virus, spyware, ver ou quoi d'autre ?

Le
Steph. !
Bonjour à tous

alors voilà :

Au boulot, un PC sous W98SE, installation très récente, MAJ microsoft
faites.

Le problème qui se posait était qu'il cherchait à se connecter sans
cesse, et que je ne pouvais accéder au configuration (propriété bureau,
accès au panneau de config,)

Antivirus AVG6 installé et mis à jour : il m'a détecté un virus et l'a
semble-t-il éradiqué (d'après ce qu'il dit)Il ma trouvé toute une série
de fichier exe et scr (dont natal.scr, speedy etc) Visiblement tout
devrait être rentré dans l'ordre.

J'installe adaware et il me trouve une clé de régistre suspecte :
HKEY_CLASSES_ROORT:EXEFILE/SHELLOPEN/COMMAND""()

Je laisse adaware mettr en carantaine le clé et là, plus de problème.
je peux accéder à toutes les propriétés, mais pas utiliser spybot. Il
demmare mais se ferme en 1 flash

Je reboot, plus de propriétés, adaware me signale que le clé est
revenue

J'ai passé le pc en revue avec secuser nada tout va bien.

J'ai depuis fait des recherche sur google et j'ai trouvé différentes
choses mais rien ne marche.

J'ai également trouvé des cle de régistres faisant mention des fichiers
cités plus haut et je les ai supprimé, ainsi que les mension dans le
fichier win.ini

A chaque reboot le problème revient

Si certains d'entre vous peuvent me donner des pistes où chercher

Merci d'avance

@+

--
Steph. !
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
joke0
Le #1137258
Salut,

Steph. !:
Au boulot, un PC sous W98SE, installation très récente, MAJ
microsoft faites.

J'installe adaware et il me trouve une clé de régistre
suspecte : HKEY_CLASSES_ROORT:EXEFILE/SHELLOPEN/COMMAND""()


Hijack classique:

Je laisse adaware mettr en carantaine le clé et là, plus de
problème. je peux accéder à toutes les propriétés, mais pas
utiliser spybot. Il demmare mais se ferme en 1 flash...


Il est fermé par la bestiole qui est en mémoire.

Je reboot, plus de propriétés, adaware me signale que le clé
est revenue...


Car la bestiole est en mémoire ou/et qu'elle a la main au
démarrage.

J'ai passé le pc en revue avec secuser... nada... tout va
bien.


Fais-nous un rapport avec Hijackthis.

Regarde sur la faq que j'ai fait, je parle d'une bestiole qui
ferme hijackthis, spybot etc.

--
joke0

Steph. !
Le #1137115

Bonsoir joke0,

Merci pour les liens, je regarde àa demain au boulot et je te poste les
logs dans la foulée...

@+

--
Steph. !
À la maison... ;-)
Steph. !
Le #1465670
joke0 a formulé la demande :

Salut joke0,

Comme promis hier soir, je reviens vers toi muni du log de Hijackthis :

<copie>

Logfile of HijackThis v1.97.7
Scan saved at 07:30:50, on 05/05/04
Platform: Windows 98 SE (Win9x 4.10.2222B)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMSPOOL32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMATI2EVXX.EXE
C:WINDOWSSYSTEMSSDPSRV.EXE
C:ESM2SAGENT95.EXE
C:PROGRAM FILESGRISOFTAVG6AVGSERV9.EXE
C:WINDOWSAGRSMMSG.EXE
C:ESM2EBRR.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSRUNDLL32.EXE
C:PROGRAM FILESATI TECHNOLOGIESATI CONTROL PANELATIPTAXX.EXE
C:WINDOWSRUNDLL32.EXE
C:PROGRAM FILESGRISOFTAVG6AVGCC32.EXE
C:WINDOWSMENU DéMARRERPROGRAMMESDéMARRAGEWINUPDATE.EXE
C:PROGRAM FILESOPENOFFICE.ORG1.1.1PROGRAMSOFFICE.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:MES DOCUMENTSHIJACKTHIS.EXE
C:WINDOWSSYSTEMWMIEXE.EXE

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.leonidas.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSYSTEMMSDXM.OCX
O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [IrMon] IrMon.exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [agrsmMSG] agrsmMSG.exe
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI
Control Panelatiptaxx.exe
O4 - HKLM..Run: [ICSDCLT] C:WINDOWSrundll32.exe
C:WINDOWSSYSTEMicsdclt.dll,ICSClient
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [AVG_CC] C:PROGRAM FILESGRISOFTAVG6avgcc32.exe
/startup
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM..RunServices: [ATISmart] C:WINDOWSSYSTEMati2s9ag.exe
O4 - HKLM..RunServices: [SSDPSRV] C:WINDOWSSYSTEMssdpsrv.exe
O4 - HKLM..RunServices: [SAgent95ExePath] C:ESM2SAgent95.exe
O4 - HKLM..RunServices: [Avgserv9.exe]
C:PROGRA~1GRISOFTAVG6Avgserv9.exe
O4 - Startup: EPSON Contrôleur en arrière plan.lnk = C:ESM2Stms.exe
O4 - Startup: winupdate.exe
O4 - Startup: OpenOffice.org 1.1.1.lnk = ?
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38103.0751967593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash
Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab

</copie>

Merci de te pencher sur mon souci...
Je précise que j'ai fait le scan sans avoir passé adaware avant,
hijackthis a bien démarré.

