avgcc.exe:364 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS Attributes: A
Puis toute une série de ligne où AVG soigne le fichier win19D.tmp.exe
Quand je vais voir winlogon.exe dans Process explorer, je trouve :
Process PID CPU Description Company Name smss.exe 680 Gestionnaire de session Windows NT Microsoft Corporation csrss.exe 744 Client Server Runtime Process Microsoft Corporation winlogon.exe 772 Application d'ouverture de session Windows NT Microsoft Corporation services.exe 816 0.99 Applications Services et Contrôleur Microsoft Corporation svchost.exe 988 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1072 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1168 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1212 Generic Host Process for Win32 Services Microsoft Corporation spoolsv.exe 1392 Spooler SubSystem App Microsoft Corporation avgamsvr.exe 476 AVG Alert Manager GRISOFT, s.r.o. avgupsvc.exe 576 AVG Update Service GRISOFT, s.r.o. CTSVCCDA.EXE 624 Creative Service for CDROM Access Creative Technology Ltd kpf4ss.exe 644 Kerio Personal Firewall 4 - Service Kerio Technologies kpf4gui.exe 1136 Kerio Personal Firewall 4 - GUI Kerio Technologies kpf4gui.exe 484 0.99 Kerio Personal Firewall 4 - GUI Kerio Technologies slserv.exe 720 User-Level Modem Service svchost.exe 740 Generic Host Process for Win32 Services Microsoft Corporation vcssecs.exe 884 Virtual CD v4.3 SDK - Security Service H+H Software GmbH svchost.exe 1620 Generic Host Process for Win32 Services Microsoft Corporation lsass.exe 836 LSA Shell (Export Version) Microsoft Corporation
Lorsque je scanne winlogon, je ne trouve rien. J'ai suspendu le process, qu'est ce que je fais après ?
Merci beaucoup
Benoit
Ascadix a formulé la demande :
De la plume numérique de Benoit, nous vîmes sortir un à un les octets du
messages suivant:
<news:mn.743a7d6436c5053b.26317@yahoo.fr>
Benoit disait :
Bonjour à tous,
Les symptomes après ça : creation dans windows/temp de fichiers
win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par
ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2
minutes.
Un petit complément : un fichier win*.tmp.exe est créé régulièrement,
AVG me le signale comme trojan horse dropper.agent.avb
Merci à tous
Benoit
Tu récupére FILEMON et Process Explorer chez Sysinternals
tu lance FileMon et tu le configure pour qu'il se concentre sur
"win*.tmp.exe" et dés qu'il t'indique un process qui tente d'écrire ça, tu
regarde avec ProcessExplorer d'un peu plus prés ce process ...
1 - tu le fige
2 - tu regarde en détails l'emplacement du fichier, l'arborescence des
process ...
et soit t'arrive à t'en débarasser facilement ..soit tu nous donne ici la
suite et on vera ce qu'on peut tenter
Rebonjour,
Voila ce que me donne filemon :
13:30:42 winlogon.exe:772 OPEN C:WINDOWSTEMPwin68.tmp.exe NOT FOUND Options: Open Access: All
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe SUCCESS Options: Open Access: All
13:30:43 winlogon.exe:772 CLOSE C:WINDOWSTempwin19D.tmp.exe SUCCESS
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:31:43 avgcc.exe:364 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS Attributes: A
Puis toute une série de ligne où AVG soigne le fichier win19D.tmp.exe
Quand je vais voir winlogon.exe dans Process explorer, je trouve :
Process PID CPU Description Company Name
smss.exe 680 Gestionnaire de session Windows NT Microsoft Corporation
csrss.exe 744 Client Server Runtime Process Microsoft Corporation
winlogon.exe 772 Application d'ouverture de session Windows NT Microsoft Corporation
services.exe 816 0.99 Applications Services et Contrôleur Microsoft Corporation
svchost.exe 988 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1072 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1168 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1212 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 1392 Spooler SubSystem App Microsoft Corporation
avgamsvr.exe 476 AVG Alert Manager GRISOFT, s.r.o.
avgupsvc.exe 576 AVG Update Service GRISOFT, s.r.o.
CTSVCCDA.EXE 624 Creative Service for CDROM Access Creative Technology Ltd
kpf4ss.exe 644 Kerio Personal Firewall 4 - Service Kerio Technologies
kpf4gui.exe 1136 Kerio Personal Firewall 4 - GUI Kerio Technologies
kpf4gui.exe 484 0.99 Kerio Personal Firewall 4 - GUI Kerio Technologies
slserv.exe 720 User-Level Modem Service
svchost.exe 740 Generic Host Process for Win32 Services Microsoft Corporation
vcssecs.exe 884 Virtual CD v4.3 SDK - Security Service H+H Software GmbH
svchost.exe 1620 Generic Host Process for Win32 Services Microsoft Corporation
lsass.exe 836 LSA Shell (Export Version) Microsoft Corporation
Lorsque je scanne winlogon, je ne trouve rien. J'ai suspendu le process,
qu'est ce que je fais après ?
De la plume numérique de Benoit, nous vîmes sortir un à un les octets du messages suivant: <news:
Benoit disait :
Bonjour à tous,
Les symptomes après ça : creation dans windows/temp de fichiers win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2 minutes.
Un petit complément : un fichier win*.tmp.exe est créé régulièrement, AVG me le signale comme trojan horse dropper.agent.avb
Merci à tous
Benoit
Tu récupére FILEMON et Process Explorer chez Sysinternals
tu lance FileMon et tu le configure pour qu'il se concentre sur "win*.tmp.exe" et dés qu'il t'indique un process qui tente d'écrire ça, tu regarde avec ProcessExplorer d'un peu plus prés ce process ...
1 - tu le fige 2 - tu regarde en détails l'emplacement du fichier, l'arborescence des process ...
et soit t'arrive à t'en débarasser facilement ..soit tu nous donne ici la suite et on vera ce qu'on peut tenter
Rebonjour,
Voila ce que me donne filemon : 13:30:42 winlogon.exe:772 OPEN C:WINDOWSTEMPwin68.tmp.exe NOT FOUND Options: Open Access: All
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe SUCCESS Options: Open Access: All
13:30:43 winlogon.exe:772 CLOSE C:WINDOWSTempwin19D.tmp.exe SUCCESS
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:31:43 avgcc.exe:364 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS Attributes: A
Puis toute une série de ligne où AVG soigne le fichier win19D.tmp.exe
Quand je vais voir winlogon.exe dans Process explorer, je trouve :
Process PID CPU Description Company Name smss.exe 680 Gestionnaire de session Windows NT Microsoft Corporation csrss.exe 744 Client Server Runtime Process Microsoft Corporation winlogon.exe 772 Application d'ouverture de session Windows NT Microsoft Corporation services.exe 816 0.99 Applications Services et Contrôleur Microsoft Corporation svchost.exe 988 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1072 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1168 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1212 Generic Host Process for Win32 Services Microsoft Corporation spoolsv.exe 1392 Spooler SubSystem App Microsoft Corporation avgamsvr.exe 476 AVG Alert Manager GRISOFT, s.r.o. avgupsvc.exe 576 AVG Update Service GRISOFT, s.r.o. CTSVCCDA.EXE 624 Creative Service for CDROM Access Creative Technology Ltd kpf4ss.exe 644 Kerio Personal Firewall 4 - Service Kerio Technologies kpf4gui.exe 1136 Kerio Personal Firewall 4 - GUI Kerio Technologies kpf4gui.exe 484 0.99 Kerio Personal Firewall 4 - GUI Kerio Technologies slserv.exe 720 User-Level Modem Service svchost.exe 740 Generic Host Process for Win32 Services Microsoft Corporation vcssecs.exe 884 Virtual CD v4.3 SDK - Security Service H+H Software GmbH svchost.exe 1620 Generic Host Process for Win32 Services Microsoft Corporation lsass.exe 836 LSA Shell (Export Version) Microsoft Corporation
Lorsque je scanne winlogon, je ne trouve rien. J'ai suspendu le process, qu'est ce que je fais après ?
Merci beaucoup
Benoit
Ascadix
De la plume numérique de Benoit, nous vîmes sortir un à un les octets du messages suivant: <news:
Ascadix a formulé la demande :
De la plume numérique de Benoit, nous vîmes sortir un à un les octets du messages suivant: <news:
Benoit disait :
Bonjour à tous,
Les symptomes après ça : creation dans windows/temp de fichiers win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2 minutes.