@+

--
Steph. !
joke0
Le #1465660
Salut,

Steph. !:
Running processes:
C:WINDOWSSYSTEMSSDPSRV.EXE

O4 - HKLM..RunServices: [SSDPSRV]
C:WINDOWSSYSTEMssdpsrv.exe


C'est anormal, ce fichier appartient normalement uniquement à
windows Millenium (relatif à UPnP).

Faire scanner ce fichier ici:

Si KAV ne voit rien de dangereux, envoie-le moi par mail:

Le reste est bon.

--
joke0

Steph. !
Le #1465656
Le 05/05/2004, joke0 a supposé :

Salut,

Je viens de t'adresser ça par mail (depuis mon adresse pro)

Merci pour tout...

@+

--
Steph. !
joke0
Le #1137400
Salut,

Steph. !:
Je viens de t'adresser ça par mail (depuis mon adresse pro)


Le labo de KAV a bien confirmé qu'il s'agissait d'un fichier
windows, mais d'un windowsME. Il n'a donc rien à faire sur ton
PC et les problèmes que tu rencontres viennent peut-être de lui
car il est incompatible avec win98.

J'ai été plus dissert par mail ;-)

--
joke0

Steph. !
Le #1137393
joke0 vient de nous annoncer :
Salut,

Steph. !:
Je viens de t'adresser ça par mail (depuis mon adresse pro)


Le labo de KAV a bien confirmé qu'il s'agissait d'un fichier
windows, mais d'un windowsME. Il n'a donc rien à faire sur ton
PC et les problèmes que tu rencontres viennent peut-être de lui
car il est incompatible avec win98.

J'ai été plus dissert par mail ;-)


Dis... t'es certain pour le mail ? Parce que je n'ai rien eu moi... ou
alors Wanatruc est dans les choux...

tu peux me le repasser ? (si c'est pas abuser hein ? ;o)

@+

--
Steph. !
À la maison... ;-)


joke0
Le #1465612
Salut,

Steph. !:
J'ai été plus dissert par mail ;-)


Dis... t'es certain pour le mail ?


j'ai écrit à skipper at wanadoo.fr (pas de retour de mail)

message n°1:

Le fichier semble bien appartenir à Windows, mais je ne vois
pas ce qu'il fait là, à moins que tu ne l'aies installé toi
même. Il est sensé appartenir au service UPnP, Universal
Plug'n'Play (encore une invention à la con de MS). Donc,
soit c'est une bestiole, soit tu as installé un truc sur ton
windows qui ne devait pas être installé.

1) Je l'ai envoyé au labo de KAV à l'instant et je te
préviendrais de la réponse.
2) Si ce fichier est "valable", il n'a de toute façon rien à
faire là, et cela peut expliquer les pb sur ton PC
(incompatibilité).

Donc:
- regarde dans le panneau de désinstallation si tu n'as pas
une entrée correspondante à ce UPnP
- si non: coche les 2 cases correspondantes dans HijackThis
et demande-lui de faire un backup au cas où il faudrait
revenir en arrière (si tu oublies le backup, ce n'est pas
grave, on peut faire ça à la main). Puis, tu fais 'Fix
check' et tu rebootes.

un peu d'aide sur hijackthis:

A+ avec la réponse de KAV.

Message n°2:

le fichier appartient bien à windowsME. Si tu sais comment
il est arrivé sur ton PC tant mieux, mais je ne pense pas
que ce soit une bonne idée de le garder.

KAV a dit: propre, pas de code malveillant dedans.

Par contre je pense bien que la présence de ce fichier
(probablement incompatible) génère une certaine instabilité.

Voilà!
--
joke0


Steph. !
Le #1463203
joke0 a émis l'idée suivante :


Voilà!


Merci pour tout,

Je vois ça demain matin et je te dis ce qu'il en est.

@+

--
Steph. !
À la maison... ;-)

Steph. !
Le #1463178
joke0 a pensé très fort :

Salut,

Alors, j'ai revu tout en bloc...

Le fameux fichier : j'ai supprimé la clé de régistre dont nous avons
parlé... rien n'a changé (rien de mauvais n'est apparu, c'est plutôt
bien... )

J'ai repris mon adaware et j' rescanné, retrouvé dans la BDR la clé de
régistre qui posait problème et elle faisait référence au lancement de
"winupdate.exe" qui se trouvait dans le groupe démarrage... J'ai viré
la clé, viré (sous dos) le winupdate.exe et là, plus de soucis... Ça ne
me permet toujours pas d'utilisr spybot, mais la clé ne revient plus...

pour spybot donc, ça ne serait pas une problème de compatibilité ?

Peut-être en le désinstallant complètement et en le réinstallant...

En tout cas, merci infiniment pour ton coup de main et pour ton temps.

@+

--
Steph. !
Publicité
Poster une réponse
Anonyme