Un petit complément : un fichier win*.tmp.exe est créé régulièrement, AVG me le signale comme trojan horse dropper.agent.avb
Merci à tous
Benoit
Tu récupére FILEMON et Process Explorer chez Sysinternals
tu lance FileMon et tu le configure pour qu'il se concentre sur "win*.tmp.exe" et dés qu'il t'indique un process qui tente d'écrire ça, tu regarde avec ProcessExplorer d'un peu plus prés ce process ...
1 - tu le fige 2 - tu regarde en détails l'emplacement du fichier, l'arborescence des process ...
et soit t'arrive à t'en débarasser facilement ..soit tu nous donne ici la suite et on vera ce qu'on peut tenter
Rebonjour,
Voila ce que me donne filemon : 13:30:42 winlogon.exe:772 OPEN C:WINDOWSTEMPwin68.tmp.exe NOT FOUND Options: Open Access: All
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe SUCCESS Options: Open Access: All
13:30:43 winlogon.exe:772 CLOSE C:WINDOWSTempwin19D.tmp.exe SUCCESS
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:31:43 avgcc.exe:364 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS Attributes: A
Puis toute une série de ligne où AVG soigne le fichier win19D.tmp.exe
Quand je vais voir winlogon.exe dans Process explorer, je trouve :
Process PID CPU Description Company Name smss.exe 680 Gestionnaire de session Windows NT Microsoft Corporation csrss.exe 744 Client Server Runtime Process Microsoft Corporation winlogon.exe 772 Application d'ouverture de session Windows NT Microsoft Corporation services.exe 816 0.99 Applications Services et Contrôleur Microsoft Corporation svchost.exe 988 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1072 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1168 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1212 Generic Host Process for Win32 Services Microsoft Corporation spoolsv.exe 1392 Spooler SubSystem App Microsoft Corporation avgamsvr.exe 476 AVG Alert Manager GRISOFT, s.r.o. avgupsvc.exe 576 AVG Update Service GRISOFT, s.r.o. CTSVCCDA.EXE 624 Creative Service for CDROM Access Creative Technology Ltd kpf4ss.exe 644 Kerio Personal Firewall 4 - Service Kerio Technologies kpf4gui.exe 1136 Kerio Personal Firewall 4 - GUI Kerio Technologies kpf4gui.exe 484 0.99 Kerio Personal Firewall 4 - GUI Kerio Technologies slserv.exe 720 User-Level Modem Service svchost.exe 740 Generic Host Process for Win32 Services Microsoft Corporation vcssecs.exe 884 Virtual CD v4.3 SDK - Security Service H+H Software GmbH svchost.exe 1620 Generic Host Process for Win32 Services Microsoft Corporation lsass.exe 836 LSA Shell (Export Version) Microsoft Corporation
Lorsque je scanne winlogon, je ne trouve rien. J'ai suspendu le process, qu'est ce que je fais après ?
Merci beaucoup
Benoit
Là ça craint un peu si c'est une vérolle qui c'est accroché à WinLogon ..elle sont souvent chiantes à décrocher celle-là.
Bon ..oubli la partie "suspendre", ça va pas donner grand chose et ça risque même de poser d'autres pb ( pas graves ..mais ralentissants )
Toujorus chez sysinternals, récupére AUTORUNS, lance le, dans les options: - décoche "include empty locations" - coche "hide MS signed entry" - coche "verify code signatures"
rafraichit ( clic sur le bouton refresh )
et regarde dans l'onglet "WinLogon" ..
tu voit quoi ? logiquement tu devrait avoir au moins une ligne ..
copy ici la/les lignes ( clic droit copier, ça merche )
En paralléle, je te sugére de télécharger un AV autonome ( genre stinger Mcafee ou SysClean de Trend ) et d'en passer un coup en mode sans echecs
pour le trend il faut ça: http://fr.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com ( c'ets expliqué sur cette page : http://fr.trendmicro-europe.com/enterprise/support/tsc.php )
et le zip sur cette page-là ( à déziper dans le dossier ou tu as mis l'autre fichier, tu reboot en mode sans echec, tu lance et tu scan ): http://fr.trendmicro-europe.com/enterprise/support/pattern.php
Si tu obtient un nom de bestiole, ça aidera pour la suite
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
De la plume numérique de Benoit, nous vîmes sortir un à un les octets du
messages suivant:
<news:mn.7b4b7d642cb3a167.26317@yahoo.fr>
Ascadix a formulé la demande :
De la plume numérique de Benoit, nous vîmes sortir un à un les
octets du messages suivant:
<news:mn.743a7d6436c5053b.26317@yahoo.fr>
Benoit disait :
Bonjour à tous,
Les symptomes après ça : creation dans windows/temp de fichiers
win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre
par ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes
les 2 minutes.
Un petit complément : un fichier win*.tmp.exe est créé
régulièrement, AVG me le signale comme trojan horse
dropper.agent.avb
Merci à tous
Benoit
Tu récupére FILEMON et Process Explorer chez Sysinternals
tu lance FileMon et tu le configure pour qu'il se concentre sur
"win*.tmp.exe" et dés qu'il t'indique un process qui tente d'écrire
ça, tu regarde avec ProcessExplorer d'un peu plus prés ce process ...
1 - tu le fige
2 - tu regarde en détails l'emplacement du fichier, l'arborescence
des process ...
et soit t'arrive à t'en débarasser facilement ..soit tu nous donne
ici la suite et on vera ce qu'on peut tenter
Rebonjour,
Voila ce que me donne filemon :
13:30:42 winlogon.exe:772 OPEN C:WINDOWSTEMPwin68.tmp.exe NOT
FOUND Options: Open Access: All
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe SUCCESS
Options: Open Access: All
13:30:43 winlogon.exe:772 CLOSE C:WINDOWSTempwin19D.tmp.exe SUCCESS
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS
DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION
C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS
DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION
C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:31:43 avgcc.exe:364 QUERY INFORMATION
C:WINDOWSTempwin19D.tmp.exe SUCCESS Attributes: A
Puis toute une série de ligne où AVG soigne le fichier win19D.tmp.exe
Quand je vais voir winlogon.exe dans Process explorer, je trouve :
Process PID CPU Description Company Name
smss.exe 680 Gestionnaire de session Windows NT Microsoft Corporation
csrss.exe 744 Client Server Runtime Process Microsoft Corporation
winlogon.exe 772 Application d'ouverture de session Windows NT
Microsoft Corporation services.exe 816 0.99 Applications Services
et Contrôleur Microsoft Corporation svchost.exe 988 Generic Host
Process for Win32 Services Microsoft Corporation svchost.exe 1072
Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1168 Generic Host Process for Win32 Services
Microsoft Corporation svchost.exe 1212 Generic Host Process for
Win32 Services Microsoft Corporation spoolsv.exe 1392 Spooler
SubSystem App Microsoft Corporation avgamsvr.exe 476 AVG Alert
Manager GRISOFT, s.r.o. avgupsvc.exe 576 AVG Update Service
GRISOFT, s.r.o. CTSVCCDA.EXE 624 Creative Service for CDROM
Access Creative Technology Ltd kpf4ss.exe 644 Kerio Personal
Firewall 4 - Service Kerio Technologies kpf4gui.exe 1136 Kerio
Personal Firewall 4 - GUI Kerio Technologies kpf4gui.exe 484 0.99
Kerio Personal Firewall 4 - GUI Kerio Technologies slserv.exe 720
User-Level Modem Service svchost.exe 740 Generic Host Process for
Win32 Services Microsoft Corporation vcssecs.exe 884 Virtual CD
v4.3 SDK - Security Service H+H Software GmbH svchost.exe 1620
Generic Host Process for Win32 Services Microsoft Corporation
lsass.exe 836 LSA Shell (Export Version) Microsoft Corporation
Lorsque je scanne winlogon, je ne trouve rien. J'ai suspendu le
process,
qu'est ce que je fais après ?
Merci beaucoup
Benoit
Là ça craint un peu si c'est une vérolle qui c'est accroché à WinLogon
..elle sont souvent chiantes à décrocher celle-là.
Bon ..oubli la partie "suspendre", ça va pas donner grand chose et ça risque
même de poser d'autres pb ( pas graves ..mais ralentissants )
Toujorus chez sysinternals, récupére AUTORUNS, lance le,
dans les options:
- décoche "include empty locations"
- coche "hide MS signed entry"
- coche "verify code signatures"
rafraichit ( clic sur le bouton refresh )
et regarde dans l'onglet "WinLogon" ..
tu voit quoi ? logiquement tu devrait avoir au moins une ligne ..
copy ici la/les lignes ( clic droit copier, ça merche )
En paralléle, je te sugére de télécharger un AV autonome ( genre stinger
Mcafee ou SysClean de Trend ) et d'en passer un coup en mode sans echecs
pour le trend il faut ça:
http://fr.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com
( c'ets expliqué sur cette page :
http://fr.trendmicro-europe.com/enterprise/support/tsc.php )
et le zip sur cette page-là ( à déziper dans le dossier ou tu as mis l'autre
fichier, tu reboot en mode sans echec, tu lance et tu scan ):
http://fr.trendmicro-europe.com/enterprise/support/pattern.php
Si tu obtient un nom de bestiole, ça aidera pour la suite
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
De la plume numérique de Benoit, nous vîmes sortir un à un les octets du messages suivant: <news:
Ascadix a formulé la demande :
De la plume numérique de Benoit, nous vîmes sortir un à un les octets du messages suivant: <news:
Benoit disait :
Bonjour à tous,
Les symptomes après ça : creation dans windows/temp de fichiers win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par ex win16.tmp, win17.tmp, ...) par vague de 4 fichiers toutes les 2 minutes.
Un petit complément : un fichier win*.tmp.exe est créé régulièrement, AVG me le signale comme trojan horse dropper.agent.avb
Merci à tous
Benoit
Tu récupére FILEMON et Process Explorer chez Sysinternals
tu lance FileMon et tu le configure pour qu'il se concentre sur "win*.tmp.exe" et dés qu'il t'indique un process qui tente d'écrire ça, tu regarde avec ProcessExplorer d'un peu plus prés ce process ...
1 - tu le fige 2 - tu regarde en détails l'emplacement du fichier, l'arborescence des process ...
et soit t'arrive à t'en débarasser facilement ..soit tu nous donne ici la suite et on vera ce qu'on peut tenter
Rebonjour,
Voila ce que me donne filemon : 13:30:42 winlogon.exe:772 OPEN C:WINDOWSTEMPwin68.tmp.exe NOT FOUND Options: Open Access: All
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe SUCCESS Options: Open Access: All
13:30:43 winlogon.exe:772 CLOSE C:WINDOWSTempwin19D.tmp.exe SUCCESS
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:31:43 avgcc.exe:364 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS Attributes: A
Puis toute une série de ligne où AVG soigne le fichier win19D.tmp.exe
Quand je vais voir winlogon.exe dans Process explorer, je trouve :
Process PID CPU Description Company Name smss.exe 680 Gestionnaire de session Windows NT Microsoft Corporation csrss.exe 744 Client Server Runtime Process Microsoft Corporation winlogon.exe 772 Application d'ouverture de session Windows NT Microsoft Corporation services.exe 816 0.99 Applications Services et Contrôleur Microsoft Corporation svchost.exe 988 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1072 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1168 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1212 Generic Host Process for Win32 Services Microsoft Corporation spoolsv.exe 1392 Spooler SubSystem App Microsoft Corporation avgamsvr.exe 476 AVG Alert Manager GRISOFT, s.r.o. avgupsvc.exe 576 AVG Update Service GRISOFT, s.r.o. CTSVCCDA.EXE 624 Creative Service for CDROM Access Creative Technology Ltd kpf4ss.exe 644 Kerio Personal Firewall 4 - Service Kerio Technologies kpf4gui.exe 1136 Kerio Personal Firewall 4 - GUI Kerio Technologies kpf4gui.exe 484 0.99 Kerio Personal Firewall 4 - GUI Kerio Technologies slserv.exe 720 User-Level Modem Service svchost.exe 740 Generic Host Process for Win32 Services Microsoft Corporation vcssecs.exe 884 Virtual CD v4.3 SDK - Security Service H+H Software GmbH svchost.exe 1620 Generic Host Process for Win32 Services Microsoft Corporation lsass.exe 836 LSA Shell (Export Version) Microsoft Corporation
Lorsque je scanne winlogon, je ne trouve rien. J'ai suspendu le process, qu'est ce que je fais après ?
Merci beaucoup
Benoit
Là ça craint un peu si c'est une vérolle qui c'est accroché à WinLogon ..elle sont souvent chiantes à décrocher celle-là.
Bon ..oubli la partie "suspendre", ça va pas donner grand chose et ça risque même de poser d'autres pb ( pas graves ..mais ralentissants )
Toujorus chez sysinternals, récupére AUTORUNS, lance le, dans les options: - décoche "include empty locations" - coche "hide MS signed entry" - coche "verify code signatures"
rafraichit ( clic sur le bouton refresh )
et regarde dans l'onglet "WinLogon" ..
tu voit quoi ? logiquement tu devrait avoir au moins une ligne ..
copy ici la/les lignes ( clic droit copier, ça merche )
En paralléle, je te sugére de télécharger un AV autonome ( genre stinger Mcafee ou SysClean de Trend ) et d'en passer un coup en mode sans echecs
pour le trend il faut ça: http://fr.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com ( c'ets expliqué sur cette page : http://fr.trendmicro-europe.com/enterprise/support/tsc.php )
et le zip sur cette page-là ( à déziper dans le dossier ou tu as mis l'autre fichier, tu reboot en mode sans echec, tu lance et tu scan ): http://fr.trendmicro-europe.com/enterprise/support/pattern.php
Si tu obtient un nom de bestiole, ça aidera pour la suite
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Benoit
Lorsque je scanne winlogon, je ne trouve rien. J'ai suspendu le process, qu'est ce que je fais après ?
Merci beaucoup
Benoit
Là ça craint un peu si c'est une vérolle qui c'est accroché à WinLogon ..elle sont souvent chiantes à décrocher celle-là.
Merci beaucoup pour ton aide. A priori, le problème a disparu avant que je ne vois ton message. Ce que j'ai fait (si d'autres gens ont le même problème..) : - suspendre winlogon (et il faut le remettre pour pouvoir redémarrer) - nouveau scan d'AVG qui me trouve une bestiole dans windows/system32/winnuj32.dll (et riend d'autres) - reparation/ suppresion de ce fichier, et rédémarrage.
A priori, ça a suffit, et tant mieux. En totu cas, les symptomes ont disparu depuis un petit bout de temps.
Si jamais ils réapparaissent, je regarderais la suite de ton message.
Merci encore,
Benoit
Lorsque je scanne winlogon, je ne trouve rien. J'ai suspendu le
process,
qu'est ce que je fais après ?
Merci beaucoup
Benoit
Là ça craint un peu si c'est une vérolle qui c'est accroché à WinLogon ..elle
sont souvent chiantes à décrocher celle-là.
Merci beaucoup pour ton aide. A priori, le problème a disparu avant que
je ne vois ton message. Ce que j'ai fait (si d'autres gens ont le même
problème..) :
- suspendre winlogon (et il faut le remettre pour pouvoir redémarrer)
- nouveau scan d'AVG qui me trouve une bestiole dans
windows/system32/winnuj32.dll (et riend d'autres)
- reparation/ suppresion de ce fichier, et rédémarrage.
A priori, ça a suffit, et tant mieux. En totu cas, les symptomes ont
disparu depuis un petit bout de temps.
Si jamais ils réapparaissent, je regarderais la suite de ton message.
Lorsque je scanne winlogon, je ne trouve rien. J'ai suspendu le process, qu'est ce que je fais après ?
Merci beaucoup
Benoit
Là ça craint un peu si c'est une vérolle qui c'est accroché à WinLogon ..elle sont souvent chiantes à décrocher celle-là.
Merci beaucoup pour ton aide. A priori, le problème a disparu avant que je ne vois ton message. Ce que j'ai fait (si d'autres gens ont le même problème..) : - suspendre winlogon (et il faut le remettre pour pouvoir redémarrer) - nouveau scan d'AVG qui me trouve une bestiole dans windows/system32/winnuj32.dll (et riend d'autres) - reparation/ suppresion de ce fichier, et rédémarrage.
A priori, ça a suffit, et tant mieux. En totu cas, les symptomes ont disparu depuis un petit bout de temps.
Si jamais ils réapparaissent, je regarderais la suite de ton message.